기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터페이스 VPC 엔드포인트 AWS CloudTrail 와 함께 사용
Amazon Virtual Private Cloud(VPC)를 사용하여 AWS 리소스를 호스팅하는 경우 VPC와 간에 프라이빗 연결을 설정할 수 있습니다 AWS CloudTrail. 이 연결을 사용하면 CloudTrail이 퍼블릭 인터넷을 통하지 않고 VPC의 리소스와 통신할 수 있습니다.
Amazon VPC는 정의한 가상 네트워크에서 AWS 리소스를 시작하는 데 사용할 수 있는 AWS 서비스입니다. VPC가 있으면 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등 네트워크 설정을 제어할 수 있습니다. VPC 엔드포인트를 사용하면 VPC와 AWS 서비스 간의 라우팅이 AWS 네트워크에서 처리되며 IAM 정책을 사용하여 서비스 리소스에 대한 액세스를 제어할 수 있습니다.
VPC를 CloudTrail에 연결하려면 CloudTrail에 대해 인터페이스 VPC 엔드포인트를 정의하세요. 인터페이스 엔드포인트는 지원되는 AWS 서비스로 향하는 트래픽의 진입점 역할을 하는 프라이빗 IP 주소가 있는 탄력적 네트워크 인터페이스입니다. 이 엔드포인트를 이용하면 인터넷 게이트웨이나 네트워크 주소 변환(NAT) 인스턴스 또는 VPN 연결 없이도 CloudTrail에 안정적이고 확장 가능하게 연결됩니다. 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC란 무엇입니까? 섹션을 참조하세요.
인터페이스 VPC 엔드포인트는 프라이빗 IP 주소가 있는 탄력적 네트워크 인터페이스를 사용하여 AWS 서비스 간에 프라이빗 통신을 가능하게 하는 AWS 기술인 AWS PrivateLink로 구동됩니다. 자세한 내용은 AWS PrivateLink
다음 섹션은 Amazon VPC 사용자를 위한 것입니다. 자세한 내용은 Amazon VPC 사용 설명서의 Amazon VPC 시작하기 섹션을 참조하세요.
리전
AWS CloudTrail 는 CloudTrail이 지원되는 모든 AWS 리전 에서 VPC 엔드포인트 및 VPC 엔드포인트 정책을 지원합니다.
CloudTrail을 위한 VPC 엔드포인트 생성
VPC에서 CloudTrail을 사용하려면 CloudTrail을 위한 인터페이스 VPC 엔드포인트를 생성합니다. 자세한 내용은 Amazon VPC 사용 설명서의 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여 액세스를 참조하세요.
CloudTrail에 대한 설정은 변경할 필요가 없습니다. CloudTrail은 사용 중인 퍼블릭 엔드포인트 또는 프라이빗 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여 다른를 호출합니다.
CloudTrail에 대한 VPC 엔드포인트 정책 생성
VPC 엔드포인트 정책은 인터페이스 VPC 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책은 인터페이스 VPC 엔드포인트를 통해 CloudTrail APIs에 대한 전체 액세스 권한을 부여합니다. VPC에서 CloudTrail에 부여된 액세스를 제어하려면 인터페이스 VPC 엔드포인트에 사용자 지정 엔드포인트 정책을 연결합니다.
엔드포인트 정책은 다음 정보를 지정합니다.
-
작업을 수행할 수 있는 보안 주체 (AWS 계정, IAM 사용자, IAM 역할)
-
수행할 수 있는 작업.
-
작업을 수행할 수 있는 리소스.
정책 업데이트 방법을 포함하여 VPC 엔드포인트 정책에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC 엔드포인트를 사용하여 서비스에 대한 액세스 제어를 참조하세요.
다음은 CloudTrail에 대한 사용자 지정 VPC 엔드포인트 정책의 예입니다.
정책 예제:
예: 모든 CloudTrail 작업 허용
다음 예제 VPC 엔드포인트 정책은 모든 리소스의 모든 보안 주체에 대해 모든 CloudTrail 작업에 대한 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": "cloudtrail:*", "Effect": "Allow", "Resource": "*", "Principal": "*" } ] }
예: 특정 CloudTrail 작업 허용
다음 예제 VPC 엔드포인트 정책은 모든 리소스의 모든 보안 주체에 대해 cloudtrail:ListTrails 및 cloudtrail:ListEventDataStores 작업을 수행할 수 있는 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"], "Effect": "Allow", "Principal": "*", "Resource": "*" } ] }
예: 모든 CloudTrail 작업 거부
다음 예제 VPC 엔드포인트 정책은 모든 리소스의 모든 보안 주체에 대한 모든 CloudTrail 작업에 대한 액세스를 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": "cloudtrail:*", "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
예: 특정 CloudTrail 작업 거부
다음 예제 VPC 엔드포인트 정책은 모든 리소스의 모든 보안 주체에 대해 cloudtrail:CreateTrail 및 cloudtrail:CreateEventDataStore 작업을 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"], "Effect": "Deny", "Principal": "*", "Resource": "*" } ] }
예: 특정 VPC의 모든 CloudTrail 작업 허용
다음 예제 VPC 엔드포인트 정책은 요청자가 지정된 VPC를 사용하여 요청하는 경우에만 모든 리소스의 모든 보안 주체에 대해 모든 CloudTrail 작업을 수행할 수 있는 액세스 권한을 부여합니다. vpc-id를 VPC ID로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*", "Principal": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "vpc-id" } } } ] }
예: 특정 VPC 엔드포인트의 모든 CloudTrail 작업 허용
다음 예제 VPC 엔드포인트 정책은 요청자가 지정된 VPC 엔드포인트를 사용하여 요청하는 경우에만 모든 리소스의 모든 보안 주체에 대해 모든 CloudTrail 작업을 수행할 수 있는 액세스 권한을 부여합니다. vpc-endpoint-id를 VPC 엔드포인트 ID로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudtrail:", "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpce": "vpc-endpoint-id" } } } ] }
공유 서브넷
CloudTrail VPC 엔드포인트는 다른 VPC 엔드포인트와 마찬가지로 오직 공유 서브넷의 소유자 계정으로만 생성할 수 있습니다. 하지만 참여자 계정은 공유하는 서브넷의 CloudTrail VPC 엔드포인트를 사용할 수 있습니다. Amazon VPC 공유에 관한 자세한 내용은 Amazon VPC 사용 설명서의 다른 계정과 VPC 공유를 참조하세요.
