01. VPC 엔드포인트
1.1 VPC 엔드포인트란?
1.1.1 VPC 엔드포인트 개요
- VPC 엔드포인트는 AWS의 퍼블릭 서비스나 직접 생성한 AWS 서비스에 대해 외부 인터넷 구간을 통한 접근이 아닌 직접적으로 접근할 수 있는 프라이빗 엑세스 기능이다.
- 강력한 보안 요건을 만족해야 하는 서비스는 격리된 프라이빗 서브넷에 자원이 생성되어야 한다.
- 일반적으로는 외부 인터넷 구간인 퍼블릭 네트워크를 통해 통신이 이루어지지만 프라이빗 서브넷에선 퍼블릭 네트워크 통신이 불가능하기에 VPC 엔드포인트를 이용한다.
- ex) S3라는 AWS 스토리지 서비스에 대해 인터넷 게이트웨이나 NAT 게이트웨이가 아닌 VPC 엔드포인트를 통해 내부 프라이빗 연결이 가능해진다.
동일 VPC 내에서 프라이빗 IP로 통신하는 것도 외부 인터넷 구간을 거치지 않고 통신할 수 있는 방법이다. 하지만 VPC 엔드포인트를 사용하면 VPC 외부와 통신할 때도 AWS 네트워크 내에서만 트래픽이 유지된다.
1.1.2 VPC 엔드포인트 유형
VPC 엔드포인트는 연결 대상 서비스에 따라 엔드포인트와 엔드포인트 서비스로 구분지을 수 있다.
- 엔드포인트: AWS 퍼블릭 서비스 대상에 대한 프라이빗 연결
- 게이트웨이 엔드포인트: 퍼블릭 서비스 중 S3와 DynamoDB에 대한 연결
- 인터페이스 엔드포인트: 위 대상 외에 나머지 AWS 퍼블릭 서비스에 대한 연결
- 엔드포인트 서비스: 사용자가 지정한 서비스 대상에 대한 프라이빗 연결
인터페이스 엔드포인트와 엔드포인트 서비스를 통한 연결을 프라이빗 링크라고 부른다.
1.1.3 VPC 엔드포인트 특징
- 보안 측면 강화
- 프라이빗 연결을 통해 외부 구간으로 노출이 되지 않는다.
- 서비스 제약
- 연결 대상 서비스는 동일 리전에 속한 서비스만 가능하다.
- VPC 종속
- 오직 VPC 하나에만 연결할 수 있다.
- 여러 VPC 에 종속이 불가
- 권한 제어
- AWS IAM 기능을 통해 정책을 수립하여 엔드포인트에 대한 권한 부여가 가능하다.