기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
VPC 엔드포인트를 통해 InfluxDB용 Timestream에 연결
Virtual Private Cloud(VPC)의 프라이빗 인터페이스 엔드포인트를 통해 Timestream for InfluxDB에 직접 연결할 수 있습니다. 인터페이스 VPC 엔드포인트를 사용하면 VPC와 InfluxDB용 Timestream 간의 통신이 AWS 네트워크 내에서 완전히 수행됩니다.
InfluxDB용 Timestream은 로 구동되는 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 지원합니다AWS PrivateLink. 각 VPC 엔드포인트는 하나 이상의 탄력적 네트워크 인터페이스(ENI) 및 VPC 서브넷의 프라이빗 IP 주소로 표현됩니다.
인터페이스 VPC 엔드포인트는 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 연결 없이 VPC를 InfluxDB용 Timestream에 직접 AWS Direct Connect 연결합니다. VPC의 인스턴스는 Timestream for InfluxDB와 통신하는 데 퍼블릭 IP 주소가 필요하지 않습니다.
리전
InfluxDB용 Timestream은 InfluxDB용 Timestream AWS 리전 이 지원되는 모든에서 VPC 엔드포인트 및 VPC 엔드포인트 정책을 지원합니다.
주제
InfluxDB VPC 엔드포인트의 Timestream 고려 사항
InfluxDB용 Timestream에 대한 인터페이스 VPC 엔드포인트를 설정하기 전에 AWS PrivateLink 가이드의 인터페이스 엔드포인트 속성 및 제한 주제를 검토하세요.
VPC 엔드포인트에 대한 InfluxDB용 Timestream 지원에는 다음이 포함됩니다.
-
VPC 엔드포인트를 사용하여 VPC에서 InfluxDB API 작업을 위한 모든 Timestream을 호출할 수 있습니다.
-
AWS CloudTrail 로그를 사용하여 VPC 엔드포인트를 통해 Timestream for InfluxDB 리소스 사용을 감사할 수 있습니다. 세부 정보는 VPC 엔드포인트 로깅을 참조하세요.
InfluxDB용 Timestream에 대한 VPC 엔드포인트 생성
Amazon VPC 콘솔 또는 Amazon VPC API를 사용하여 InfluxDB용 Timestream에 대한 VPC 엔드포인트를 생성할 수 있습니다. 자세한 내용은 AWS PrivateLink 설명서의 인터페이스 엔드포인트 생성을 참조하세요.
-
InfluxDB용 Timestream에 대한 VPC 엔드포인트를 생성하려면 다음 서비스 이름을 사용합니다.
com.amazonaws.region.timestream-influxdb예를 들어 미국 서부(오레곤) 리전(
us-west-2)에서 서비스 이름은 다음과 같습니다.com.amazonaws.us-west-2.timestream-influxdb
VPC 엔드포인트를 더 쉽게 사용하려면 VPC 엔드포인트에 프라이빗 DNS 이름을 사용하도록 설정합니다. DNS 이름 활성화 옵션을 선택하면 InfluxDB DNS 호스트 이름에 대한 표준 Timestream이 VPC 엔드포인트로 확인됩니다. 예를 들어 https://timestream-influxdb.us-west-2.amazonaws.com은 서비스 이름 com.amazonaws.us-west-2.timestream-influxdb에 연결된 VPC 엔드포인트로 확인됩니다.
이 옵션을 선택하면 VPC 엔드포인트를 더 쉽게 사용할 수 있습니다. AWS SDKs 및는 기본적으로 표준 Timestream for InfluxDB DNS 호스트 이름을 AWS CLI 사용하므로 애플리케이션 및 명령에서 VPC 엔드포인트 URL을 지정할 필요가 없습니다.
자세한 내용은 AWS PrivateLink 가이드의 인터페이스 엔드포인트를 통해 서비스 액세스를 참조하세요.
InfluxDB VPC 엔드포인트의 Timestream에 연결
AWS SDK, AWS CLI 또는를 사용하여 VPC 엔드포인트를 통해 InfluxDB용 Timestream에 연결할 수 있습니다 AWS Tools for PowerShell. VPC 엔드포인트를 지정하려면 해당 DNS 이름을 사용합니다.
VPC 엔드포인트를 만들 때 프라이빗 호스트 이름을 사용하도록 설정한 경우 CLI 명령 또는 애플리케이션 구성에 VPC 엔드포인트 URL을 지정할 필요가 없습니다. InfluxDB DNS 호스트 이름의 표준 Timestream은 VPC 엔드포인트로 확인됩니다. AWS CLI 및 SDKs는 기본적으로이 호스트 이름을 사용하므로 스크립트 및 애플리케이션에서 아무것도 변경하지 않고 VPC 엔드포인트를 사용하여 Timestream for InfluxDB 리전 엔드포인트에 연결할 수 있습니다.
프라이빗 호스트 이름을 사용하려면 VPC의 enableDnsHostnames 및 enableDnsSupport 속성을 true로 설정해야 합니다. 이러한 속성을 설정하려면 ModifyVpcAttribute 작업을 사용합니다. 자세한 내용은 Amazon VPC 사용 설명서의 VPC에 대한 DNS 속성 보기 및 업데이트 섹션을 참조하세요.
VPC 엔드포인트에 대한 액세스 제어
Timestream for InfluxDB의 VPC 엔드포인트에 대한 액세스를 제어하려면 VPC 엔드포인트 정책을 VPC 엔드포인트에 연결합니다. 엔드포인트 정책은 보안 주체가 VPC 엔드포인트를 사용하여 InfluxDB 리소스의 Timestream for InfluxDB InfluxDB 작업에서 Timestream을 호출할 수 있는지 여부를 결정합니다.
엔드포인트를 생성할 때 VPC 엔드포인트 정책을 생성할 수 있으며, 언제든지 VPC 엔드포인트 정책을 변경할 수 있습니다. VPC 관리 콘솔이나 CreateVpcEndpoint 또는 ModifyVpcEndpoint 작업을 사용합니다. AWS CloudFormation 템플릿을 사용하여 VPC 엔드포인트 정책을 생성하고 변경할 수도 있습니다. VPC 관리 콘솔 사용에 대한 도움말은 AWS PrivateLink 설명서의 인터페이스 엔드포인트 생성 및 인터페이스 엔드포인트 수정을 참조하세요.
참고
InfluxDB의 Timestream은 2020년 7월부터 VPC 엔드포인트 정책을 지원합니다. 해당 날짜 이전에 생성된 Timestream for InfluxDB의 VPC 엔드포인트에는 기본 VPC 엔드포인트 정책이 있지만 언제든지 변경할 수 있습니다.
VPC 엔드포인트 정책 정보
VPC 엔드포인트를 사용하는 Timestream for InfluxDB 요청이 성공하려면 보안 주체에 두 소스의 권한이 필요합니다.
-
IAM 정책은 보안 주체에게 리소스에 대한 작업을 호출할 수 있는 권한을 부여해야 합니다.
-
VPC 엔드포인트 정책은 보안 주체에 엔드포인트를 사용하여 요청을 수행할 권한을 부여해야 합니다.
기본 VPC 엔드포인트 정책
모든 VPC 엔드포인트에는 VPC 엔드포인트 정책이 있지만 정책을 지정할 필요는 없습니다. 정책을 지정하지 않으면 기본 엔드포인트 정책은 엔드포인트의 모든 리소스에 대한 모든 보안 주체의 모든 작업을 허용합니다.
그러나 Timestream for InfluxDB 리소스의 경우 보안 주체에게 IAM 정책에서 작업을 호출할 수 있는 권한도 있어야 합니다. 따라서 실제로 기본 정책에는 보안 주체에게 리소스에 대한 작업을 호출할 권한이 있는 경우 엔드포인트를 사용하여 호출할 수도 있다고 명시되어 있습니다.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
보안 주체가 허용된 작업의 하위 집합에 대해서만 VPC 엔드포인트를 사용할 수 있도록 허용하려면 VPC 엔드포인트 정책을 생성하거나 업데이트합니다.
VPC 엔드포인트 정책 생성
VPC 엔드포인트 정책은 보안 주체가 VPC 엔드포인트를 사용하여 리소스에 대한 작업을 수행할 권한이 있는지 여부를 결정합니다. Timestream for InfluxDB 리소스의 경우 보안 주체에게 IAM 정책에서 작업을 수행할 수 있는 권한도 있어야 합니다.
각 VPC 엔드포인트 정책문에는 다음 요소가 필요합니다.
-
작업을 수행할 수 있는 보안 주체.
-
수행할 수 있는 작업
-
작업을 수행할 수 있는 리소스
정책문은 VPC 엔드포인트를 지정하지 않습니다. 대신 정책이 연결되는 모든 VPC 엔드포인트에 적용됩니다. 자세한 정보는 Amazon VPC 사용 설명서의 VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.
AWS CloudTrail 는 VPC 엔드포인트를 사용하는 모든 작업을 기록합니다.
VPC 엔드포인트 정책 보기
엔드포인트에 대한 VPC 엔드포인트 정책을 보려면 VPC 관리 콘솔
다음 AWS CLI 명령은 지정된 VPC 엔드포인트 ID가 있는 엔드포인트에 대한 정책을 가져옵니다.
이 명령을 사용하기 앞서 예제 엔드포인트 ID를 계정의 유효한 ID로 바꿉니다.
$aws ec2 describe-vpc-endpoints \ --query 'VpcEndpoints[?VpcEndpointId==`vpc-endpoint-id`].[PolicyDocument]' --output text
정책 설명에 VPC 엔드포인트 사용
요청이 VPC에서 오거나 VPC 엔드포인트를 사용할 때 InfluxDB 리소스 및 작업에 대한 Timestream 액세스를 제어할 수 있습니다. 이렇게 하려면 IAM 정책에서 다음 전역 조건 키 중 하나를 사용합니다.
-
aws:sourceVpce조건 키를 사용해 VPC 엔드포인트를 기반으로 액세스 권한을 부여하거나 액세스를 제한합니다. -
aws:sourceVpc조건 키를 사용해 프라이빗 엔드포인트를 호스팅하는 VPC를 기반으로 액세스를 부여하거나 제한합니다.
참고
VPC 엔드포인트를 기반으로 키 정책과 IAM 정책을 작성할 때 주의해야 합니다. 정책 설명에 특정 VPC 또는 VPC 엔드포인트에서 요청을 해야 하는 경우 사용자를 대신하여 Timestream for InfluxDB 리소스를 사용하는 통합 AWS 서비스의 요청이 실패할 수 있습니다.
또한 요청이 Amazon VPC 엔드포인트에서 이루어지는 경우 aws:sourceIP 조건 키는 유효하지 않습니다. 요청을 VPC 엔드포인트로 제한하려면 aws:sourceVpce 또는 aws:sourceVpc 조건 키를 사용합니다. 자세한 내용은AWS PrivateLink 가이드의 VPC 엔드포인트 및 VPC 엔드포인트 서비스에 대한 ID 및 액세스 관리 섹션을 참조하세요.
이러한 전역 조건 키를 사용하여 특정 리소스에 의존하지 않는 CreateDbInstance와 같은 작업에 대한 액세스를 제어할 수 있습니다.
VPC 엔드포인트 로깅
AWS CloudTrail 는 VPC 엔드포인트를 사용하는 모든 작업을 기록합니다. Timestream for InfluxDB에 대한 요청이 VPC 엔드포인트를 사용하는 경우 요청을 기록하는 AWS CloudTrail 로그 항목에 VPC 엔드포인트 ID가 나타납니다. 엔드포인트 ID를 사용하여 Timestream for InfluxDB VPC 엔드포인트 사용을 감사할 수 있습니다.
그러나 CloudTrail 로그에는 다른 계정의 보안 주체가 요청한 작업 또는 다른 계정의 Timestream for InfluxDB 리소스 및 별칭에 대한 Timestream for InfluxDB 작업에 대한 요청이 포함되지 않습니다. 또한 VPC를 보호하기 위해 VPC 엔드포인트 정책에 의해 거부되었지만 그렇지 않으면 허용되었을 요청은 AWS CloudTrail에 기록되지 않습니다.
