기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS IoT Greengrass 및 인터페이스 VPC 엔드포인트(AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

*인터페이스 VPC 엔드포인트를 생성하여 VPC*와 AWS IoT Greengrass 컨트롤 플레인 간에 프라이빗 연결을 설정할 수 있습니다. 이 엔드포인트를 사용하여 AWS IoT Greengrass 서비스의 구성 요소, 배포 및 코어 디바이스를 관리할 수 있습니다. 인터페이스 엔드포인트는 인터넷 게이트웨이[AWS PrivateLink](https://aws.amazon.com/privatelink), NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이 비공개로 AWS IoT Greengrass APIs에 액세스할 수 있는 기술로 구동됩니다. VPC의 인스턴스는 AWS IoT Greengrass APIs. VPC와 간의 트래픽 AWS IoT Greengrass 은 Amazon 네트워크를 벗어나지 않습니다.

각 인터페이스 엔드포인트는 서브넷에서 하나 이상의 [Elastic Network Interfaces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)로 표현됩니다.

자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 VPC 엔드포인트(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)를 참조하세요.

**Topics**
+ [AWS IoT Greengrass VPC 엔드포인트에 대한 고려 사항](#vpc-endpoint-considerations)
+ [AWS IoT Greengrass 컨트롤 플레인 작업을 위한 인터페이스 VPC 엔드포인트 생성](#create-vpc-endpoint-control-plane)
+ [에 대한 VPC 엔드포인트 정책 생성 AWS IoT Greengrass](#vpc-endpoint-policy)
+ [VPC에서 AWS IoT Greengrass 코어 디바이스 작동](#vpc-operate-device-vpce)

## AWS IoT Greengrass VPC 엔드포인트에 대한 고려 사항
<a name="vpc-endpoint-considerations"></a>

에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트 속성 및 제한 사항을](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) AWS IoT Greengrass검토하세요. 추가적으로, 다음 사항을 고려하세요.
+ AWS IoT Greengrass 는 VPC에서 모든 컨트롤 플레인 API 작업을 호출할 수 있도록 지원합니다. 컨트롤 플레인은 [CreateDeployment](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_CreateDeployment.html) 및 [ListEffectiveDeployments](https://docs.aws.amazon.com/greengrass/v2/APIReference/API_ListEffectiveDeployments.html)와 같은 작업을 포함합니다. 컨트롤 플레인은 데이터 플레인 작업인 [ResolveComponentCandidates](device-auth.md#iot-policies) 및 [Discover](greengrass-discover-api.md)와 같은 작업을 포함하지 **않습니다.
+ 에 대한 VPC 엔드포인트 AWS IoT Greengrass 는 현재 AWS 중국 리전에서 지원되지 않습니다.

## AWS IoT Greengrass 컨트롤 플레인 작업을 위한 인터페이스 VPC 엔드포인트 생성
<a name="create-vpc-endpoint-control-plane"></a>

Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 AWS IoT Greengrass 컨트롤 플레인의 VPC 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)을 참조하세요.

다음 서비스 이름을 AWS IoT Greengrass 사용하여 용 VPC 엔드포인트를 생성합니다.
+ com.amazonaws.*region*.greengrass

엔드포인트에 대해 프라이빗 DNS를 활성화하는 경우 리전의 기본 DNS 이름, 예를 들어를 AWS IoT Greengrass 사용하여에 API 요청을 할 수 있습니다`greengrass.us-east-1.amazonaws.com`. 프라이빗 DNS는 기본적으로 활성화되어 있습니다.

자세한 내용은 *Amazon VPC 사용 설명서*의 [인터페이스 엔드포인트를 통해 서비스 액세스](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)를 참조하세요.

## 에 대한 VPC 엔드포인트 정책 생성 AWS IoT Greengrass
<a name="vpc-endpoint-policy"></a>

 AWS IoT Greengrass 컨트롤 플레인 운영에 대한 컨트롤 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 보안 주체.
+ 보안 주체가 수행할 수 있는 작업입니다.
+ 보안 주체가 작업을 수행할 수 있는 리소스입니다.

자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 엔드포인트를 통해 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)를 참조하세요.

**Example 예: AWS IoT Greengrass 작업에 대한 VPC 엔드포인트 정책**  
다음은에 대한 엔드포인트 정책의 예입니다 AWS IoT Greengrass. 엔드포인트에 연결되면이 정책은 모든 리소스의 모든 보안 주체에 대해 나열된 AWS IoT Greengrass 작업에 대한 액세스 권한을 부여합니다.  

```
{
    "Statement": [
        {
            "Principal": "*",
            "Effect": "Allow",
            "Action": [
                "greengrass:CreateDeployment",
                "greengrass:ListEffectiveDeployments"
            ],
            "Resource": "*"
        }
    ]
}
```

## VPC에서 AWS IoT Greengrass 코어 디바이스 작동
<a name="vpc-operate-device-vpce"></a>

퍼블릭 인터넷 액세스 없이도 Greengrass 코어 디바이스를 작동하고 VPC에서 배포를 수행할 수 있습니다. 최소한 다음 VPC 엔드포인트를 해당 DNS 별칭으로 설정해야 합니다. VPC 엔드포인트 생성 및 사용 방법에 대한 자세한 내용은 *Amazon VPC 사용 설명서*에서 [VPC 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.

**참고**  
DNS 레코드를 자동으로 생성하기 위한 VPC 기능은 AWS IoT data 및 AWS IoT 자격 증명에 대해 비활성화됩니다. 이러한 엔드포인트에 연결하려면 프라이빗 DNS 레코드를 수동으로 생성해야 합니다. 자세한 내용은 [Private DNS for interface endpoints](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-private-dns)를 참조하세요. AWS IoT Core VPC 제한 사항에 대한 자세한 내용은 [VPC 엔드포인트의 제한을](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations) 참조하세요.

### 사전 조건
<a name="vpc-endpoint-prerequisites"></a>
+ 수동 프로비저닝 단계를 사용하여 AWS IoT Greengrass 코어 소프트웨어를 설치해야 합니다. 자세한 내용은 [수동 리소스 프로비저닝을 사용하여 AWS IoT Greengrass 코어 소프트웨어 설치](manual-installation.md) 단원을 참조하십시오.

### 제한 사항
<a name="vpc-endpoint-limitaions"></a>
+ 중국 리전 및 AWS GovCloud (US) Regions에서는 VPC에서 Greengrass 코어 디바이스를 작동할 수 없습니다.
+  AWS IoT data 및 AWS IoT 자격 증명 공급자 VPC 엔드포인트의 제한 사항에 대한 자세한 내용은 [제한을 참조하세요](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#VPC-limitations).

### Greengrass 코어 디바이스가 VPC에서 작동하도록 설정
<a name="vpc-endpoint-operate-gg-core"></a>

****

1. 의 AWS IoT 엔드포인트를 가져 AWS 계정와 나중에 사용할 수 있도록 저장합니다. 디바이스에서는 이러한 엔드포인트를 사용하여 AWS IoT에 연결합니다. 해결 방법:

   1. 의 AWS IoT 데이터 엔드포인트를 가져옵니다 AWS 계정.

      ```
      aws iot describe-endpoint --endpoint-type iot:Data-ATS
      ```

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      ```
      {
        "endpointAddress": "device-data-prefix-ats.iot.us-west-2.amazonaws.com"
      }
      ```

   1. 의 AWS IoT 자격 증명 엔드포인트를 가져옵니다 AWS 계정.

      ```
      aws iot describe-endpoint --endpoint-type iot:CredentialProvider
      ```

      요청에 성공하는 경우 응답은 다음 예제와 유사합니다.

      ```
      {
        "endpointAddress": "device-credentials-prefix.credentials.iot.us-west-2.amazonaws.com"
      }
      ```

1.  AWS IoT data 및 AWS IoT 자격 증명 엔드포인트에 대한 Amazon VPC 인터페이스를 생성합니다.

   1. [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) **엔드포인트** 콘솔로 이동한 다음 왼쪽 메뉴의 **Virtual Private Cloud(VPC)**에서 **엔드포인트**를 선택한 다음 **엔드포인트 생성**을 선택합니다.

   1. **엔드포인트 생성** 페이지에서 다음 정보를 지정합니다.
      + **서비스 범주**에서 **AWS 서비스**를 선택합니다.
      + **서비스 이름**에 키워드 `iot`를 입력하여 검색합니다. 표시된 `iot` 서비스 목록에서 엔드포인트를 선택합니다.

         AWS IoT Core 데이터 영역에 대한 VPC 엔드포인트를 생성하는 경우 해당 리전의 AWS IoT Core 데이터 영역 API 엔드포인트를 선택합니다. 엔드포인트 형식은 `com.amazonaws.region.iot.data`이(가) 될 것입니다.

         AWS IoT Core 자격 증명 공급자에 대한 VPC 엔드포인트를 생성하는 경우 해당 리전의 AWS IoT Core 자격 증명 공급자 엔드포인트를 선택합니다. 엔드포인트 형식은 `com.amazonaws.region.iot.credentials`이(가) 될 것입니다.
**참고**  
중국 리전의 AWS IoT Core 데이터 영역에 대한 서비스 이름은 형식입니다`cn.com.amazonaws.region.iot.data`. 중국 리전에서는 AWS IoT Core 자격 증명 공급자에 대한 VPC 엔드포인트 생성이 지원되지 않습니다.
      + **VPC** 및 **서브넷**에서 엔드포인트를 생성하려는 VPC 및 엔드포인트 네트워크를 생성하려는 가용 영역(AZ)을 선택합니다.
      + **DNS 이름 활성화**에서 **이 엔드포인트에 대해 활성화**를 선택하지 않도록 합니다. AWS IoT Core 데이터 영역이나 AWS IoT Core 자격 증명 공급자 모두 아직 프라이빗 DNS 이름을 지원하지 않습니다.
      + **보안 그룹**에서 엔드포인트 네트워크 인터페이스와 연결하려는 보안 그룹을 선택합니다.
      + 선택적으로 태그를 추가하거나 제거할 수 있습니다. 태그는 엔드포인트와 연결하는 데 사용하는 이름-값 페어입니다.

   1. VPC 엔드포인트를 생성하려면 **엔드포인트 생성**을 선택합니다.

1.  AWS PrivateLink 엔드포인트를 생성한 후 엔드포인트의 **세부 정보** 탭에 DNS 이름 목록이 표시됩니다. 이러한 DNS 이름 중 하나를 사용하여 [프라이빗 호스팅 영역을 구성](https://docs.aws.amazon.com/iot/latest/developerguide/IoTCore-VPC.html#connect-iot-core-create-phz-lns)할 수 있습니다.

1. Amazon S3 엔드포인트를 생성합니다. 자세한 내용은 [Create a VPC endpoint for Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc)를 참조하세요.

1. [AWS제공 Greengrass 구성 요소](https://docs.aws.amazon.com/greengrass/v2/developerguide/public-components.html)를 사용하는 경우 추가 엔드포인트 및 구성이 필요할 수 있습니다. 엔드포인트 요구 사항을 보려면 AWS제공 구성 요소의 목록에서 구성 요소를 선택하고 요구 사항 섹션을 살펴보세요. 예를 들어 [로그 관리자 구성 요소 요구 사항](log-manager-component.md#log-manager-component-requirements)에서는 이 구성 요소가 엔드포인트 `logs.region.amazonaws.com`에 대한 아웃바운드 요청을 수행할 수 있어야 한다고 조언합니다.

   자체 구성 요소를 사용하는 경우 종속성을 검토하고 추가 테스트를 수행하여 추가 엔드포인트가 필요한지 확인해야 할 수 있습니다.

1. Greengrass nucleus 구성에서 `greengrassDataPlaneEndpoint`는 **iotdata**로 설정해야 합니다. 자세한 내용은 [Greengrass nucleus 구성](greengrass-nucleus-component.md#greengrass-nucleus-component-configuration)을 참조하세요.

1. 사용자가 `us-east-1` 리전에 있는 경우 Greengrass nucleus 구성에서 구성 파라미터 `s3EndpointType`을 **REGIONAL**로 설정합니다. 이 기능은 Greengrass nucleus 버전 2.11.3 이상에서 사용할 수 있습니다.

**Example 예: 구성 요소 구성**  

```
{
"aws.greengrass.Nucleus": {
   "configuration": {
      "awsRegion": "us-east-1",
      "iotCredEndpoint": "xxxxxx.credentials.iot.region.amazonaws.com",
      "iotDataEndpoint": "xxxxxx-ats.iot.region.amazonaws.com",
      "greengrassDataPlaneEndpoint": "iotdata",
      "s3EndpointType": "REGIONAL"
      ...
     }
   }
}
```

다음 표에서는 해당 사용자 지정 프라이빗 DNS 별칭에 대한 정보를 제공합니다.


| 서비스 | VPC 엔드포인트 서비스 이름 | VPC 엔드포인트 유형 | 사용자 지정 프라이빗 DNS 별칭 | 참고 | 
| --- | --- | --- | --- | --- | 
|  AWS IoT data  | `com.amazonaws.region.iot.data` | 인터페이스 |  `prefix-ats.iot.region.amazonaws.com`  |  프라이빗 DNS 레코드는 계정의 AWS IoT data 엔드포인트인와 일치해야 합니다`aws iot describe–endpoint ––endpoint–type iot:Data-ATS`.  | 
| AWS IoT 자격 증명 | `com.amazonaws.region.iot.credentials` | 인터페이스 | `prefix.credentials.iot.region.amazonaws.com` | 프라이빗 DNS 레코드는 계정 AWS IoT 자격 증명 엔드포인트와 일치해야 합니다`aws iot describe–endpoint ––endpoint–type iot:CredentialProvider`. | 
| Amazon S3 | `com.amazonaws.region.s3` | 인터페이스 |  | DNS 레코드가 자동으로 생성됩니다. |