VPC 엔드포인트와 함께 AWS X-Ray 사용 - AWS X-Ray
X-Ray용 VPC 엔드포인트 생성X-Ray VPC 엔드포인트에 대한 액세스 제어지원되는 리전

VPC 엔드포인트와 함께 AWS X-Ray 사용

Amazon Virtual Private Cloud(VPC)를 사용하여 AWS 리소스를 호스트하는 경우, VPC와 X-Ray간에 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 X-Ray 서비스가 퍼블릭 인터넷을 통하지 않고 Amazon VPC의 리소스와 통신할 수 있게 해줍니다.

Amazon VPC란 사용자가 정의한 가상 네트워크에서 AWS 리소스를 시작할 때 사용할 수 있는 AWS 서비스입니다. VPC를 사용하여 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등의 네트워크 설정을 제어할 수 있습니다. VPC를 X-Ray에 연결하려면 인터페이스 VPC 엔드포인트를 정의하십시오. 이 엔드포인트를 이용하면 인터넷 게이트웨이나 Network Address Translation(NAT) 인스턴스, 또는 VPN 연결 없이도 X-Ray에 안정적이고 확장 가능하게 연결됩니다. 자세한 내용은 Amazon VPC 사용 설명서Amazon VPC란 무엇입니까를 참조하세요.

인터페이스 VPC 엔드포인트는 프라이빗 IP 주소와 함께 탄력적 네트워크 인터페이스를 사용하여 AWS 서비스 간 프라이빗 통신을 사용할 수 있는 AWS 기술인 AWS PrivateLink에 의해 구동됩니다. 자세한 내용은 Amazon VPC 사용 설명서신규 — AWS PrivateLink AWS 서비스 블로그 게시물 및 시작하기를 참조하십시오.

선택한 AWS 리전 항목에 X-Ray용 VPC 엔드포인트를 생성할 수 있는지 확인하려면 지원되는 리전를 참조하십시오.

X-Ray용 VPC 엔드포인트 생성

VPC에서 X-Ray를 사용하려면 X-Ray용 인터페이스 VPC 엔드포인트를 생성하세요.

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트로 이동한 다음 엔드포인트 생성을 선택합니다.

  3. AWS X-Ray 서비스 이름을 검색하여 선택합니다: com.amazonaws.region.xray.

    서비스를 선택합니다.

  4. 원하는 VPC를 선택한 다음 인터페이스 엔드포인트를 사용할 VPC의 서브넷을 선택합니다. 선택한 서브넷에서 엔드포인트 네트워크 인터페이스가 생성됩니다. 각기 다른 가용 영역(서비스에 의해 지원)에서 하나 이상의 서브넷을 지정하여 인터페이스 엔드포인트가 가용 영역 장애 발생 시 복원을 지원합니다. 이렇게 하면 지정한 각 서브넷에 인터페이스 네트워크 인터페이스가 생성됩니다.

    VPC 및 서브넷을 선택합니다.

  5. (선택 사항) 개인 DNS는 기본적으로 엔드포인트에 대해 활성화되어 있으므로 기본 DNS 호스트 이름을 사용하여 X-Ray에 요청할 수 있습니다. 필요에 따라 비활성화하도록 선택할 수 있습니다.

  6. 보안 그룹을 지정하여 엔드포인트 네트워크 인터페이스와 연결합니다.

    보안 그룹 선택

  7. (선택 사항) X-Ray 서비스에 액세스할 수 있는 권한을 제어하는 사용자 지정 정책을 지정합니다. 기본적으로 전체 액세스 권한이 허용됩니다.

X-Ray VPC 엔드포인트에 대한 액세스 제어

VPC 엔드포인트 정책은 엔드포인트를 만들거나 수정 시 엔드포인트에 연결하는 IAM 리소스 정책입니다. 엔드포인트를 생성할 때 정책을 연결하지 않으면 Amazon VPC는 서비스에 대한 전체 액세스를 허용하는 기본 정책을 자동으로 연결합니다. 엔드포인트 정책은 IAM 사용자 정책 또는 서비스별 정책을 재정의하거나 대체하지 않습니다. 이는 엔드포인트에서 지정된 서비스로의 액세스를 제어하기 위한 별도의 정책입니다. 엔드포인트 정책은 JSON 형식으로 작성해야 합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 엔드포인트를 통해 서비스에 대한 액세스 제어를 참조하세요.

VPC 엔드포인트 정책을 통해 다양한 X-Ray 작업에 대한 권한을 제어할 수 있습니다. 예를 들어 PutTraceSegment만 허용하고 다른 모든 작업은 거부하도록 정책을 생성할 수 있습니다. 이렇게 하면 VPC의 워크로드 및 서비스가 추적 데이터만 X-Ray로 전송하고 데이터 검색, 암호화 구성 변경, 그룹 생성/업데이트와 같은 다른 작업은 거부하도록 제한됩니다.

다음은 X-Ray에 대한 엔드포인트 정책의 예입니다. 이 정책은 사용자가 VPC를 통해 X-Ray에 연결하여 X-Ray로 지표 데이터를 전송할 수 있도록 허용하고, 다른 X-Ray 작업을 수행하지 못하게 금지합니다.

 {"Statement": [
     {"Sid": "Allow PutTraceSegments",
       "Principal": "*",
       "Action": [
         "xray:PutTraceSegments"
       ],
       "Effect": "Allow",
       "Resource": "*"
     }
   ]
 }
X-Ray에 대한 VPC 엔드포인트 정책을 편집하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. X-Ray용 엔드포인트를 아직 생성하지 않은 경우 X-Ray용 VPC 엔드포인트 생성의 과정을 따르십시오.

  4. com.amazonaws.region.xray 엔드포인트를 선택한 다음 정책 탭을 선택합니다.

  5. 정책 편집을 선택한 다음 변경합니다.

지원되는 리전

현재 X-Ray가 VPC 엔드포인트를 지원하는 AWS 리전은 다음과 같습니다.

  • 미국 동부(오하이오)

  • 미국 동부(버지니아 북부)

  • 미국 서부(캘리포니아 북부)

  • 미국 서부(오레곤)

  • 아프리카(케이프타운)

  • 아시아 태평양(홍콩)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(오사카)

  • 아시아 태평양(서울)

  • 아시아 태평양(싱가포르)

  • 아시아 태평양(시드니)

  • 아시아 태평양(도쿄)

  • 캐나다(중부)

  • 유럽(프랑크푸르트)

  • 유럽(아일랜드)

  • 유럽(런던)

  • 유럽(밀라노)

  • 유럽(파리)

  • 유럽(스톡홀름)

  • 중동(바레인)

  • 남아메리카(상파울루)

  • AWS GovCloud(미국 동부)

  • AWS GovCloud(미국 서부)