

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# WorkSpaces 애플리케이션 인터페이스 VPC 엔드포인트
<a name="interface-vpc-endpoints"></a>

가상 프라이빗 클라우드(VPC)는 Amazon Web Services 클라우드에서 논리적으로 격리된 자체 영역에 있는 가상 네트워크입니다. Amazon Virtual Private Cloud를 사용하여 AWS리소스를 호스팅하는 경우 VPC와 WorkSpaces 애플리케이션 간에 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 WorkSpaces 애플리케이션이 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신할 수 있습니다.

인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 지정한 VPC 내에서 스트리밍 트래픽을 유지할 수 있는 기술인AWSPrivateLink로 구동됩니다. Direct Connect또는 AWS Virtual Private Network터널과 함께 VPC를 사용하는 경우 네트워크 내에 스트리밍 트래픽을 유지할 수 있습니다.

다음 주제에서는 WorkSpaces 애플리케이션 인터페이스 엔드포인트에 대한 정보를 제공합니다.

**Topics**
+ [자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](creating-streaming-from-interface-vpc-endpoints.md)
+ [인터페이스 VPC 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](access-api-cli-through-interface-vpc-endpoint.md)

# 자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍
<a name="creating-streaming-from-interface-vpc-endpoints"></a>

Amazon Web Services 계정의 인터페이스 VPC 엔드포인트를 사용하여 Amazon VPC와 WorkSpaces 애플리케이션 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한할 수 있습니다. 이 엔드포인트를 생성한 후 이를 사용하도록 WorkSpaces 애플리케이션 스택 또는 이미지 빌더를 구성합니다.

**사전 조건**

WorkSpaces 애플리케이션에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 다음 사전 조건에 유의하세요.
+ 사용자를 인증하고 WorkSpaces 애플리케이션이 작동하는 데 필요한 웹 자산을 제공하려면 인터넷 연결이 필요합니다. 스트리밍 인터페이스 엔드포인트는 스트리밍 트래픽이 VPC를 벗어나지 않도록 유지합니다. 스트리밍 트래픽으로는 픽셀, USB, 사용자 입력, 오디오, 클립보드, 파일 업로드 및 다운로드, 프린터 트래픽 등이 있습니다. 이러한 트래픽을 허용하려면 [허용된 도메인](allowed-domains.md) 섹션에 나열된 도메인을 허용해야 합니다. VPC 엔드포인트를 생성한 후에는 WorkSpaces Applications 사용자 인증 도메인을 허용해야 합니다. 그러나 스트리밍 게이트웨이의 경우 <vpc-endpoint-id>.streaming.appstream.<aws-region>.vpce.amazonaws.com만 액세스를 제한할 수 있습니다. \$1.amazonappstream.com 등록 허용은 필요하지 않습니다. VPC 엔드포인트 정규화된 도메인 이름이 해당 종속성을 대체합니다.
+ 사용자의 디바이스가 연결되는 네트워크는 트래픽을 인터페이스 엔드포인트로 라우팅할 수 있어야 합니다.
+ 인터페이스 엔드포인트와 연결되는 보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트 443(TCP)와 포트 1400-1499(TCP)로 수신되는 인바운드 액세스를 허용해야 합니다.
+ 서브넷에 대한 네트워크 액세스 제어 목록은 휘발성 네트워크 포트 1024-65535(TCP)에서 사용자가 연결하는 IP 주소 범위로 전송되는 아웃바운드 트래픽을 허용해야 합니다.
+ `ec2:DescribeVpcEndpoints` API 작업을 수행할 수 AWS 계정있는 권한을 제공하는 IAM 권한 정책이에 있어야 합니다. 기본적으로 이 권한은 AmazonAppStreamServiceAccess 역할에 연결되는 IAM 정책에서 정의합니다. 필요한 권한이 있는 경우이 서비스 역할은 AWS리전에서 WorkSpaces 애플리케이션 서비스를 시작할 때 필요한 IAM 정책이 연결된 상태로 WorkSpaces 애플리케이션에서 자동으로 생성됩니다. 자세한 내용은 [Amazon WorkSpaces 애플리케이션의 ID 및 액세스 관리](controlling-access.md) 단원을 참조하십시오.

**인터페이스 엔드포인트를 생성하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **엔드포인트**와 **엔드포인트 생성**을 선택합니다.

1. **엔드포인트 생성**을 선택합니다.

1. **서비스 범주**에서 **AWS서비스가** 선택되어 있는지 확인합니다.

1. **서비스 이름**에서 **com.amazonaws.***<AWS 리전>***.appstream.streaming**을 선택합니다.

1. 다음과 같은 정보를 지정합니다. 완료했으면 **엔드포인트 생성**을 선택합니다.
   + **VPC**에서 인터페이스 엔드포인트를 생성할 VPC를 선택합니다. WorkSpaces 애플리케이션 리소스가 있는 VPC와 다른 VPC를 선택할 수 있습니다.
   + **서브넷**에서 엔드포인트 네트워크 인터페이스를 만들 서브넷(가용 영역)을 선택합니다. 최소한 2개의 가용 영역에서 서브넷을 선택하는 것이 좋습니다.
   + **IP 주소 유형**에서 IPV6 또는 IPV4를 선택합니다.
   + **프라이빗 DNS 이름 활성화** 확인란이 선택되어 있는지 확인합니다.
**참고**  
사용자가 네트워크 프록시를 사용하여 스트리밍 인스턴스에 액세스하는 경우 프라이빗 엔드포인트와 연결된 도메인 및 DNS 이름에 대한 프록시 캐싱을 비활성화합니다. VPC 엔드포인트 DNS 이름은 프록시를 통해 허용되어야 합니다.
   + **보안 그룹**에서 보안 그룹을 선택하여 엔드포인트 네트워크 인터페이스와 연결합니다.
**참고**  
보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트로 수신되는 인바운드 액세스를 제공해야 합니다.

인터페이스 엔드포인트가 생성 중일 때는 콘솔의 엔드포인트 상태가 **대기 중**으로 표시됩니다. 엔드포인트가 생성되면 상태가 **사용 가능**으로 바뀝니다.

 스택을 업데이트하여 스트리밍 세션에서 생성한 인터페이스 엔드포인트를 사용하려면 다음과 같이 실행합니다.

**스택을 업데이트하여 새로운 인터페이스 엔드포인트를 사용하려면**

1. [https://console.aws.amazon.com/appstream2/home](https://console.aws.amazon.com/appstream2/home) WorkSpaces 애플리케이션 콘솔을 엽니다.

   사용하려는 인터페이스 엔드포인트와 동일한 AWS리전에서 콘솔을 열어야 합니다.

1. 탐색 창에서 **스택**을 선택한 후 원하는 스택을 선택합니다.

1. **VPC 엔드포인트** 탭을 선택한 후 **편집**을 선택합니다.

1. **VPC 엔드포인트 편집** 대화 상자에 있는 **스트리밍 엔드포인트**에서 트래픽을 스트리밍할 엔드포인트를 선택합니다.

1. **업데이트**를 선택합니다.

새로운 스트리밍 세션부터는 트래픽이 이 엔드포인트를 통해 라우팅됩니다. 하지만 현재 스트리밍 세션에서는 트래픽이 계속해서 이전에 지정된 엔드포인트를 통해 라우팅됩니다.

**참고**  
인터페이스 엔드포인트가 지정되면 사용자는 인터넷 엔드포인트를 사용하여 스트리밍할 수 없습니다.

# 인터페이스 VPC 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스
<a name="access-api-cli-through-interface-vpc-endpoint"></a>

Amazon Virtual Private Cloud를 사용하여 AWS리소스를 호스팅하는 경우 인터넷을 통해 연결하는 대신 Virtual Private Cloud(VPC)의 인터페이스 [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)(인터페이스 엔드포인트)를 통해 WorkSpaces Applications API 작업 또는 명령줄 인터페이스(CLI) 명령에 직접 연결할 수 있습니다. 인터페이스 엔드포인트는 프라이빗 IP 주소를 사용하여 지정한 VPC 내에서 스트리밍 트래픽을 유지할 수 있는 기술인AWSPrivateLink로 구동됩니다. 인터페이스 엔드포인트를 사용하면 VPC와 WorkSpaces 애플리케이션 간의 통신이 AWS네트워크 내에서 완전하고 안전하게 수행됩니다.

**참고**  
이 주제에서는 인터페이스 엔드포인트를 통해 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스하는 방법을 설명합니다. WorkSpaces 애플리케이션 인터페이스 엔드포인트에서 생성 및 스트리밍하는 방법에 대한 자세한 내용은 섹션을 참조하세요[자습서: 인터페이스 VPC 엔드포인트에서 생성 및 스트리밍](creating-streaming-from-interface-vpc-endpoints.md).

**사전 조건**

인터페이스 엔드포인트를 사용하려면 다음 사전 조건을 충족해야 합니다.
+ 인터페이스 엔드포인트와 연결되는 보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트 443(TCP)으로 수신되는 인바운드 액세스를 허용해야 합니다.
+ 서브넷에 대한 네트워크 액세스 제어 목록은 휘발성 네트워크 포트 1024-65535(TCP)에서 사용자가 연결하는 IP 주소 범위로 전송되는 아웃바운드 트래픽을 허용해야 합니다.

**Topics**
+ [인터페이스 엔드포인트를 생성하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint.md)
+ [인터페이스 엔드포인트를 사용하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스](how-to-access-api-cli-through-interface-vpc-endpoint.md)

# 인터페이스 엔드포인트를 생성하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스
<a name="access-api-cli-through-interface-vpc-endpoint-create-interface-endpoint"></a>

다음 단계에 따라 인터페이스 엔드포인트를 생성합니다.

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **엔드포인트**와 **엔드포인트 생성**을 선택합니다.

1. **엔드포인트 생성**을 선택합니다.

1. **서비스 범주**에서 **AWS서비스가** 선택되어 있는지 확인합니다.

1. **서비스 이름**에서 **com.amazonaws.***<AWS 리전>***.appstream.api**을 선택합니다.

1. 다음과 같은 정보를 지정합니다. 완료했으면 **엔드포인트 생성**을 선택합니다.
   + **VPC**에서 엔드포인트를 생성할 VPC를 선택합니다.
   + **서브넷**에서 엔드포인트 네트워크 인터페이스를 생성할 서브넷(가용 영역)을 선택합니다. 최소한 2개의 가용 영역에서 서브넷을 선택하는 것이 좋습니다.
   + 선택 사항으로 **프라이빗 DNS 이름 활성화** 확인란을 선택할 수 있습니다.
**참고**  
이 옵션을 선택하는 경우에는 필요에 따라 프라이빗 DNS를 지원할 VPC와 DNS를 구성해야 합니다. 자세한 내용은 **Amazon VPC 사용 설명서의 [프라이빗 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)를 참조하세요.
   + **보안 그룹(Security group)**에서 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 선택합니다.
**참고**  
보안 그룹은 사용자가 연결하는 IP 주소 범위에서 포트로 수신되는 인바운드 액세스를 제공해야 합니다.

인터페이스 엔드포인트가 생성 중일 때는 콘솔의 엔드포인트 상태가 **대기 중**으로 표시됩니다. 엔드포인트가 생성되면 상태가 **사용 가능**으로 바뀝니다.

# 인터페이스 엔드포인트를 사용하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스
<a name="how-to-access-api-cli-through-interface-vpc-endpoint"></a>

생성한 인터페이스 VPC 엔드포인트의 상태가 **사용 가능**으로 변경된 후 엔드포인트를 사용하여 WorkSpaces 애플리케이션 API 작업 및 CLI 명령에 액세스할 수 있습니다. 이를 위해서는 먼저 작업 및 명령을 사용할 때 `endpoint-url` 파라미터를 인터페이스 엔드포인트의 DNS 이름으로 지정해야 합니다. DNS 이름은 공개적으로 확인이 가능하지만 VPC에서만 트래픽을 올바르게 라우팅합니다.

다음 예제는 **describe-fleets** CLI 명령을 사용할 때 인터페이스 엔드포인트의 DNS 이름을 지정하는 방법을 나타낸 것입니다.

```
aws appstream describe-fleets --endpoint-url <vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com
```

다음 예제에서는 WorkSpaces Applications Boto3 Python 클라이언트를 인스턴스화할 때 인터페이스 엔드포인트의 DNS 이름을 지정하는 방법을 보여줍니다.

```
appstream2client = boto3.client('appstream',region_name='<aws-region>',endpoint_url='<vpc-endpoint-id>.api.appstream.<aws-region>.vpce.amazonaws.com'
```

이후부터 `appstream2client` 객체를 사용하는 명령은 지정된 인터페이스 엔드포인트를 자동으로 사용합니다.

인터페이스 엔드포인트에서 프라이빗 DNS 호스트 이름을 활성화한 경우에는 엔드포인트 URL을 지정할 필요 없습니다. API 및 CLI가 기본적으로 사용하는 WorkSpaces Applications API DNS 호스트 이름은 VPC 내에서 확인됩니다. 프라이빗 DNS 호스트 이름에 대한 자세한 내용은 **Amazon VPC 사용 설명서의 [프라이빗 DNS](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-private-dns)를 참조하세요.