Amazon RDS API 및 인터페이스 VPC 엔드포인트(AWS PrivateLink) - Amazon Aurora
고려 사항가용성인터페이스 VPC 엔드포인트 생성VPC 엔드포인트 정책 생성

Amazon RDS API 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)

인터페이스VPC 엔드포인트를 생성하여 VPC와 Amazon RDS API 엔드포인트 간에 프라이빗 연결을 설정할 수 있습니다. 인터페이스 엔드포인트는 로 구동됩니다AWS PrivateLink

AWS PrivateLink를 사용하면 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이 Amazon RDS API 작업에 비공개로 액세스할 수 있습니다. VPC의 DB 인스턴스는 DB 인스턴스 및 DB 클러스터를 시작, 수정 또는 종료하기 위해 Amazon RDS API 엔드포인트와 통신하는 데 퍼블릭 IP 주소가 필요하지 않습니다. 또한 DB 인스턴스가 사용 가능한 RDS API 작업을 사용하기 위해 퍼블릭 IP 주소가 필요하지 않습니다. VPC와 Amazon RDS 간의 트래픽은 Amazon 네트워크를 벗어나지 않습니다.

각 인터페이스 엔드포인트는 서브넷에서 하나 이상의 탄력적 네트워크 인터페이스로 표현됩니다. 탄력적 네트워크 인터페이스에 대한 자세한 내용은 Amazon EC2 사용 설명서탄력적 네트워크 인터페이스를 참조하십시오.

VPC 엔드포인트에 대한 자세한 내용은 Amazon VPC 사용 설명서인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요. RDS API 작업에 대한 자세한 내용은 Amazon RDS API 참조를 참조하세요.

DB 클러스터에 연결하기 위해 인터페이스 VPC 엔드포인트가 필요하지 않습니다. 자세한 내용은 VPC에서 DB 클러스터에 액세스하는 시나리오을 참조하세요.

VPC 엔드포인트에 대한 고려 사항

Amazon RDS API 엔드포인트에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 Amazon VPC 사용 설명서에서 인터페이스 엔드포인트 속성 및 제한 사항을 검토해야 합니다.

Amazon Aurora 리소스 관리와 관련된 모든 RDS API 작업은 AWS PrivateLink를 사용하여 VPC에서 사용할 수 있습니다.

VPC 엔드포인트 정책은 RDS API 엔드포인트에 대해 지원됩니다. 기본적으로, 엔드포인트를 통해 RDS API 작업에 대한 전체 액세스가 허용됩니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

가용성

현재 Amazon RDS API가 VPC 엔드포인트를 지원하는 AWS 리전은 다음과 같습니다.

  • 미국 동부(오하이오)

  • 미국 동부(버지니아 북부)

  • 미국 서부(캘리포니아 북부)

  • 미국 서부(오레곤)

  • 아프리카(케이프타운)

  • 아시아 태평양(홍콩)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(오사카)

  • 아시아 태평양(서울)

  • 아시아 태평양(싱가포르)

  • 아시아 태평양(시드니)

  • 아시아 태평양(도쿄)

  • 캐나다(중부)

  • 캐나다 서부(캘거리)

  • 중국(베이징)

  • 중국(닝샤)

  • 유럽(프랑크푸르트)

  • 유럽(취리히)

  • 유럽(아일랜드)

  • 유럽(런던)

  • 유럽(파리)

  • 유럽(스톡홀름)

  • 유럽(밀라노)

  • 이스라엘(텔아비브)

  • 중동(바레인)

  • 남아메리카(상파울루)

  • AWS GovCloud(미국 동부)

  • AWS GovCloud(미국 서부)

Amazon RDS API에 대한 인터페이스 VPC 엔드포인트 생성

Amazon VPC 콘솔 또는 AWS Command Line Interface(AWS CLI)를 사용하여 Amazon RDS API에 대한 VPC 엔드포인트를 생성할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하십시오.

서비스 이름 com.amazonaws.region.rds을 사용하여 Amazon RDS API에 대한 VPC 엔드포인트를 생성합니다.

중국의 AWS 리전을 제외하고, 엔드포인트에 프라이빗 DNS를 활성화한 경우 AWS 리전에 대한 기본 DNS 이름(예:rds.us-east-1.amazonaws.com)을 사용하여 VPC 엔드포인트를 통해 Amazon RDS에 API 요청을 수행할 수 있습니다. 중국(베이징) 및 중국(닝샤) AWS 리전의 경우 각각 rds-api---cn-north-1.amazonaws.com.rproxy.goskope.com.cnrds-api---cn-northwest-1.amazonaws.com.rproxy.goskope.com.cn을 사용하여 VPC 엔드포인트를 통해 API 요청을 수행할 수 있습니다.

자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트를 통해 서비스 액세스를 참조하십시오.

Amazon RDS API에 대한 VPC 엔드포인트 정책 생성

Amazon RDS API에 대한 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하십시오.

예제: Amazon RDS API 작업에 대한 VPC 엔드포인트 정책

다음은 Amazon RDS API에 대한 엔드포인트 정책의 예입니다. 이 정책은 엔드포인트에 연결될 때 모든 리소스의 모든 보안 주체에 대한 액세스 권한을 나열된 Amazon RDS API 작업에 부여합니다.

{
   "Statement":[
      {
         "Principal":"*",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBInstance",
            "rds:ModifyDBInstance",
            "rds:CreateDBSnapshot"
         ],
         "Resource":"*"
      }
   ]
}
예제: 지정된 AWS 계정의 모든 액세스를 거부하는 VPC 엔드포인트 정책

다음 VPC 엔드포인트 정책은 AWS 계정 123456789012가 엔드포인트를 사용하는 리소스에 대한 모든 액세스를 거부합니다. 이 정책은 다른 계정의 모든 작업을 허용합니다.

{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    },
    {
      "Action": "*",
      "Effect": "Deny",
      "Resource": "*",
      "Principal": { "AWS": [ "123456789012" ] }
     }
   ]
}