기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 AWS Control Tower에 액세스
<a name="networking-privatelink"></a>

 AWS PrivateLink 를 사용하여 VPC와 AWS Control Tower 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 AWS Control Tower에 액세스할 수 있습니다. VPC의 인스턴스에서 AWS Control Tower에 액세스하는 데는 퍼블릭 IP 주소가 필요하지 않습니다.

 AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 AWS Control Tower로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은 *AWS PrivateLink 가이드*의를 [AWS 서비스 통한 액세스를 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 참조하세요.

## AWS Control Tower에 대한 고려 사항
<a name="privatelink-vpc-endpoint-considerations"></a>

AWS Control Tower에 대한 인터페이스 엔드포인트를 설정하려면 먼저 *AWS PrivateLink 안내서*의 [고려 사항](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)을 검토합니다.

AWS Control Tower는 인터페이스 엔드포인트를 통해 모든 API 작업에 대한 직접 호출을 지원합니다.

## AWS Control Tower용 인터페이스 엔드포인트 생성
<a name="privatelink-vpc-endpoint-create"></a>

Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 AWS Control Tower에 대한 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *AWS PrivateLink 안내서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.

다음 서비스 이름을 사용하여 AWS Control Tower용 인터페이스 엔드포인트를 생성합니다.

```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```

인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 기본 리전 DNS 이름을 사용하여 AWS Control Tower에 API 요청을 할 수 있습니다. 예를 들어 `controltower.us-east-1.amazonaws.com`입니다.

## 엔드포인트의 엔드포인트 정책 생성
<a name="privatelink-vpc-endpoint-policy"></a>

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 AWS Control Tower에 완전히 액세스할 수 있습니다. VPC에서 AWS Control Tower에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자(AWS 계정, IAM 사용자, IAM 역할)
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스.

자세한 내용은 *AWS PrivateLink 안내서*의 [엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.

**예: AWS Control Tower 작업에 대한 VPC 엔드포인트 정책**  
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 모든 리소스에서 나열된 AWS Control Tower 작업에 대한 액세스 권한을 모든 위탁자에게 부여할 수 있습니다.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
```

**참고**  
AWS Control Tower API 작업의 전체 목록은 [AWS Control Tower API 참조](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html)를 참조하세요.