기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 보안 AWS Outposts
의 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.
보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이 사항을 클라우드의 보안 및 클라우드 내 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는 AWS 클라우드에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사자는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/) 일환으로 보안의 효과를 정기적으로 테스트하고 확인합니다. 에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 [AWS 제공 범위 내 서비스규정 준수 프로그램](https://aws.amazon.com/compliance/services-in-scope/) 제공 범위 내 서비스를 AWS Outposts참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 귀하는 귀사의 데이터 민감도, 귀사의 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.
보안 및 규정 준수에 대한 자세한 내용은 [AWS Outposts 랙 FAQ](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance)를 AWS Outposts참조하세요.
이 설명서는를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다 AWS Outposts. 보안 및 규정 준수 목표에 맞게 구성하는 방법을 보여줍니다. 또한 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.
**Topics**
+ [데이터 보호](data-protection.md)
+ [ID 및 액세스 관리](identity-access-management.md)
+ [인프라 보안](infrastructure-security.md)
+ [복원력](disaster-recovery-resiliency.md)
+ [규정 준수 확인](compliance-validation.md)
+ [인터넷 액세스](internet-access.md)
# 의 데이터 보호 AWS Outposts
AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다 AWS Outposts. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 이 콘텐츠에는 AWS 서비스 사용하는에 대한 보안 구성 및 관리 작업이 포함됩니다.
데이터 보호를 위해 자격 AWS 계정 증명을 보호하고 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이러한 방식에는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다.
데이터 프라이버시에 대한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.
## 저장 시 암호화
AWS Outposts를 사용하면 모든 데이터가 저장 시 암호화됩니다. 키 자료는 이동식 장치에 저장된 외부 키인 Nitro 보안 키(NSK)에 래핑됩니다. Outpost 랙의 데이터를 해독하려면 NSK가 필요합니다.
Amazon EBS 암호화를 EBS 볼륨과 스냅샷에 사용할 수 있습니다. Amazon EBS 암호화는 AWS Key Management Service (AWS KMS) 및 KMS 키를 사용합니다. 자세한 내용은 [Amazon EBS 사용 설명서의 Amazon EBS 암호화](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)를 참조하세요. **
## 전송 중 암호화
AWS 는 Outpost와 해당 AWS 리전 간에 전송 중 데이터를 암호화합니다. 자세한 내용은 [서비스 링크를 통한 연결](service-links.md) 단원을 참조하십시오.
TLS(전송 계층 보안)와 같은 암호화 프로토콜을 사용하여 로컬 게이트웨이를 통해 로컬 네트워크로 전송 중인 민감한 데이터를 암호화할 수 있습니다.
## 데이터 삭제
인스턴스를 중지하거나 종료하면 인스턴스에 할당된 메모리는 새 인스턴스에 할당되기 전에 하이퍼바이저에서 스크러빙(0으로 설정)되며 스토리지의 모든 블록은 재설정됩니다.
Nitro 보안 키를 파괴하면 Outpost의 데이터가 암호적으로 파기됩니다.
# 용 ID 및 액세스 관리(IAM) AWS Outposts
AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있도록 지원하는 AWS 서비스입니다. IAM 관리자는 누가 AWS Outposts 리소스를 사용할 수 있는 인증(로그인) 및 권한(권한 있음)을 받을 수 있는지 제어합니다. IAM은 추가 요금 없이 사용할 수 있습니다.
**Topics**
+ [AWS Outposts가 IAM에서 작동하는 방식](security_iam_service-with-iam.md)
+ [정책 예시](security_iam_id-based-policy-examples.md)
+ [서비스 연결 역할](using-service-linked-roles.md)
+ [AWS 관리형 정책](security-iam-awsmanpol.md)
# AWS Outposts가 IAM에서 작동하는 방식
IAM을 사용하여 AWS Outposts에 대한 액세스를 관리하기 전에 AWS Outposts에서 사용할 수 있는 IAM 기능을 알아봅니다.
| IAM 특성 | AWS Outpost 지원 |
| --- | --- |
| [자격 증명 기반 정책](#security_iam_service-with-iam-id-based-policies) | 예 |
| 리소스 기반 정책 | 아니요 |
| [정책 작업](#security_iam_service-with-iam-id-based-policies-actions) | 예 |
| [정책 리소스](#security_iam_service-with-iam-id-based-policies-resources) | 예 |
| [정책 조건 키(서비스별)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 예 |
| ACL | 아니요 |
| [ABAC(정책의 태그)](#security_iam_service-with-iam-tags) | 예 |
| [임시 보안 인증](#security_iam_service-with-iam-roles-tempcreds) | 예 |
| [엔터티 권한](#security_iam_service-with-iam-principal-permissions) | 예 |
| 서비스 역할 | 아니요 |
| [서비스 연결 역할](#security_iam_service-with-iam-roles-service-linked) | 예 |
## AWS Outposts에 대한 자격 증명 기반 정책
**ID 기반 정책 지원:** 예
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. JSON 정책에서 사용할 수 있는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.
### AWS Outposts에 대한 자격 증명 기반 정책 예제
AWS Outposts 자격 증명 기반 정책의 예를 보려면 섹션을 참조하세요[AWS Outposts 정책 예제](security_iam_id-based-policy-examples.md).
## AWS Outposts에 대한 정책 작업
**정책 작업 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.
AWS Outposts 작업 목록을 보려면 *서비스 승인* 참조의에서 [정의한 작업을 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) 참조하세요.
AWS Outposts의 정책 작업은 작업 앞에 다음 접두사를 사용합니다.
```
outposts
```
단일 문에서 여러 작업을 지정하려면 쉼표로 구분합니다.
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `List`라는 단어로 시작하는 모든 작업을 지정하려면 다음 작업을 포함합니다.
```
"Action": "outposts:List*"
```
## AWS Outposts에 대한 정책 리소스
**정책 리소스 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.
```
"Resource": "*"
```
일부 AWS Outposts API 작업은 여러 리소스를 지원합니다. 단일 문에서 여러 리소스를 지정하려면 ARN을 쉼표로 구분합니다.
```
"Resource": [
"resource1",
"resource2"
]
```
AWS Outposts 리소스 유형 및 해당 ARNs 목록을 보려면 *서비스 승인* 참조의에서 [정의한 리소스 유형을 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) 참조하세요. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 [AWS Outposts에서 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions)을 참조하세요.
## AWS Outposts에 사용되는 정책 조건 키
**서비스별 정책 조건 키 지원:** 예
관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.
`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.
AWS Outposts 조건 키 목록을 보려면 *서비스 권한 부여* 참조의에 [대한 조건 키를 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) 참조하세요. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 [에서 정의한 작업을 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) 참조하세요.
AWS Outposts 자격 증명 기반 정책의 예를 보려면 섹션을 참조하세요[AWS Outposts 정책 예제](security_iam_id-based-policy-examples.md).
## AWS Outposts를 사용한 ABAC
**ABAC 지원(정책의 태그):** 예
속성 기반 액세스 제어(ABAC)는 태그라고 불리는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. IAM 엔터티 및 AWS 리소스에 태그를 연결한 다음 보안 주체의 태그가 리소스의 태그와 일치할 때 작업을 허용하는 ABAC 정책을 설계할 수 있습니다.
태그에 근거하여 액세스를 제어하려면 `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`또는 `aws:TagKeys`조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다.
서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우, 값은 서비스에 대해 **예**입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우, 값은 **부분적**입니다.
ABAC에 대한 자세한 내용은 *IAM 사용 설명서*의 [ABAC 권한 부여를 통한 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 *IAM 사용 설명서*의 [속성 기반 액세스 제어(ABAC) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)을 참조하세요.
## AWS Outposts에서 임시 자격 증명 사용
**임시 자격 증명 지원:** 예
임시 자격 증명은 AWS 리소스에 대한 단기 액세스를 제공하며 페더레이션 또는 전환 역할을 사용할 때 자동으로 생성됩니다. 장기 액세스 키를 사용하는 대신 임시 자격 증명을 동적으로 생성하는 것이 AWS 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 및 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 섹션을 참조하세요.
## AWS Outposts에 대한 교차 서비스 보안 주체 권한
**전달 액세스 세션(FAS) 지원:** 예
전달 액세스 세션(FAS)은를 호출하는 보안 주체의 권한을 다운스트림 서비스에 AWS 서비스 대한 요청과 AWS 서비스함께 사용합니다. FAS 요청 시 정책 세부 정보는 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 참조하세요.
## AWS Outposts에 대한 서비스 연결 역할
**서비스 연결 역할 지원:** 예
서비스 연결 역할은에 연결된 서비스 역할의 한 유형입니다 AWS 서비스. 서비스는 사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 연결 역할은에 표시 AWS 계정 되며 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.
AWS Outposts 서비스 연결 역할 생성 또는 관리에 대한 자세한 내용은 섹션을 참조하세요[에 대한 서비스 연결 역할 AWS Outposts](using-service-linked-roles.md).
# AWS Outposts 정책 예제
기본적으로 사용자 및 역할에는 AWS Outpost 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.
이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.
각 리소스 유형에 대한 ARNs 형식을 포함하여 AWS Outposts에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 승인* 참조의 [에 사용되는 작업, 리소스 및 조건 키를 AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) 참조하세요.
**Topics**
+ [정책 모범 사례](#security_iam_service-with-iam-policy-best-practices)
+ [예제: 리소스 수준 권한 사용](#outposts-policy-examples)
## 정책 모범 사례
자격 증명 기반 정책에 따라 계정에서 사용자가 AWS Outpost 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.
IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.
## 예제: 리소스 수준 권한 사용
다음 예에서는 리소스 수준 권한을 사용하여 지정된 Outpost에 대한 정보를 가져올 수 있는 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
다음 예제에서는 리소스 수준 권한을 사용하여 지정된 사이트에 대한 정보를 가져올 수 있는 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# 에 대한 서비스 연결 역할 AWS Outposts
AWS Outposts 는 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은에 직접 연결된 서비스 역할의 한 유형입니다 AWS Outposts. 서비스 연결 역할을 AWS Outposts 정의하고 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로를 AWS Outposts 보다 효율적으로 설정할 수 있습니다.는 서비스 연결 역할의 권한을 AWS Outposts 정의하며, 달리 정의되지 않은 한 만 해당 역할을 수임 AWS Outposts 할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 AWS Outposts 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 리소스가 보호됩니다.
## 에 대한 서비스 연결 역할 권한 AWS Outposts
AWS Outposts 는 **AWSServiceRoleForOutposts\$1*OutpostID***라는 서비스 연결 역할을 사용합니다. 이 역할은 사용자를 대신하여 프라이빗 연결을 활성화하기 위해 네트워킹 리소스를 관리할 수 있는 권한을 Outposts에 부여합니다. 또한이 역할을 통해 Outposts는 네트워크 인터페이스를 생성 및 구성하고, 보안 그룹을 관리하고, 서비스 링크 엔드포인트 인스턴스에 인터페이스를 연결할 수 있습니다. 이러한 권한은 온프레미스 Outpost와 AWS 서비스 간에 안전한 프라이빗 연결을 설정하고 유지하여 Outpost 배포의 안정적인 운영을 보장하는 데 필요합니다.
AWSServiceRoleForOutposts\$1*OutpostID* 서비스 링크 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `outposts.amazonaws.com`
### 서비스 연결 역할 정책
AWSServiceRoleForOutposts\$1*OutpostID* 서비스 연결 역할에는 다음 정책이 포함됩니다.
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
이 `AWSOutpostsServiceRolePolicy` 정책은에서 관리하는 AWS 리소스에 대한 액세스를 활성화합니다 AWS Outposts.
이 정책은가 지정된 리소스에서 다음 작업을 완료 AWS Outposts 하도록 허용합니다.
+ 작업: 모든 AWS 리소스`ec2:DescribeNetworkInterfaces`에 대해
+ 작업: 모든 AWS 리소스`ec2:DescribeSecurityGroups`에 대해
+ 작업: 모든 AWS 리소스`ec2:DescribeSubnets`에 대해
+ 작업: 모든 AWS 리소스`ec2:DescribeVpcEndpoints`에 대해
+ 작업: 다음 AWS 리소스에 `ec2:CreateNetworkInterface` 대해:
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ 작업: 다음 조건과 `"arn:*:ec2:*:*:network-interface/*"` 일치하는 `ec2:CreateNetworkInterface` AWS 리소스에 대해:
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ 작업: 다음 AWS 리소스에 `ec2:CreateSecurityGroup` 대해:
```
"arn:*:ec2:*:*:vpc/*"
```
+ 작업: 다음 조건과 `"arn:*:ec2:*:*:security-group/*"` 일치하는 `ec2:CreateSecurityGroup` AWS 리소스에 대해:
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
이 `AWSOutpostsPrivateConnectivityPolicy_OutpostID` 정책은가 지정된 리소스에서 다음 작업을 완료 AWS Outposts 하도록 허용합니다.
+ 작업: 다음 조건과 일치하는 `ec2:AuthorizeSecurityGroupIngress` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 작업: 다음 조건과 일치하는 `ec2:AuthorizeSecurityGroupEgress` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 작업: 다음 조건과 일치하는 `ec2:CreateNetworkInterfacePermission` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 작업: 다음 조건과 일치하는 `ec2:CreateTags` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ 작업: 다음 조건과 일치하는 `ec2:RevokeSecurityGroupIngress` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 작업: 다음 조건과 일치하는 `ec2:RevokeSecurityGroupEgress` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 작업: 다음 조건과 일치하는 `ec2:DeleteNetworkInterface` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ 작업: 다음 조건과 일치하는 `ec2:DeleteSecurityGroup` 모든 AWS 리소스에 대해:
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)을 참조하세요.
## 에 대한 서비스 연결 역할 생성 AWS Outposts
서비스 연결 역할은 수동으로 생성할 필요가 없습니다. 에서 Outpost에 대한 프라이빗 연결을 구성하면가 서비스 연결 역할을 AWS Management Console AWS Outposts 생성합니다.
자세한 내용은 [서비스 링크 프라이빗 연결 옵션](private-connectivity.md) 단원을 참조하십시오.
## 에 대한 서비스 연결 역할 편집 AWS Outposts
AWS Outposts 에서는 AWSServiceRoleForOutposts\$1*OutpostID* 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 업데이트](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)를 참조하세요.
## 에 대한 서비스 연결 역할 삭제 AWS Outposts
서비스 링크 역할이 필요한 기능이나 서비스가 더 이상 필요하지 않으면 그 역할을 삭제하는 것이 좋습니다. 이렇게 하면 적극적으로 모니터링되거나 유지 관리되지 않는 미사용 개체를 피할 수 있습니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
리소스를 삭제하려고 할 때 AWS Outposts 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하십시오.
AWSServiceRoleForOutposts\$1*OutpostID* 서비스 링크 역할을 삭제하려면 먼저 Outpost를 삭제해야 합니다.
시작하기 전에 Outpost가 AWS Resource Access Manager ()를 사용하여 공유되지 않는지 확인합니다AWS RAM. 자세한 내용은 [공유 Outpost 리소스 공유 해제를](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare) 참조하세요.
**AWSServiceRoleForOutposts\$1*OutpostID*에서 사용하는 AWS Outposts 리소스를 삭제하려면**
Outpost를 삭제하려면 AWS Enterprise Support에 문의하세요.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)를 참조하세요.
## AWS Outposts 서비스 연결 역할에 지원되는 리전
AWS Outposts 는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 Outpost 랙에 대한 FAQs를 참조하세요. [https://aws.amazon.com/outposts/rack/faqs/](https://aws.amazon.com/outposts/rack/faqs/)
# AWS AWS Outposts에 대한 관리형 정책
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSOutpostsServiceRolePolicy
이 정책은 AWS Outposts가 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은 [서비스 연결 역할](using-service-linked-roles.md) 단원을 참조하십시오.
## AWS AWS 관리형 정책에 대한 Outpost 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 AWS Outposts의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.
| 변경 | 설명 | Date |
| --- | --- | --- |
| AWS Identity and Access Management 서비스 연결 역할 AWSServiceRoleForOutposts\$1OutpostID 업데이트 | AWSServiceRoleForOutposts\$1OutpostID 서비스 연결 역할 권한은 서비스 링크 엔드포인트 인스턴스에 필요한 네트워크 인터페이스 및 보안 그룹 작업에 대한 보다 정확한 제어를 통해가 프라이빗 연결을 위한 네트워킹 리소스를 AWS Outposts 관리하는 방법을 구체화하도록 업데이트되었습니다. | 2025년 4월 18일 |
| AWS Outposts에서 변경 사항 추적 시작 | AWS Outposts가 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2019년 12월 3일 |
# 의 인프라 보안 AWS Outposts
관리형 서비스인 AWS Outposts는 AWS 글로벌 네트워크 보안으로 보호됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요 AWS .
AWS 에서 게시한 API 호출을 사용하여 네트워크를 통해 AWS Outposts에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.
Outpost에서 실행되는 EC2 인스턴스 및 EBS 볼륨에 제공되는 인프라 보안에 대한 자세한 내용은 [Amazon EC2의 인프라 보안](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html)을 참조하세요.
VPC 흐름 로그는 AWS 리전에서와 동일한 방식으로 작동합니다. 즉, CloudWatch Logs, Amazon S3 또는 Amazon GuardDuty에 게시하여 분석을 수행할 수 있습니다. 이러한 서비스에 게시하려면 데이터를 리전으로 다시 전송해야 하므로 Outpost의 연결이 끊긴 상태에서는 CloudWatch 또는 기타 서비스에 데이터가 표시되지 않습니다.
## AWS Outposts 장비에 대한 변조 모니터링
어느 누구도 장비를 수정, 변경, 리버스 엔지니어 또는 변조하지 않도록 해야 AWS Outposts 합니다. [AWS 서비스 약관](https://aws.amazon.com/service-terms/) 준수를 보장하기 위해 AWS Outposts 장비에는 변조 모니터링이 탑재되어 있을 수 있습니다.
# 의 복원력 AWS Outposts
AWS Outposts 는 가용성이 높도록 설계되었습니다. Outpost 랙은 예비 전원 및 네트워킹 장비를 사용하도록 설계되었습니다. 추가적인 복원력을 위해서는 Outpost에 이중 전력과 중복 네트워크 연결을 제공하는 것이 좋습니다.
고가용성을 위해, Outpost 랙에서 추가 내장 용량과 상시 활성 용량을 프로비저닝하여 . Outpost 용량 구성은 프로덕션 환경에서 작동하도록 설계되었으며, 용량을 프로비저닝하면 각 인스턴스 패밀리에 대해 N\$11 인스턴스를 지원합니다. AWS 은(는) 기본 호스트 문제가 있는 경우 복구 및 장애 조치를 수행할 수 있도록 미션 크리티컬 애플리케이션에 충분한 추가 용량을 할당할 것을 권장합니다. Amazon CloudWatch 용량 가용성 지표를 사용하고 경보를 설정하여 애플리케이션 상태를 모니터링하고, CloudWatch 작업을 생성하여 자동 복구 옵션을 구성하고, 시간 경과에 따른 Outpost의 용량 사용률을 모니터링할 수 있습니다.
Outpost를 생성할 때 AWS 리전에서 가용 영역을 선택합니다. 이 가용 영역은 API 호출에 대한 응답, Outpost 모니터링, Outpost 업데이트와 같은 컨트롤 플레인 작업을 지원합니다. 가용 영역이 제공하는 복원력을 활용하려면 각각 다른 가용 영역에 연결된 여러 Outpost에 애플리케이션을 배포할 수 있습니다. 이를 통해 추가 애플리케이션 복원력을 구축하고 단일 가용 영역에 대한 의존성을 피할 수 있습니다. 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라](https://aws.amazon.com/about-aws/global-infrastructure/)를 참조하세요.
배치 그룹을 분산 전략과 함께 사용하여 인스턴스가 서로 다른 Outpost 랙에 배치되도록 할 수 있습니다. 이렇게 하면 상호 관련된 장애를 줄이는 데 도움이 될 수 있습니다. 자세한 내용은 [Outpost의 배치 그룹](outposts-optimizations.md#placement-groups-outpost) 단원을 참조하십시오.
Amazon EC2 Auto Scaling을 사용하여 Outpost에서 인스턴스를 시작하고 Application Load Balancer를 생성하여 인스턴스 간에 트래픽을 분산할 수 있습니다. 자세한 내용은 [AWS Outposts에서 Application Load Balancer 구성](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/)을 참조하세요.
# 에 대한 규정 준수 검증 AWS Outposts
AWS 서비스 가 특정 규정 준수 프로그램의 범위 내에 있는지 알아보려면 [AWS 서비스 규정 준수 프로그램 제공 범위 내](https://aws.amazon.com/compliance/services-in-scope/)를 참조하고 관심 있는 규정 준수 프로그램을 선택합니다. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/).
를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [Downloading Reports inDownloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)을 참조하세요.
사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표, 관련 법률 및 규정에 따라 AWS 서비스 결정됩니다. 사용 시 규정 준수 책임에 대한 자세한 내용은 [AWS 보안 설명서를](https://docs.aws.amazon.com/security/) AWS 서비스참조하세요.
# AWS Outposts 워크로드에 대한 인터넷 액세스
이 섹션에서는 AWS Outposts 워크로드가 다음과 같은 방법으로 인터넷에 액세스하는 방법을 설명합니다.
+ 상위 AWS 리전을 통해
+ 로컬 데이터 센터의 네트워크를 통해
## 상위 AWS 리전을 통한 인터넷 액세스
이 옵션에서 Outposts의 워크로드는 서비스 링크를 통해 인터넷에 액세스한 다음 상위 AWS 리전의 인터넷 게이트웨이(IGW)를 통해 인터넷에 액세스합니다. 인터넷으로의 아웃바운드 트래픽은 VPC에서 인스턴스화된 NAT 게이트웨이를 통해 이루어질 수 있습니다. 수신 및 송신 트래픽에 대한 추가 보안을 위해 AWS 리전에서 AWS WAF AWS Shield및 Amazon CloudFront와 같은 AWS 보안 서비스를 사용할 수 있습니다.
Outpost 서브넷의 라우팅 테이블 설정은 [로컬 게이트웨이 라우팅 테이블](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)을 참조하세요.
### 고려 사항
+ 이 옵션은 다음과 같은 경우에 사용합니다.
+ AWS 리전의 여러 AWS 서비스를 통해 인터넷 트래픽을 보호할 수 있는 유연성이 필요합니다.
+ 데이터 센터 또는 코로케이션 시설에 인터넷 접속 지점이 없는 경우.
+ 이 옵션에서는 트래픽이 상위 AWS 리전을 통과해야 하므로 지연 시간이 발생합니다.
+ AWS 리전의 데이터 전송 요금과 마찬가지로 상위 가용 영역에서 Outpost로 데이터를 전송하면 요금이 발생합니다. 데이터 전송에 대한 자세한 내용은 [Amazon EC2 온디맨드 요금](https://aws.amazon.com/ec2/pricing/on-demand/)을 참조하세요.
+ 서비스 링크 대역폭의 사용률이 증가합니다.
다음 이미지는 Outpost 인스턴스의 워크로드와 상위 AWS 리전을 통과하는 인터넷 간의 트래픽을 보여줍니다.
![\[Outpost 인스턴스의 워크로드와 상위 AWS 리전을 통과하는 인터넷 간의 트래픽을 표시합니다.\]](http://docs.aws.amazon.com/ko_kr/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## 로컬 데이터 센터의 네트워크를 통한 인터넷 액세스
이 옵션에서는 Outpost의 워크로드가 로컬 데이터 센터를 통해 인터넷에 액세스합니다. 인터넷에 액세스하는 워크로드 트래픽은 로컬 인터넷 접속 지점을 통과하여 로컬로 빠져나갑니다. 로컬 데이터 센터 네트워크의 보안 계층은 Outpost 워크로드 트래픽을 보호할 책임이 있습니다.
Outpost 서브넷의 라우팅 테이블 설정은 [로컬 게이트웨이 라우팅 테이블](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html)을 참조하세요.
### 고려 사항
+ 이 옵션은 다음과 같은 경우에 사용합니다.
+ 워크로드에는 인터넷 서비스에 대한 짧은 지연 시간 액세스가 필요합니다.
+ 데이터 전송(DTO) 요금이 발생하지 않도록 하는 것이 좋습니다.
+ 제어 영역 트래픽에 대한 서비스 링크 대역폭을 보존하려고 합니다.
+ 보안 계층은 Outpost 워크로드 트래픽을 보호할 책임이 있습니다.
+ 직접 VPC 라우팅(DVR)을 선택하는 경우 Outposts CIDR이 온프레미스 CIDR과 충돌하지 않도록 해야 합니다.
+ 기본 경로(0/0)가 로컬 게이트웨이(LGW)를 통해 전파되는 경우 인스턴스가 서비스 엔드포인트에 도달하지 못할 수 있습니다. 대체 방안으로 VPC 엔드포인트를 선택하여 원하는 서비스에 도달할 수 있습니다.
다음 이미지는 Outpost 인스턴스의 워크로드와 로컬 데이터 센터를 통과하는 인터넷 간의 트래픽을 보여줍니다.
![\[Outpost 인스턴스의 워크로드와 데이터 센터 네트워크를 통과하는 인터넷 간의 트래픽을 표시합니다.\]](http://docs.aws.amazon.com/ko_kr/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)