기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Cloud Control API 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

 AWS PrivateLink 를 사용하여 VPC와 간에 프라이빗 연결을 생성할 수 있습니다 AWS Cloud Control API. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 Cloud Control API에 액세스할 수 있습니다. VPC의 인스턴스는 Cloud Control API에 액세스하는 데 퍼블릭 IP 주소가 필요하지 않습니다.

 AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 Cloud Control API로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

Cloud Control API는 인터페이스 엔드포인트를 통해 모든 API 작업을 호출할 수 있도록 지원합니다.

## Cloud Control API VPC 엔드포인트에 대한 고려 사항
<a name="vpc-endpoint-considerations"></a>

Cloud Control API에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 먼저 *AWS PrivateLink 가이드*의 [인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) 주제의 사전 조건을 충족했는지 확인합니다.

## Cloud Control API에 대한 인터페이스 VPC 엔드포인트 생성
<a name="vpc-endpoint-create"></a>

Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 Cloud Control API용 VPC 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 정보는 *AWS PrivateLink 가이드*의 [VPC 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.

다음 서비스 이름을 사용하여 Cloud Control API에 대한 인터페이스 엔드포인트를 생성합니다.
+ com.amazonaws. *region*.cloudcontrolapi

엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우 리전에 대한 기본 DNS 이름(예: `cloudcontrolapi.us-east-1.amazonaws.com`)을 사용하여 Cloud Control API에 API 요청을 할 수 있습니다.

자세한 내용은 *Amazon VPC 사용자 가이드*의 [인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스에 액세스](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)를 참조하세요.

## Cloud Control API에 대한 VPC 엔드포인트 정책 생성
<a name="vpc-endpoint-policy"></a>

Cloud Control API에 대한 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자.
+ 수행할 수 있는 작업.
+ 작업을 수행할 수 있는 리소스

자세한 정보는 *AWS PrivateLink 가이드*의 [엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.

**중요**  
VPCE 엔드포인트 정책 세부 정보는 평가를 위해 Cloud Control API가 호출하는 다운스트림 서비스에 전달되지 않습니다. 이로 인해 다운스트림 서비스에 속하는 작업이나 리소스를 지정하는 정책은 적용되지 않습니다.  
예를 들어 인터넷에 액세스할 수 없는 서브넷에서 Cloud Control API용 VPC 엔드포인트가 있는 VPC 인스턴스에 Amazon EC2 인스턴스를 생성했다고 가정해 보겠습니다. 다음으로 다음 VPC 엔드포인트 정책을 VPCE에 연결합니다.  

```
{
  "Statement": [
    {
      "Action": [
        "cloudformation:*",
        "ec2:*",
        "lambda:*"
      ]
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```
관리자 액세스 권한을 가진 사용자가 인스턴스의 Amazon S3 버킷에 액세스하라는 요청을 보내면 VPCE 정책에서 Amazon S3 액세스 권한이 부여되지 않더라도 서비스 오류는 반환되지 않습니다.

**예제: Cloud Control API 작업에 대한 VPC 엔드포인트 정책**  
다음은 Cloud Control API에 대한 엔드포인트 정책의 예입니다. 이 정책은 엔드포인트에 연결될 때 모든 리소스의 모든 보안 주체에 대한 액세스 권한을 나열된 Cloud Control API 작업에 부여합니다. 다음 예제에서는 모든 사용자에게 VPC 엔드포인트를 통해 리소르를 생성할 수 있는 권한을 거부하고 Cloud Control API 서비스의 다른 모든 작업에 대한 전체 액세스를 허용합니다.

```
{
  "Statement": [
    {
      "Action": "cloudformation:*",
      "Effect": "Allow",
      "Principal": "*",
      "Resource": "*"
    },
    {
      "Action": "cloudformation:CreateResource",
      "Effect": "Deny",
      "Principal": "*",
      "Resource": "*"
    }
  ]
}
```

## 다음 사항도 참조하세요.
<a name="see-also"></a>
+ [AWS 와 통합되는 서비스 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)