Step Functions용 Amazon VPC 엔드포인트 생성 - AWS Step Functions
엔드포인트 만들기Amazon VPC 엔드포인트 정책엔드포인트 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Step Functions용 Amazon VPC 엔드포인트 생성

Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스팅하는 경우 Amazon VPC와 AWS Step Functions 워크플로 간에 연결을 설정할 수 있습니다. 퍼블릭 인터넷을 사용하지 않고도 Step Functions 워크플로에서 이 연결을 사용할 수 있습니다. Amazon VPC 엔드포인트는 표준 워크플로, Express 워크플로 및 동기식 Express 워크플로에서 지원됩니다.

Amazon VPC를 사용하면 사용자 지정 가상 네트워크에서 AWS 리소스를 시작할 수 있습니다. VPC를 사용하여 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등의 네트워크 설정을 제어할 수 있습니다. VPC에 대한 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

Amazon VPC를 Step Functions에 연결하려면 먼저 VPC를 다른 AWS 서비스에 연결할 수 있는 인터페이스 VPC 엔드포인트를 정의해야 합니다. 이 엔드포인트를 이용하면 인터넷 게이트웨이나 NAT(네트워크 주소 변환) 인스턴스 또는 VPN 연결 없이도 안정적이고 확장 가능하게 연결됩니다. 자세한 내용은 Amazon VPC 사용 설명서인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하십시오.

엔드포인트 만들기

AWS Management Console, AWS Command Line Interface(AWS CLI), AWS SDK, AWS Step Functions API 또는 AWS CloudFormation을 사용하여 VPC에서 AWS Step Functions 엔드포인트를 생성할 수 있습니다.

Amazon VPC 콘솔 또는 AWS CLI를 사용한 엔드포인트 생성 및 구성에 대한 자세한 내용은 Amazon VPC 사용 설명서인터페이스 엔드포인트 생성을 참조하십시오.

참고

엔드포인트를 만들 때 VPC를 연결할 서비스로 Step Functions를 지정합니다. Amazon VPC 콘솔에서 서비스 이름은 AWS 리전에 따라 다릅니다. 예를 들어 미국 동부(버지니아 북부)를 선택한 경우 표준 워크플로 및 Express 워크플로의 서비스 이름은 com.amazonaws.us-east-1.states이고 동기식 Express 워크플로의 서비스 이름은 com.amazonaws.us-east-1.sync-states입니다.

참고

프라이빗 DNS를 통해 SDK에서 엔드포인트를 재정의하지 않고도 VPC 엔드포인트를 사용할 수 있습니다. 하지만 동기식 Express 워크플로의 SDK에서 엔드포인트를 재정의하려면 DisableHostPrefixInjection 구성을 true로 설정해야 합니다. 예제(Java SDK V2): 

SfnClient.builder()
  .endpointOverride(URI.create("https://vpce-{vpceId}.sync-states.us-east-1.vpce.amazonaws.com"))
  .overrideConfiguration(ClientOverrideConfiguration.builder()
    .advancedOptions(ImmutableMap.of(SdkAdvancedClientOption.DISABLE_HOST_PREFIX_INJECTION, true))
    .build())
  .build();

AWS CloudFormation을 사용하여 엔드포인트를 생성하고 구성하는 방법에 대한 자세한 내용은 AWS CloudFormation 사용 설명서AWS::EC2::VPCEndpoint 리소스를 참조하십시오.

Amazon VPC 엔드포인트 정책

Step Functions에 대한 연결 액세스를 제어하기 위해 VPC 엔드포인트를 만드는 동안 AWS Identity and Access Management(IAM) 엔드포인트 정책을 연결할 수 있습니다. 엔드포인트 정책 여러 개를 연결하여 복잡한 IAM 규칙을 만들 수 있습니다. 자세한 내용은 다음을 참조하십시오.

Step Functions에 대한 Amazon Virtual Private Cloud 엔드포인트 정책

Step Functions에 대한 Amazon VPC 엔드포인트 정책을 만들어 다음을 지정할 수 있습니다.

  • 작업을 수행할 수 있는 보안 주체.

  • 수행할 수 있는 작업.

  • 작업을 수행할 수 있는 리소스.

다음 예제에서는 한 사용자가 상태 시스템을 만들 수 있도록 허용하고 상태 시스템을 삭제할 수 있는 다른 모든 사용자 권한을 거부하는 Amazon VPC 엔드포인트 정책을 보여줍니다. 또한 예제 정책은 모든 사용자에게 실행 권한을 부여합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "*Execution",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Action": "states:CreateStateMachine",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": {
              "AWS": "arn:aws:iam::123456789012:user/MyUser"
            }
        },
        {
            "Action": "states:DeleteStateMachine",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}

엔드포인트 정책 생성에 대한 자세한 내용은 다음을 참조하십시오.