엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어 - Amazon Virtual Private Cloud
고려 사항기본 엔드포인트 정책인터페이스 엔드포인트 정책게이트웨이 엔드포인트의 보안 주체VPC 엔드포인트 정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

엔드포인트 정책을 사용하여 VPC 엔드포인트에 대한 액세스 제어

엔드포인트 정책은 VPC 엔드포인트에 연결하여 AWS 서비스에 액세스하는 데 엔드포인트를 사용할 수 있는 AWS 보안 주체를 제어하는 리소스 기반 정책입니다.

엔드포인트 정책은 ID 기반 정책이나 리소스 기반 정책을 재정의하거나 대체하지 않습니다. 예를 들어 인터페이스 엔드포인트를 사용하여 Amazon S3에 연결하는 경우, Amazon S3 버킷 정책을 사용하여 특정 엔드포인트나 특정 VPC의 버킷에 대한 액세스를 제어할 수도 있습니다.

고려 사항

  • 엔드포인트 정책은 IAM 정책 언어를 사용하는 JSON 정책 문서입니다. 보안 주체 요소가 포함되어 있어야 합니다. 엔드포인트 정책의 크기는 공백을 포함하여 20,480자를 초과할 수 없습니다.

  • AWS 서비스용 인터페이스 엔드포인트 또는 게이트웨이 엔드포인트를 생성할 때 1개의 엔드포인트 정책을 엔드포인트에 연결할 수 있습니다. 언제든지 엔드포인트 정책을 업데이트할 수 있습니다. 엔드포인트 정책을 연결하지 않으면 기본 엔드포인트 정책이 연결됩니다.

  • 모든 AWS 서비스에서 엔드포인트 정책이 지원되는 것은 아닙니다. AWS 서비스에서 엔드포인트 정책이 지원되지 않으면 서비스의 엔드포인트에 대한 모든 액세스 권한이 허용됩니다. 자세한 내용은 엔드포인트 정책 지원 보기 단원을 참조하십시오.

  • AWS 서비스 이외의 엔드포인트 서비스를 위한 VPC 엔드포인트를 생성하면 엔드포인트에 대한 전체 액세스 권한이 허용됩니다.

  • 와일드카드 문자(* 또는 ?) 또는 숫자 조건 연산자는 시스템 생성 식별자(예: aws:PrincipalAccount 또는 aws:SourceVpc)를 참조하는 전역 컨텍스트 키와 함께 사용할 수 없습니다.

  • 문자열 조건 연산자를 사용할 때는 각 와일드카드 문자 앞뒤에 최소 6개의 연속 문자를 사용해야 합니다.

  • 리소스 또는 조건 요소에 ARN을 지정할 때는 ARN의 계정 부분에 계정 ID 또는 와일드카드 문자를 포함할 수 있지만 둘 다 포함할 수는 없습니다.

기본 엔드포인트 정책

기본 엔드포인트 정책을 통해 엔드포인트에 대한 전체 액세스 권한이 부여됩니다.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

인터페이스 엔드포인트 정책

AWS 서비스에 대한 엔드포인트 정책의 예는 AWS 서비스 와 통합되는 AWS PrivateLink를 참조하세요. 표의 첫 번째 열에는 각 AWS 서비스에 대한 AWS PrivateLink 설명서 링크가 있습니다. AWS 서비스에서 엔드포인트 정책이 지원되는 경우 엔드포인트 정책의 예가 해당 설명서에 포함되어 있습니다.

게이트웨이 엔드포인트의 보안 주체

게이트웨이 엔드포인트에서 Principal 요소는 *로 설정해야 합니다. 보안 주체를 지정하려면 aws:PrincipalArn 조건 키를 사용합니다.

"Condition": {
    "StringEquals": {
        "aws:PrincipalArn": "arn:aws:iam::123456789012:user/endpointuser"
    }
}

다음 형식으로 보안 주체를 지정하면 계정의 모든 사용자 및 역할이 아닌 AWS 계정 루트 사용자에게만 액세스 권한이 부여됩니다.

"AWS": "account_id"

게이트웨이 엔드포인트에 대한 엔드포인트 정책의 예는 다음을 참조하세요.

VPC 엔드포인트 정책 업데이트

다음 절차에 따라 AWS 서비스에 대한 엔드포인트 정책을 업데이트합니다. 엔드포인트 정책을 업데이트할 경우 변경 사항이 적용되기까지 몇 분 정도 걸릴 수 있습니다.

콘솔을 사용하여 엔드포인트 정책을 업데이트하는 방법

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. VPC 엔드포인트를 선택합니다.

  4. 작업(Actions), 정책 관리(Manage policy)를 선택합니다.

  5. 모든 액세스(Full Access)를 선택하여 서비스에 대한 전체 액세스를 허용하거나 사용자 지정(Custom)을 선택하고 사용자 지정 정책을 연결합니다.

  6. Save(저장)를 선택합니다.

명령줄 사용하여 엔드포인트 정책을 업데이트하는 방법