기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Control Tower의 네트워킹
<a name="networking"></a>

AWS Control Tower는 VPC를 통한 네트워킹에 대한 기본 지원을 제공합니다.

AWS Control Tower VPC의 기본 구성 또는 기능이 요구 사항을 충족하지 않는 경우 다른AWS서비스를 사용하여 VPC를 구성할 수 있습니다. VPCs 및 AWS Control Tower를 사용하는 방법에 대한 자세한 내용은 [확장 가능하고 안전한 다중 VPC AWS네트워크 인프라 구축을](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf) 참조하세요.

AWS Control Tower는 듀얼 스택 IP 주소를 통해 IPv4 및 IPv6 프로토콜을 지원합니다. 자세한 내용은 [AWS Control Catalog 엔드포인트 및 할당량](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html)과 [AWS Control Tower 엔드포인트 및 할당량](https://docs.aws.amazon.com//general/latest/gr/controltower.html)을 참조하세요.

**관련 주제**
+ 기존 VPC가 있는 계정을 등록할 때 AWS Control Tower가 작동하는 방식에 대한 자세한 내용은 [VPC에 기존 계정 등록](enroll-account.md#enroll-existing-accounts-with-vpcs) 섹션을 참조하세요.
+ Account Factory를 사용하면 AWS Control Tower VPC가 포함된 계정을 프로비저닝하거나 VPC 없이 계정을 프로비저닝할 수 있습니다. AWS Control Tower VPC를 삭제하거나 VPC 없이 AWS Control Tower 계정을 구성하는 방법에 대한 자세한 내용은 [연습: VPC 없이 AWS Control Tower 구성](configure-without-vpc.md) 섹션을 참조하세요.
+ VPC에 대한 계정 설정 변경 방법에 대한 자세한 내용은 계정 업데이트에 관한 [Account Factory 설명서](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings)를 참조하세요.
+ AWS Control Tower에서 네트워킹 및 VPC에 대해 작업하는 방법에 대한 자세한 내용은 이 *사용자 안내서*의 *관련 정보* 페이지에서 [네트워킹](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) 섹션을 참조하세요.

## AWS Control Tower의 VPCs 및AWS리전
<a name="vpcs-and-regions"></a>

계정 생성의 표준 부분으로는 AWS Control Tower로 관리하지 않는 리전을 포함하여 모든 리전에서AWS기본 VPC를AWS생성합니다. 이 기본 VPC는 AWS Control Tower가 프로비저닝된 계정에 대해 생성하는 VPC와 동일하지 않지만, 관리되지 않는 리전의AWS기본 VPC는 IAM 사용자가 액세스할 수 있습니다.

관리자는 리전 거부 제어를 활성화할 수 있으므로 최종 사용자는 *AWS Control Tower에서 지원하는 리전*의 VPC에 연결할 권한이 없지만 관리형 리전 외부에 연결할 수 있습니다. 리전 거부 제어를 구성하려면 **랜딩 존 설정** 페이지로 이동하여 **설정 수정**을 선택합니다.

리전 거부 제어는 비관리형AWS 리전의 대부분의 서비스에 대한 API 직접 호출을 차단합니다. 자세한 내용은 [요청된를AWS기반으로에 대한 액세스 거부를 참조하세요AWS 리전](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html).

**참고**  
리전 거부 제어는 AWS Control Tower가 지원되지 않는 리전의AWS기본 VPC에 IAM 사용자가 연결하는 것을 차단하지 못할 수 있습니다.

선택적으로 비관리 리전에서AWS기본 VPCs를 제거할 수 있습니다. 리전의 기본 VPC를 나열하려면 이 예제와 유사한 CLI 명령을 사용할 수 있습니다.

```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```

# AWS Control Tower 및 VPC 개요
<a name="vpc-concepts"></a>

AWS Control Tower VPC에 대한 몇 가지 중요한 사실은 다음과 같습니다.
+ Account Factory에서 계정을 프로비저닝할 때 AWS Control Tower에서 생성한 VPC는AWS기본 VPC와 동일하지 않습니다.
+ AWS Control Tower가 지원되는AWS리전에 새 계정을 설정하면 AWS Control Tower는 기본AWS VPC를 자동으로 삭제하고 AWS Control Tower에서 구성한 새 VPC를 설정합니다.
+ 각 AWS Control Tower 계정에는 AWS Control Tower에서 생성한 VPC 하나가 허용됩니다. 계정에는 계정 한도 내에 추가AWS VPCs가 있을 수 있습니다.
+ 모든 AWS Control Tower VPC에는 미국 서부(캘리포니아 북부) 리전 `us-west-1`을 제외한 모든 리전에 3개의 가용 영역이 있습니다. `us-west-1`에는 2개의 가용 영역이 있습니다. 기본적으로 각 가용 영역에는 퍼블릭 서브넷 1개와 프라이빗 서브넷 2개가 할당됩니다. 따라서 미국 서부(캘리포니아 북부)를 제외한 리전에서 각 AWS Control Tower VPC에는 기본적으로 3개의 가용 영역에 걸쳐 나뉘어진 9개의 서브넷이 포함되어 있습니다. 미국 서부(캘리포니아 북부)에는 6개의 서브넷이 2개의 가용 영역으로 나뉘어 있습니다.
+ AWS Control Tower VPC의 각 서브넷에는 동일한 크기의 고유한 범위가 할당됩니다.
+ VPC의 서브넷 수는 구성 가능합니다. VPC 서브넷 구성을 변경하는 방법에 대한 자세한 내용은 [Account Factory 주제](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html)를 참조하세요.
+ IP 주소가 중첩되지 않으므로, AWS Control Tower VPC 내의 6개 또는 9개 서브넷이 무제한으로 서로 통신할 수 있습니다.

VPC를 사용할 때 AWS Control Tower는 리전 수준에서 구분하지 않습니다. 모든 서브넷은 지정하는 정확한 CIDR 범위에서 할당됩니다. VPC 서브넷은 모든 리전에 존재할 수 있습니다.

**참고**

**VPC 비용 관리**  
새 계정을 프로비저닝할 때 퍼블릭 서브넷이 활성화되도록 Account Factory VPC 구성을 설정하면 Account Factory에서 NAT 게이트웨이를 생성하도록 VPC가 구성됩니다. 따라서 Amazon VPC 사용에 대한 요금이 청구됩니다.

**VPC 및 제어 설정**  
VPC 인터넷 액세스 설정이 활성화된 Account Factory 계정을 프로비저닝하면 해당 Account Factory 설정이 [고객이 관리하는 Amazon VPC 인스턴스에 대한 인터넷 액세스 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) 제어를 재정의합니다. 새로 프로비저닝된 계정에 대한 인터넷 액세스를 활성화하지 않으려면 Account Factory에서 설정을 변경해야 합니다. 자세한 내용은 [연습: VPC 없이 AWS Control Tower 구성](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)을 참조하세요.

# VPC 및 AWS Control Tower용 CIDR 및 피어링
<a name="vpc-ct-cidr"></a>

이 섹션은 주로 네트워크 관리자용입니다. 회사의 네트워크 관리자는 일반적으로 AWS Control Tower 조직에 대한 전체 CIDR 범위를 선택하는 사람입니다. 네트워크 관리자는 특정한 목적에 맞게 해당 범위 내에서 서브넷을 할당합니다.

VPC에 대한 CIDR 범위를 선택하면 AWS Control Tower는 RFC 1918 사양에 따라 IP 주소 범위를 검증합니다. Account Factory는 다음 범위에서 최대 `/16`의 CIDR 블록을 허용합니다.
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(인터넷 공급자가 이 범위의 사용을 허용하는 경우에만 해당)

`/16` 구분 기호는 최대 65,536개의 고유 IP 주소를 허용합니다.

다음 범위에서 유효한 IP 주소를 할당할 수 있습니다.
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(`192.168` 범위를 벗어난 IP 없음)

지정한 범위가 이를 벗어나는 경우, AWS Control Tower가 오류 메시지를 표시합니다.

기본 CIDR 범위는 `172.31.0.0/16`입니다.

AWS Control Tower가 선택한 CIDR 범위를 사용하여 VPC를 생성할 때 동일한 CIDR 범위를 조직 단위(OU) 내에서 생성한 모든 계정에 대한 *모든 VPC*에 할당합니다. IP 주소의 기본 중복으로 인해 이 구현에서는 처음에 OU의 AWS Control Tower VPC 간에 피어링을 허용하지 않습니다.

**서브넷**

각 VPC 내에서 AWS Control Tower는 지정된 CIDR 범위를 9개의 서브넷에 균등하게 나눕니다(서브넷이 6개인 미국 서부(캘리포니아 북부) 제외). VPC 내의 서브넷은 중첩되지 않습니다. 따라서 모두 VPC 내에서 서로 통신할 수 있습니다.

요약하자면 기본적으로 VPC 내에서 서브넷 통신은 무제한입니다. VPC 서브넷 간의 통신을 제어하는 모범 사례는 필요한 경우 허용된 트래픽 흐름을 정의하는 규칙으로 액세스 제어 목록을 설정하는 것입니다. 특정 인스턴스 간의 트래픽을 제어하기 위해 보안 그룹을 사용합니다. AWS Control Tower에서 보안 그룹 및 방화벽을 설정하는 방법에 대한 자세한 내용은 [연습:AWS Firewall Manager를 사용하여 AWS Control Tower에서 보안 그룹 설정을 참조하세요](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**피어링**

AWS Control Tower는 여러 VPC 간의 통신을 위한 VPC 간 피어링을 제한하지 않습니다. 그러나 기본적으로 모든 AWS Control Tower VPC의 기본 CIDR 범위는 동일합니다. 피어링을 지원하기 위해 Account Factory 설정에서 CIDR 범위를 수정하여 IP 주소가 겹치지 않도록 할 수 있습니다.

Account Factory의 설정에서 CIDR 범위를 변경하면 이후 AWS Control Tower에서 생성(Account Factory 사용)하는 모든 새 계정에 새 CIDR 범위가 할당됩니다. 이전 계정은 업데이트되지 않습니다. 예를 들어 계정을 생성한 다음 CIDR 범위를 변경하고 새 계정을 생성하면 두 계정에 할당된 VPC를 피어링할 수 있습니다. IP 주소 범위가 동일하지 않으므로 피어링이 가능합니다.

# 인터페이스 엔드포인트(AWS PrivateLink)를 사용하여 AWS Control Tower에 액세스
<a name="networking-privatelink"></a>

 AWS PrivateLink 를 사용하여 VPC와 AWS Control Tower 간에 프라이빗 연결을 생성할 수 있습니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 Direct Connect 연결을 사용하지 않고 VPC에 있는 것처럼 AWS Control Tower에 액세스할 수 있습니다. VPC의 인스턴스에서 AWS Control Tower에 액세스하는 데는 퍼블릭 IP 주소가 필요하지 않습니다.

 AWS PrivateLink에서 제공되는 *인터페이스 엔드포인트*를 생성하여 이 프라이빗 연결을 설정합니다. 인터페이스 엔드포인트에 대해 사용 설정하는 각 서브넷에서 엔드포인트 네트워크 인터페이스를 생성합니다. 이는 AWS Control Tower로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

자세한 내용은 *AWS PrivateLink 가이드*의를 [AWS 서비스 통한 액세스를 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) 참조하세요.

## AWS Control Tower에 대한 고려 사항
<a name="privatelink-vpc-endpoint-considerations"></a>

AWS Control Tower에 대한 인터페이스 엔드포인트를 설정하려면 먼저 *AWS PrivateLink 안내서*의 [고려 사항](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)을 검토합니다.

AWS Control Tower는 인터페이스 엔드포인트를 통해 모든 API 작업에 대한 직접 호출을 지원합니다.

## AWS Control Tower용 인터페이스 엔드포인트 생성
<a name="privatelink-vpc-endpoint-create"></a>

Amazon VPC 콘솔 또는 AWS Command Line Interface ()를 사용하여 AWS Control Tower에 대한 인터페이스 엔드포인트를 생성할 수 있습니다AWS CLI. 자세한 내용은 *AWS PrivateLink 안내서*의 [인터페이스 엔드포인트 생성](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)을 참조하세요.

다음 서비스 이름을 사용하여 AWS Control Tower용 인터페이스 엔드포인트를 생성합니다.

```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```

인터페이스 엔드포인트에 프라이빗 DNS를 사용하도록 설정하는 경우, 기본 리전 DNS 이름을 사용하여 AWS Control Tower에 API 요청을 할 수 있습니다. 예를 들어 `controltower.us-east-1.amazonaws.com`입니다.

## 엔드포인트의 엔드포인트 정책 생성
<a name="privatelink-vpc-endpoint-policy"></a>

엔드포인트 정책은 인터페이스 엔드포인트에 연결할 수 있는 IAM 리소스입니다. 기본 엔드포인트 정책을 사용하면 인터페이스 엔드포인트를 통해 AWS Control Tower에 완전히 액세스할 수 있습니다. VPC에서 AWS Control Tower에 허용되는 액세스를 제어하려면 사용자 지정 엔드포인트 정책을 인터페이스 엔드포인트에 연결합니다.

엔드포인트 정책은 다음 정보를 지정합니다.
+ 작업을 수행할 수 있는 위탁자(AWS 계정, IAM 사용자, IAM 역할)
+ 수행할 수 있는 작업
+ 작업을 수행할 수 있는 리소스.

자세한 내용은 *AWS PrivateLink 안내서*의 [엔드포인트 정책을 사용하여 서비스에 대한 액세스 제어](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)를 참조하세요.

**예: AWS Control Tower 작업에 대한 VPC 엔드포인트 정책**  
다음은 사용자 지정 엔드포인트 정책의 예입니다. 이 정책을 인터페이스 엔드포인트에 연결하면 모든 리소스에서 나열된 AWS Control Tower 작업에 대한 액세스 권한을 모든 위탁자에게 부여할 수 있습니다.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
```

**참고**  
AWS Control Tower API 작업의 전체 목록은 [AWS Control Tower API 참조](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html)를 참조하세요.