VPC 리소스에 대한 리소스 구성 - Amazon VPC Lattice
리소스 구성 유형리소스 게이트웨이리소스 정의프로토콜포트 범위 리소스에 액세스서비스 네트워크 유형과의 연결서비스 네트워크 유형를 통해 리소스 구성 공유 AWS RAM모니터링

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 리소스에 대한 리소스 구성

리소스 구성은 다른 VPCs 및 계정의 클라이언트가 액세스할 수 있도록 하려는 리소스 또는 리소스 그룹을 나타냅니다. 리소스 구성을 정의하면 다른 VPC 및 계정의 클라이언트에서 VPC의 리소스에 대한 안전한 프라이빗 단방향 네트워크 연결을 허용할 수 VPCs. 리소스 구성은 트래픽을 수신하는 리소스 게이트웨이와 연결됩니다. 다른 VPC에서 리소스에 액세스하려면 리소스 구성이 있어야 합니다.

내용

리소스 구성 유형

리소스 구성은 여러 유형일 수 있습니다. 다양한 유형은 다양한 종류의 리소스를 나타내는 데 도움이 됩니다. 다음과 같은 유형이 있습니다.

  • 단일 리소스 구성: IP 주소 또는 도메인 이름을 나타냅니다. 독립적으로 공유할 수 있습니다.

  • 그룹 리소스 구성: 하위 리소스 구성의 모음입니다. DNS 및 IP 주소 엔드포인트 그룹을 나타내는 데 사용할 수 있습니다.

  • 하위 리소스 구성: 그룹 리소스 구성의 멤버입니다. IP 주소 또는 도메인 이름을 나타냅니다. 독립적으로 공유할 수 없으며 그룹의 일부로만 공유할 수 있습니다. 그룹에서 추가 및 제거할 수 있습니다. 추가하면 그룹에 액세스할 수 있는 사용자가 자동으로 액세스할 수 있습니다.

  • ARN 리소스 구성: AWS 서비스에 의해 프로비저닝되는 지원되는 리소스 유형을 나타냅니다. 모든 그룹-하위 관계는 자동으로 처리됩니다.

다음 이미지는 단일, 하위 및 그룹 리소스 구성을 보여줍니다.

단일, 하위 및 그룹 리소스 구성.

리소스 게이트웨이

리소스 구성은 리소스 게이트웨이와 연결됩니다. 리소스 게이트웨이는 리소스가 있는 VPC로 들어오는 지점 역할을 하는 ENIs 세트입니다. 여러 리소스 구성을 동일한 리소스 게이트웨이에 연결할 수 있습니다. 다른 VPCs 또는 계정의 클라이언트가 VPC의 리소스에 액세스하면 리소스는 해당 VPC의 리소스 게이트웨이 IP 주소에서 로컬로 들어오는 트래픽을 확인합니다.

리소스 정의

리소스 구성에서 다음 방법 중 하나로 리소스를 식별합니다.

  • Amazon 리소스 이름(ARN)으로: Amazon RDS 데이터베이스와 같은 AWS 서비스에서 프로비저닝되는 지원되는 리소스 유형은 해당 ARN으로 식별할 수 있습니다.

  • 도메인 이름 대상별: 공개적으로 확인할 수 있는 모든 도메인 이름을 사용할 수 있습니다. 도메인 이름이 VPC 외부의 IP를 가리키는 경우 VPC에 NAT 게이트웨이가 있어야 합니다.

  • IP 주소: IPv4의 경우 10.0.0.0/8, 100.64.0.0/10, 172.16.0.0/12, 192.168.0.0/16 범위에서 프라이빗 IP를 지정합니다. IPv6의 경우 VPC에서 IP를 지정합니다. 퍼블릭 IPs는 지원되지 않습니다.

프로토콜

리소스 구성을 생성할 때 리소스가 지원할 프로토콜을 정의할 수 있습니다. 현재 TCP 프로토콜만 지원됩니다.

포트 범위

리소스 구성을 생성할 때 요청을 수락할 포트를 정의할 수 있습니다. 다른 포트의 클라이언트 액세스는 허용되지 않습니다.

리소스에 액세스

소비자는 VPC 엔드포인트를 사용하거나 서비스 네트워크를 통해 VPC에서 직접 리소스 구성에 액세스할 수 있습니다. 소비자는 VPC에서 계정에 있거나 다른 계정에서 공유된 리소스 구성에 대한 액세스를 활성화할 수 있습니다 AWS RAM.

  • 리소스 구성에 직접 액세스

    AWS PrivateLink VPC에서 리소스 유형의 VPC 엔드포인트(리소스 엔드포인트)를 생성하여 VPC에서 리소스 구성에 비공개로 액세스할 수 있습니다. 리소스 엔드포인트를 생성하는 방법에 대한 자세한 내용은 AWS PrivateLink사용 설명서VPC 리소스 액세스를 참조하세요.

  • 서비스 네트워크를 통해 리소스 구성에 액세스

    리소스 구성을 서비스 네트워크에 연결하고 VPC를 서비스 네트워크에 연결할 수 있습니다. 연결을 통해 또는 서비스 네트워크 VPC 엔드포인트를 사용하여 VPC를 AWS PrivateLink 서비스 네트워크에 연결할 수 있습니다.

    서비스 네트워크 연결에 대한 자세한 내용은 VPC Lattice 서비스 네트워크의 연결 관리를 참조하세요.

    서비스 네트워크 VPC 엔드포인트에 대한 자세한 내용은 AWS PrivateLink 사용 설명서서비스 네트워크 액세스를 참조하세요.

서비스 네트워크 유형과의 연결

Account-B와 같은 소비자 계정과 리소스 구성을 공유하는 경우 AWS RAM Account-B는 리소스 VPC 엔드포인트를 통해 직접 또는 서비스 네트워크를 통해 리소스 구성에 액세스할 수 있습니다.

서비스 네트워크를 통해 리소스 구성에 액세스하려면 Account-B가 리소스 구성을 서비스 네트워크에 연결해야 합니다. 서비스 네트워크는 계정 간에 공유할 수 있습니다. 따라서 Account-B는 서비스 네트워크(리소스 구성이 연결된)를 Account-C와 공유할 수 있으므로 Account-C에서 리소스에 액세스할 수 있습니다.

이러한 전이적 공유를 방지하기 위해 계정 간에 공유할 수 있는 서비스 네트워크에 리소스 구성을 추가할 수 없도록 지정할 수 있습니다. 이를 지정하면 Account-B는 공유되거나 향후 다른 계정과 공유될 수 있는 서비스 네트워크에 리소스 구성을 추가할 수 없습니다.

서비스 네트워크 유형

Account-B와 같은 다른 계정과 리소스 구성을 공유할 때 Account AWS RAM-B는 다음 세 가지 방법 중 하나로 리소스 구성에 지정된 리소스에 액세스할 수 있습니다.

  • 유형 리소스의 VPC 엔드포인트 사용(리소스 VPC 엔드포인트).

  • 서비스 네트워크 유형의 VPC 엔드포인트 사용(서비스 네트워크 VPC 엔드포인트).

  • 서비스 네트워크 VPC 연결 사용.

서비스 네트워크 VPC 엔드포인트 및 서비스 네트워크 VPC 연결의 경우 리소스 구성을 Account-B의 서비스 네트워크에 연결해야 합니다. 서비스 네트워크는 계정 간에 공유할 수 있습니다. 따라서 Account-B는 서비스 네트워크(리소스 구성 포함)를 Account-C와 공유할 수 있으므로 Account-C에서 리소스에 액세스할 수 있습니다. 이러한 전이적 공유를 방지하기 위해 계정 간에 공유할 수 있는 서비스 네트워크에 리소스 구성이 추가되지 않도록 허용할 수 있습니다. 이를 허용하지 않으면 Account-B는 공유되거나 다른 계정과 공유될 수 있는 서비스 네트워크에 리소스 구성을 추가할 수 없습니다.

를 통해 리소스 구성 공유 AWS RAM

리소스 구성은와 통합됩니다 AWS Resource Access Manager. 를 통해 리소스 구성을 다른 계정과 공유할 수 있습니다 AWS RAM. 리소스 구성을 AWS 계정과 공유하면 해당 계정의 클라이언트가 리소스에 비공개로 액세스할 수 있습니다. 에서 리소스 공유를 사용하여 리소스 구성을 공유할 수 있습니다 AWS RAM.

AWS RAM 콘솔을 사용하여 추가한 리소스 공유, 액세스할 수 있는 공유 리소스, 리소스를 공유한 AWS 계정을 볼 수 있습니다. 자세한 내용은 AWS RAM 사용 설명서공유된 리소스를 참조하세요.

리소스 구성과 동일한 계정의 다른 VPC에서 리소스에 액세스하려면 리소스 구성을 공유할 필요가 없습니다 AWS RAM.

모니터링

리소스 구성에서 모니터링 로그를 활성화할 수 있습니다. 로그를 전송할 대상을 선택할 수 있습니다.