기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 공유 VPC에서 VPC 엔드포인트를 사용하여 Amazon Keyspaces에 대한 교차 계정 액세스 구성 다른를 생성 AWS 계정 하여 애플리케이션과 리소스를 분리할 수 있습니다. 예를 들어 Amazon Keyspaces 테이블에 대한 계정 하나, 개발 환경의 애플리케이션 계정 하나, 프로덕션 환경의 애플리케이션 계정 하나를 생성할 수 있습니다. 이 주제에서는 공유 VPC의 인터페이스 VPC 엔드포인트를 사용하여 Amazon Keyspaces에 대한 크로스 계정 액세스를 설정하는 데 필요한 구성 단계를 안내합니다. Amazon Keyspaces의 VPC 엔드포인트를 구성하는 방법에 대한 자세한 단계는 [3단계: Amazon Keyspaces에 대한 VPC 엔드포인트 생성](vpc-endpoints-tutorial.create-endpoint.md) 섹션을 참조하세요. 이 예제에서는 공유 VPC에서 다음 세 개의 계정을 사용합니다. + `Account A:111111111111` — 이 계정에는 VPC 엔드포인트, VPC 서브넷, Amazon Keyspaces 테이블을 비롯한 인프라가 포함되어 있습니다. + `Account B:222222222222` — 이 계정에는 `Account A:111111111111`에서 Amazon Keyspaces 테이블에 연결해야 하는 개발 환경의 애플리케이션이 포함되어 있습니다. + `Account C:333333333333` — 이 계정에는 `Account A:111111111111`에서 Amazon Keyspaces 테이블에 연결해야 하는 프로덕션 환경의 애플리케이션이 포함되어 있습니다. ![\[공유 VPC를 사용하는 동일한 AWS 리전 에서 동일한 조직이 소유한 세 개의 계정을 보여주는 다이어그램입니다.\]](http://docs.aws.amazon.com/ko_kr/keyspaces/latest/devguide/images/keyspaces_cross-account_sharedVPC.png) `Account A:111111111111`는 `Account B:222222222222` 및가 액세스`Account C:333333333333`해야 하는 리소스(Amazon Keyspaces 테이블)가 포함된 계정이고 `Account A:111111111111`는 *신뢰할 수* 있는 계정입니다. `Account B:222222222222` 및 `Account C:333333333333`는의 리소스(Amazon Keyspaces 테이블)에 액세스해야 하는 보안 주체가 있는 계정`Account A:111111111111`이므로 `Account B:222222222222` 및 `Account C:333333333333`는 *신뢰할* 수 있는 계정입니다. 신뢰하는 계정은 IAM 역할을 공유하여 신뢰 받는 계정에 권한을 부여합니다. 다음 절차에서는 `Account A:111111111111`에서 필요한 구성 단계를 간략하게 설명합니다. **`Account A:111111111111`에 대한 구성** 1. AWS Resource Access Manager 를 사용하여 서브넷에 대한 리소스 공유를 생성하고 프라이빗 서브넷을 `Account B:222222222222` 및와 공유합니다`Account C:333333333333`. `Account B:222222222222` 및 `Account C:333333333333`는 공유된 서브넷에서 리소스를 보고 생성할 수 있습니다. 1. 기반 Amazon Keyspaces 프라이빗 VPC 엔드포인트를 생성합니다 AWS PrivateLink. 이렇게 하면 Amazon Keyspaces 서비스 엔드포인트에 대한 공유 서브넷 전체와 DNS 항목에 걸쳐 공유되는 여러 엔드포인트가 생성됩니다. 1. Amazon Keyspaces 키스페이스 및 테이블을 생성합니다. 1. Amazon Keyspaces 테이블에 대한 `Account A:111111111111` 전체 액세스 권한, Amazon Keyspaces 시스템 테이블에 대한 읽기 액세스 권한이 있고 다음 정책 예제와 같이 Amazon EC2 VPC 리소스를 설명할 수 있는에서 IAM 역할을 생성합니다. ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountAccess", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcEndpoints", "cassandra:*" ], "Resource": "*" } ] } ``` 1. `Account B:222222222222` 및가 역할을 신뢰할 수 있는 계정으로 수임할 `Account C:333333333333` 수 `Account A:111111111111` 있도록에서 IAM 역할에 대한 신뢰 정책을 구성합니다. 방법은 다음 예제와 같습니다. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:role/Cross-Account-Role-B", "arn:aws:iam::333333333333:role/Cross-Account-Role-C" ] }, "Action": "sts:AssumeRole", "Condition": {} } ] } ``` 크로스 계정 IAM 정책에 대한 자세한 내용은 IAM 사용 설명서의 [크로스 계정 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)을 참조하세요. **`Account B:222222222222` 및 `Account C:333333333333`에서의 구성** 1. `Account B:222222222222`및 `Account C:333333333333`에서 새 역할을 만들고 `Account A:111111111111`에서 생성된 공유 역할을 주체가 맡도록 허용하는 다음 정책을 연결합니다. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } ``` 보안 주체가 공유 역할을 수임하도록 허용하는 것은 AWS Security Token Service ()의 `AssumeRole` API를 사용하여 구현됩니다AWS STS. 자세한 내용은 [ IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). 1. `Account B:222222222222` 및 `Account C:333333333333`에서는 SIGV4 인증 플러그인을 활용하는 애플리케이션을 생성할 수 있습니다. 그러면 애플리케이션이 공유 역할을 맡아 공유 VPC의 VPC 엔드포인트를 통해 `Account A:111111111111`에 위치한 Amazon Keyspaces 테이블에 연결할 수 있습니다. SIGV4에 대한 자세한 내용은 [Amazon Keyspaces에 프로그래밍 방식으로 액세스하기 위한 자격 증명 만들기](programmatic.credentials.md) 섹션을 참조하세요. 다른 AWS 계정의 역할을 수임하도록 애플리케이션을 구성하는 방법에 대한 자세한 내용은 SDK 및 도구 참조 안내서의 [인증 및 액세스를](https://docs.aws.amazon.com/sdkref/latest/guide/access.html) 참조하세요. *AWS SDKs *