EC2 Image Builder AWS PrivateLink 및 인터페이스 VPC 엔드포인트 - EC2 Image Builder
Image Builder VPC 엔드포인트에 대한 고려 사항Image Builder용 인터페이스 VPC 엔드포인트 생성하기Image Builder에 대한 VPC 엔드포인트 정책 생성하기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EC2 Image Builder AWS PrivateLink 및 인터페이스 VPC 엔드포인트

인터페이스 VPC 엔드포인트를 생성하여 VPC와 EC2 Image Builder 간에 프라이빗 연결을 설정할 수 있습니다. 인터페이스 엔드포인트는 인터넷 게이트웨이 AWS PrivateLink, NAT 디바이스, VPN 연결 또는 연결 없이 Image Builder API에 비공개로 액세스할 수 있는 기술인 에 의해 구동됩니다. AWS Direct Connect VPC의 인스턴스는 Image Builder API와 통신하는 데 퍼블릭 IP 주소를 필요로 하지 않습니다. VPC와 Image Builder 간 트래픽은 Amazon 네트워크를 벗어나지 않습니다.

각 인터페이스 엔드포인트는 서브넷에서 하나 이상의 탄력적 네트워크 인터페이스로 표현됩니다. 새 이미지를 생성할 때 인프라 구성에서 VPC 서브넷 ID를 지정할 수 있습니다.

참고

VPC 내에서 액세스하는 각 서비스에는 자체 엔드포인트 정책이 있는 자체 인터페이스 엔드포인트가 있습니다. Image Builder는 AWSTOE 구성 요소 관리자 애플리케이션을 다운로드하고 S3 버킷에서 관리되는 리소스에 액세스하여 사용자 지정 이미지를 생성합니다. 이러한 버킷에 대한 액세스 권한을 부여하려면 이를 허용하도록 S3 엔드포인트 정책을 업데이트해야 합니다. 자세한 내용은 S3 버킷 액세스에 대한 사용자 지정 정책 섹션을 참조하세요.

VPC 엔드포인트에 대한 자세한 정보는 Amazon VPC 사용 설명서사용 설명서인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조합니다.

Image Builder VPC 엔드포인트에 대한 고려 사항

Image Builder에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 Amazon VPC 사용 설명서에서 인터페이스 엔드포인트 속성 및 제한 사항을 검토해야 합니다.

Image Builder는 VPC에서 모든 API 작업에 대한 호출 수행을 지원합니다.

Image Builder용 인터페이스 VPC 엔드포인트 생성하기

Image Builder 서비스를 위한 VPC 엔드포인트를 생성하려면 Amazon VPC 콘솔 또는 () 를 사용할 수 있습니다. AWS Command Line Interface AWS CLI자세한 내용은 Amazon VPC 사용 설명서(Amazon VPC User Guide)인터페이스 엔드포인트 생성(Creating an interface endpoint)을 참조합니다.

다음 서비스 이름을 사용하여 Image Builder용 VPC 엔드포인트를 생성합니다.

  • com.amazonaws.region.imagebuilder

엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 리전에 대한 기본 DNS 이름(예: imagebuilder.us-east-1.amazonaws.com)을 사용하여 Image Builder에 API 요청을 할 수 있습니다. 대상 리전에 적용되는 엔드포인트를 조회하려면 Amazon Web Services 일반 참조EC2 Image Builder 엔드포인트 및 할당량을 참조합니다.

자세한 내용은 Amazon VPC 사용 설명서(Amazon VPC User Guide)인터페이스 엔드포인트를 통해 서비스 액세스(Accessing a service through an interface endpoint)를 참조합니다.

Image Builder에 대한 VPC 엔드포인트 정책 생성하기

Image Builder에 대한 액세스를 제어하는 VPC 엔드포인트에 엔드포인트 정책을 연결할 수 있습니다. 이 정책은 다음 정보를 지정합니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 있는 리소스.

레시피에서 Amazon 관리 구성 요소를 사용하는 경우 Image Builder의 VPC 엔드포인트는 다음과 같은 서비스 소유 구성 요소 라이브러리에 대한 액세스를 허용해야 합니다.

arn:aws:imagebuilder:region:aws:component/*

중요

EC2 Image Builder의 인터페이스 VPC 엔드포인트에 기본이 아닌 정책을 적용하는 경우, 실패한 특정 API 요청 (예: 에서 RequestLimitExceeded 실패한 요청) 이 Amazon에 기록되지 않을 수 있습니다. AWS CloudTrail CloudWatch

자세한 내용은 Amazon VPC 사용 설명서(Amazon VPC User Guide)VPC 엔드포인트를 통해 서비스에 대한 액세스 제어(Controlling access to services with VPC endpoints)를 참조합니다.

S3 버킷 액세스에 대한 사용자 지정 정책

Image Builder는 공개적으로 사용 가능한 S3 버킷을 사용하여 구성 요소와 같은 관리형 리소스를 저장하고 액세스합니다. 또한 별도의 S3 버킷에서 AWSTOE 구성 요소 관리 애플리케이션을 다운로드합니다. 환경에서 Amazon S3용 VPC 엔드포인트를 사용하는 경우, Image Builder가 다음 S3 버킷에 액세스할 수 있도록 S3 VPC 엔드포인트 정책이 허용되는지 확인해야 합니다. 버킷 이름은 AWS 지역 (지역) 및 애플리케이션 환경 (환경) 별로 고유합니다. Image Builder는prod,preprod, 및 다음과 같은 애플리케이션 환경을 AWSTOE 지원합니다beta.

  • AWSTOE 구성 요소 관리자 버킷:

    s3://ec2imagebuilder-toe-region-environment

    예: s3://ec2 imagebuilder-toe-us-west -2-prod/*

  • Image Builder는 리소스 버킷을 관리합니다.

    s3://ec2imagebuilder-managed-resources-region-environment/components

    예: s3://ec2 -west-2-prod/컴포넌트/* imagebuilder-managed-resources-us

VPC 엔드포인트 정책 예제

이 섹션에는 사용자 지정 VPC 엔드포인트 정책의 예가 포함되어 있습니다.

Image Builder 작업에 대한 일반 VPC 엔드포인트 정책

Image Builder에 대한 다음 예제 엔드포인트 정책은 Image Builder 이미지 및 구성 요소 삭제 권한을 거부합니다. 또한 이 정책 예에서는 다른 모든 EC2 Image Builder 작업을 수행할 수 있는 권한을 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Action": "imagebuilder:*",
        "Effect": "Allow",
        "Resource": "*"
    },
    {
        "Action": [
            "imagebuilder: DeleteImage"
        ],
        "Effect": "Deny",
        "Resource": "*",
    },
    {
        "Action": [
            "imagebuilder: DeleteComponent"
        ],
        "Effect": "Deny",
        "Resource": "*",
    }]
}
조직별 액세스 제한, 관리되는 구성 요소 액세스 허용하기

다음 예제 엔드포인트 정책은 조직에 속한 ID 및 리소스에 대한 액세스를 제한하고 Amazon AWSTOE 관리 구성 요소에 대한 액세스를 제공하는 방법을 보여줍니다. 지역, principal-org-id, 를 조직의 resource-org-id가치로 바꾸십시오.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "principal-org-id",
          "aws:ResourceOrgID": "resource-org-id"
        }
      }
    },
    {
      "Sid": "AllowAccessToEC2ImageBuilderComponents",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "imagebuilder:GetComponent"
      ],
      "Resource": [
        "arn:aws:imagebuilder:region:aws:component/*"
      ]
    }
  ]
}
Amazon S3 버킷 액세스에 대한 VPC 엔드포인트 정책

다음 S3 엔드포인트 정책 예제는 Image Builder가 사용자 지정 이미지를 구축하는 데 사용하는 S3 버킷에 대한 액세스를 제공하는 방법을 보여줍니다. 리전환경을 해당 조직의 값으로 바꿉니다. 애플리케이션 요구 사항에 따라 기타 필수 권한을 정책에 추가합니다.

참고

Linux 이미지의 경우 이미지 레시피에 사용자 데이터를 지정하지 않는 경우 Image Builder는 Systems Manager 에이전트를 다운로드하여 이미지의 빌드 및 테스트 인스턴스에 설치하는 스크립트를 추가합니다. 에이전트를 다운로드하기 위해 Image Builder는 빌드 지역의 S3 버킷에 액세스합니다.

Image Builder가 빌드 및 테스트 인스턴스를 부트스트랩할 수 있도록 S3 엔드포인트 정책에 다음 리소스를 추가하십시오.

"arn:aws:s3:::amazon-ssm-region/*"

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
        "arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
      ]
    }
  ]
}