기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
엔드포인트 정책을 사용하여 VPC 엔드포인트로 액세스 제어
이 주제에서는 VPC 엔드포인트에 정책을 연결하여 애플리케이션(서비스) 및 Elastic Beanstalk 환경에 대한 액세스를 제어하는 방법을 설명합니다.
엔드포인트 정책은 엔드포인트에서 지정된 서비스로의 액세스를 제어하는 AWS Identity and Access Management(IAM) 리소스 정책입니다. 엔드포인트 정책은 엔드포인트에만 해당됩니다. 사용자 환경에 적용될 수 있는 사용자 또는 인스턴스 IAM 정책과는 별개이며 이를 재정의하거나 대체하지 않습니다.
기본적으로 VPC 엔드포인트는 연결된 서비스에 대한 모든 액세스를 허용합니다. 엔드포인트를 생성하거나 수정할 때 엔드포인트 정책을 연결하여 서비스와 연결된 특정 리소스에 대한 액세스를 제어할 수 있습니다. VPC 엔드포인트 정책을 작성하고 사용하는 방법에 대한 자세한 내용은 AWS PrivateLink 가이드의 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.
참고
제한적인 엔드포인트 정책을 생성할 때 엔드포인트 정책에 의해 이러한 리소스에 대한 액세스가 차단되지 않도록 필요한 리소스에 특정 권한을 추가해야 할 수 있습니다. 이렇게 하면 환경이 계속 올바르게 배포되고 작동할 수 있습니다.
다음 예제에서는 VPC 엔드포인트를 통해 환경을 종료할 수 있는 권한을 모든 사용자에게 거부하고 모든 다른 작업에 대한 모든 액세스를 허용합니다.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
제한적인 VPC 엔드포인트 정책에 필요한 Amazon S3 버킷 권한
VPC 엔드포인트 정책에 제한을 추가하는 경우 특정 Amazon S3 버킷 권한을 포함하여 환경이 계속 올바르게 배포되고 작동하는지 확인해야 합니다. 이 섹션에서는 필수 S3 버킷을 설명하고 예제 정책을 포함합니다.
주제
환경 플랫폼을 관리하기 위해 자산을 저장하는 S3 버킷
Elastic Beanstalk 서비스는 솔루션 스택(플랫폼 버전)과 연결된 자산을 저장하는 S3 버킷을 소유합니다. 이러한 자산에는 구성 파일, 샘플 애플리케이션 및 사용 가능한 인스턴스 유형이 포함됩니다. Elastic Beanstalk가 환경을 생성하고 관리할 때 각 해당 AWS 리전에 대한 자산 버킷에서 특정 플랫폼 버전에 필요한 정보를 검색합니다.
S3 버킷 ARN
arn:aws:s3:::elasticbeanstalk-samples-
region
Amazon Linux 2 이상
-
arn:aws:s3:::elasticbeanstalk-platform-assets-region참고
버킷 이름은 BJS 리전에 대한 다른 규칙을 따릅니다.
region대신 public-beta-cn-north-1 문자열이 사용됩니다. 예:arn:aws:s3:::elasticbeanstalk-platform-assets-public-beta-cn-north-1.
Windows Server, Amazon Linux(AMI), Amazon Linux 2 이상
-
arn:aws:s3:::elasticbeanstalk-env-resources-region -
arn:aws:s3:::elasticbeanstalk-region
운영
GetObject
VPC 엔드포인트 정책 예제
다음 예제에서는 미국 동부(오하이오) 리전(us-east-2)에서 Elastic Beanstalk 작업에 필요한 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다. 이 예제에서는 Amazon Linux 및 Windows Server 플랫폼 모두에 대한 모든 버킷을 나열합니다. 환경의 운영 체제에 적용되는 버킷만 포함하도록 정책을 업데이트합니다.
중요
이 정책에서는 특정 리전 대신에 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 예를 들어 arn:aws:s3:::cloudformation-waitcondition-*/*를 사용하지 말고 arn:aws:s3:::cloudformation-waitcondition-us-east-2/*를 사용합니다. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 정책을 사용하려는 경우, 각 리전에 대해 첫 번째 Statement 블록을 반복하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*" ] } ] }
AWS CloudFormation에서 소유한 S3 버킷
Elastic Beanstalk는 AWS CloudFormation을 사용하여 환경을 위한 리소스를 생성합니다. CloudFormation은 대기 조건에 대한 응답을 모니터링하기 위해 각 AWS 리전에 S3 버킷을 소유합니다.
Elastic Beanstalk와 같은 서비스는 CloudFormation에서 소유한 S3 버킷의 미리 설계된 Amazon S3 URL로 요청을 보내 CloudFormation과 통신합니다. CloudFormation은 cloudformation.amazonaws.com 서비스 위탁자를 사용하여 미리 서명된 Amazon S3 URL을 생성합니다.
자세한 내용은 AWS CloudFormation 사용 설명서의 CloudFormation VPC 엔드포인트 고려 사항을 참조하세요. 미리 서명된 URL에 대한 자세한 내용은 Amazon S3 사용 설명서의 미리 서명된 URL 작업을 참조하세요.
S3 버킷 ARN
-
arn:aws:s3:::cloudformation-waitcondition-region대기 조건을 사용하는 경우 리전 이름에 대시가 포함됩니다. 예: us-west-2.
-
arn:aws:s3:::cloudformation-custom-resource-response-region사용자 지정 리소스를 사용하는 경우 리전 이름에 대시가 포함되지 않습니다. 예를 들어 uswest2입니다.
운영
GetObject
VPC 엔드포인트 정책 예제
다음 예제에서는 미국 동부(오하이오) 리전(us-east-2)에서 Elastic Beanstalk 작업에 필요한 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다.
중요
이 정책에서는 특정 리전 대신에 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 예를 들어 arn:aws:s3:::cloudformation-waitcondition-*/*를 사용하지 말고 arn:aws:s3:::cloudformation-waitcondition-us-east-2/*를 사용합니다. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 정책을 사용하려는 경우, 각 리전에 대해 첫 번째 Statement 블록을 반복하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*", "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*" ] } ] }
소스 코드 및 기타 항목을 저장하기 위해 고객 계정에서 소유한 S3 버킷
이 버킷은 환경을 소유하는 AWS 고객 계정에서 소유합니다. 또한 이 버킷은 소스 코드 및 요청된 로그와 같이 사용자 환경에 고유한 리소스를 저장합니다.
S3 버킷 ARN
arn:aws:s3:::elasticbeanstalk-
region-account-id
운영
-
GetObject
-
GetObjectAcl
-
PutObject
-
PutObjectAcl
-
ListBucket
VPC 엔드포인트 정책 예제
다음 예제에서는 미국 동부(오하이오) 리전(us-east-2)에서 Elastic Beanstalk 작업 및 예제 AWS 계정 ID 123456789012에 필요한 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다.
중요
이 정책에서는 특정 리전 대신에 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 예를 들어 arn:aws:s3:::cloudformation-waitcondition-*/*를 사용하지 말고 arn:aws:s3:::cloudformation-waitcondition-us-east-2/*를 사용합니다. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 정책을 사용하려는 경우, 각 리전에 대해 첫 번째 Statement 블록을 반복하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject", "GetObjectAcl", "PutObject", "PutObjectAcl", "ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*" ] } ] }
Docker 레지스트리 인증을 지원하기 위해 고객 계정이 소유한 S3 버킷
이 버킷은 Docker 플랫폼을 기반으로 하는 환경에만 적용됩니다. 또한 이 버킷은 고객이 프로비저닝한 S3 버킷에 있는 프라이빗 Docker 레지스트리에 인증하는 데 사용되는 파일을 저장합니다. 자세한 내용은 이 가이드에 있는 Docker 플랫폼 장의 Dockerrun.aws.json v3 파일 사용을 참조하세요.
S3 버킷 ARN
ARN은 고객 계정에 따라 다릅니다.
이 S3 버킷 ARN의 형식은 arn:aws:s3:::입니다.bucket-name
운영
GetObject
VPC 엔드포인트 정책 예제
다음 예제에서는 amzn-s3-demo-bucket1이라는 이름으로 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1" ] } ] }
VPC 엔드포인트 정책 업데이트
VPC 엔드포인트에는 정책이 하나만 연결되어 있으므로 모든 권한을 하나의 정책으로 결합해야 합니다. 다음 예제에서는 이전 예제를 모두 하나로 결합했습니다.
VPC 엔드포인트 정책을 작성하고 사용하는 방법에 대한 자세한 내용은 AWS PrivateLink 가이드의 엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어를 참조하세요.
이전 예제와 마찬가지로 다음 예에서는 미국 동부(오하이오) 리전(us-east-2)에서 Systems Manager 작업에 필요한 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다. 또한 예제 AWS 계정 ID 123456789012 및 예제 버킷 이름 amzn-s3-demo-bucket1을 사용하는 버킷도 포함됩니다.
중요
이 정책에서는 특정 리전 대신에 와일드카드 문자(*)를 사용하지 않는 것이 좋습니다. 예를 들어 arn:aws:s3:::cloudformation-waitcondition-*/*를 사용하지 말고 arn:aws:s3:::cloudformation-waitcondition-us-east-2/*를 사용합니다. 와일드카드를 사용하면 액세스 권한을 부여하도록 의도하지 않은 S3 버킷에 액세스할 수 있습니다. 둘 이상의 리전에 대해 정책을 사용하려는 경우, 각 리전에 대해 첫 번째 Statement 블록을 반복하는 것이 좋습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*" ] }, { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*", "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*" ] }, { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject", "GetObjectAcl", "PutObject", "PutObjectAcl", "ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*" ] }, { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1"" ] } ] }
