기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 고급 엔드포인트 구성
AWS Database Migration Service (AWS DMS)에서 엔드포인트에 대한 고급 설정을 구성하여 마이그레이션 프로세스 중에 소스 및 대상 엔드포인트가 작동하는 방식을 제어할 수 있습니다. 고급 설정의 일부로 AWS DMS VPC 피어링을 구성하여 VPCs, 인바운드 및 아웃바운드 트래픽을 제어하는 DMS 보안 그룹, 추가 보안 계층으로서의 Newtwork 액세스 제어 목록(NACLs) 및 AWS Secrets Manager용 VPC 엔드포인트 간의 보안 통신을 활성화할 수 있습니다.
엔드포인트 생성 중에 이러한 구성을 설정하거나 나중에 AWS DMS 콘솔 또는 API를 통해 수정하여 특정 데이터베이스 엔진 요구 사항 및 성능 요구 사항에 따라 마이그레이션 프로세스를 미세 조정할 수 있습니다.
아래에서 고급 엔드포인트 구성에 대한 자세한 정보를 확인할 수 있습니다.
**Topics**
+ [에 대한 VPC 피어링 구성입니다 AWS DMS.](CHAP_Advanced.Endpoints.vpc.peering.md)
+ [에 대한 보안 그룹 구성 AWS DMS](CHAP_Advanced.Endpoints.securitygroup.md)
+ [에 대한 네트워크 액세스 제어 목록(NACL) 구성 AWS DMS](CHAP_Advanced.Ednpoints.NACL.md)
+ [AWS DMS 보안 암호 관리자 VPC 엔드포인트 구성](CHAP_Advanced.Endpoints.secretsmanager.md)
+ [추가 고려 사항](#CHAP_secretsmanager.additionalconsiderations)
# 에 대한 VPC 피어링 구성입니다 AWS DMS.
VPC 피어링을 사용하면 두 VPC 간의 프라이빗 네트워크 연결이 가능하므로 AWS DMS 복제 인스턴스와 데이터베이스 엔드포인트가 동일한 네트워크에 있는 것처럼 서로 다른 VPC 간에 통신할 수 있습니다. 이는 소스 또는 대상 데이터베이스가 별도의 VPC에 있는 동안 DMS 복제 인스턴스가 하나의 VPC에 상주할 때 중요하므로 퍼블릭 인터넷을 통과하지 않고도 직접 보안 데이터 마이그레이션이 가능합니다.
Amazon RDS를 사용하는 경우 인스턴스가 다른 VPC에 있는 경우 DMS와 RDS 간에 VPC 피어링을 구성해야 합니다.
다음 절차를 수행해야 합니다.
**VPC 피어링 연결 생성**
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)로 이동하세요.
1. 탐색 창의 **가상 프라이빗 클라우드**에서 **피어링 연결**을 선택합니다.
1. **피어링 연결 생성**을 클릭합니다.
1. 피어링 연결을 구성합니다.
+ 이름 태그(선택 사항): 피어링 연결의 이름을 입력합니다(예: `DMS-RDS-Peering`).
**VPC 요청자**: DMS 인스턴스가 포함된 VPC를 선택합니다.
+ **VPC 수락자**: RDS 인스턴스 인스턴스가 포함된 VPC를 선택합니다.
**참고**
수락자 VPC가 다른 AWS 계정과 연결된 경우 해당 계정의 계정 ID와 VPC ID가 있어야 합니다.
1. **피어링 연결 생성**을 클릭합니다.
**VPC 피어링 연결 허용**
1. **피어링 연결** 목록에서 **수락 보류** 중 상태의 새 피어링 연결을 찾습니다.
1. 적절한 피어링 연결을 선택하고 **작업**을 클릭한 다음 **요청 수락**을 선택합니다.
피어링 연결의 상태가 **활성**으로 변경됩니다.
**라우팅 테이블 업데이트**
VPC 간의 트래픽을 활성화하려면 두 VPC 모두에서 라우팅 테이블을 업데이트해야 합니다. DMS VPC에서 라우팅 테이블을 업데이트하려면
1. RDS VPC의 CIDR 블록을 식별합니다.
1. VPC로 이동하여 RDS VPC를 선택합니다.
1. **CIDR** 탭에서 IPv4 CIDR 값을 복사합니다.
1. 리소스 맵을 사용하여 관련 DMS 라우팅 테이블을 식별합니다.
1. VPC로 이동하여 DMS VPC를 선택합니다.
1. **리소스 맵** 탭을 클릭하고 DMS 인스턴스가 있는 서브넷과 연결된 라우팅 테이블을 기록해 둡니다.
1. DMS VPC의 모든 라우팅 테이블을 업데이트합니다.
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)에서 라우팅 테이블로 이동합니다.
1. DMS VPC에 대해 식별되는 라우팅 테이블을 선택합니다. VPC의 **리소스 맵** 탭에서 열 수 있습니다.
1. **경로 편집**을 클릭합니다.
1. 라우팅 추가를 클릭하고 다음 정보를 입력합니다.
+ **대상**: RDS VPC의 IPv4 CIDR 블록을 입력합니다(예: `10.1.0.0/16`).
+ **대상**: 피어링 구성 ID를 선택합니다(예: `pcx-1234567890abcdef`).
1. **경로 저장**을 클릭합니다.
VPC 경로는 DMS VPC에 대해 저장됩니다. RDS VPC에 대해 동일한 단계를 수행합니다.
**보안 그룹 업데이트**
1. DMS 인스턴스 보안 그룹을 확인합니다.
1. 아웃바운드 규칙이 RDS 인스턴스로의 트래픽을 허용하는지 확인해야 합니다.
+ **유형**: 사용자 지정 TCP 또는 특정 데이터베이스 포트(예: 3306 fir MySQL).
+ **대상**: RDS VPC의 CIDR 블록 또는 RDS 인스턴스의 보안 그룹입니다.
1. RDS 인스턴스 보안 그룹을 확인합니다.
1. 인바운드 규칙이 DMS 인스턴스의 트래픽을 허용하는지 확인해야 합니다.
+ **유형**: 특정 데이터베이스 포트입니다.
+ 소스: DMS VPC의 CIDR 블록 또는 RDS 인스탭의 보안 그룹입니다.
**참고**
다음 작업도 수행해야 합니다.
**활성 피어링 연결**: 계속하기 전에 VPC 피어링 연결이 **활성** 상태인지 확인합니다.
**리소스 맵**: [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)의 **리소스 맵** 탭을 사용하여 업데이트가 필요한 라우팅 테이블을 식별합니다.
**겹치는 CIDR 블록 없음**: VPC에는 겹치지 않는 CIDR 블록이 있어야 합니다.
**보안 모범 사례**: 필요한 포트 및 소스에 대한 보안 그룹 규칙을 삭제합니다.
자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC 피어링 연결](https://docs.aws.amazon.com/vpc/latest/peering/working-with-vpc-peering.html)을 참조하세요.
# 에 대한 보안 그룹 구성 AWS DMS
의 보안 그룹은 적절한 데이터베이스 포트에서 복제 인스턴스에 대한 인바운드 및 아웃바운드 연결을 허용 AWS DMS 해야 합니다. Amazon RDS를 사용하는 경우 인스턴스에 대해 DMS와 RDS 간에 보안 그룹을 구성해야 합니다.
다음 절차를 수행해야 합니다.
**RDS 인스턴스 보안 그룹 구성**
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)로 이동하세요.
1. **보안** 아래 왼쪽 탐색 창에서 **보안 그룹**을 선택합니다.
1. RDS 인스턴스에 연결된 RDS 보안 그룹 중 하나를 선택합니다.
1. 인바운드 규칙 편집:
1. **작업**을 클릭하고 **인바운드 규칙 편집**을 선택합니다.
1. **규칙 추가**를 클릭하여 새 규칙을 생성합니다.
1. 다음과 같이 규칙을 구성하세요.
+ **유형**: 데이터베이스 유형을 선택합니다(예: 포트 3306의 경우 MySQL/Aurora, 포트 5432의 경우 PostgreSQL).
+ **프로토콜**: 데이터베이스 유형에 따라 자동으로 채워집니다.
+ **포트 범위**: 데이터베이스 유형에 따라 자동으로 채워집니다.
+ **소스**: **사용자 지정**을 선택하고 DMS 인스턴스와 연결된 보안 그룹 ID를 붙여 넣습니다. 이렇게 하면 해당 보안 그룹 내 모든 리소스의 트래픽이 허용됩니다. DMS 인스턴스의 IP 범위(CIDR 블록)를 지정할 수도 있습니다.
1. **규칙 저장**을 클릭합니다.
**DMS 복제 인스턴스 보안 그룹 구성**
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)로 이동하세요.
1. **보안** 아래 왼쪽 탐색 창에서 **보안 그룹**을 선택합니다.
1. **보안 그룹** 목록에서 DMS 복제 인스턴스와 연결된 보안 그룹을 찾아 선택합니다.
1. 아웃바운드 규칙을 편집합니다.
1. **작업**을 클릭하고 **아웃바운드 규칙 편집**을 선택합니다.
1. **규칙 추가**를 클릭하여 새 규칙을 생성합니다.
1. 다음과 같이 규칙을 구성하세요.
+ 유형: 데이터베이스 유형을 선택합니다(예: MySQL/Aurora, PostgreSQL).
+ 프로토콜: 데이터베이스 유형에 따라 자동으로 채워집니다.
+ 포트 범위: 데이터베이스 유형에 따라 자동으로 채워집니다.
+ 소스: **사용자 지정**을 선택하고 RDS 인스턴스와 연결된 보안 그룹 ID를 붙여 넣습니다. 이렇게 하면 해당 보안 그룹 내 모든 리소스의 트래픽이 허용됩니다. RDS 인스턴스의 IP 범위(CIDR 블록)를 지정할 수도 있습니다.
1. **규칙 저장**을 클릭합니다.
## 추가 고려 사항
다음과 같은 추가 구성 정보를 고려해야 합니다.
+ **보안 그룹 참조 사용**: 소스 또는 폐기 인스턴스에서 보안 그룹을 참조하면 동적 관리가 가능하며 그룹 내의 모든 리소스가 자동으로 포함되므로 IP 주소를 사용하는 것보다 안전합니다.
+ **데이터베이스 포트**: 데이터베이스에 올바른 포트를 사용하고 있는지 확인합니다.
+ **보안 모범 사례**: 보안 위험을 최소화하기 위해 필요한 포트만 엽니다. 또한 보안 그룹 규칙을 정기적으로 검토하여 보안 표준 및 요구 사항을 충족하는지 확인해야 합니다.
# 에 대한 네트워크 액세스 제어 목록(NACL) 구성 AWS DMS
Amazon RDS를 복제 소스로 사용하는 경우 DMS 및 RDS 인스턴스의 네트워크 액세스 제어 목록(NACL)을 업데이트해야 합니다. NACL이 이러한 인스턴스가 있는 서브넷과 연결되어 있는지 확인합니다. 이렇게 하면 특정 데이터베이스 포트에서 인바운드 및 아웃바운드 트래픽이 허용됩니다.
네트워크 액세스 제어 목록을 업데이트하려면 다음 단계를 수행해야 합니다.
**참고**
DMS 및 RDS 인스턴스가 동일한 서브넷에 있는 경우 해당 서브넷의 NACL만 업데이트하면 됩니다.
**관련 NACL 식별**
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)로 이동하세요.
1. **보안** 아래 왼쪽 탐색 메뉴 섹션에서 **네트워크 ACL**을 선택합니다.
1. DMS 및 RDS 인스턴스가 있는 서브넷과 연결된 관련 NACL을 선택합니다.
**DMS 인스턴스 서브넷의 NACL 업데이트**
1. DMS 인스턴스의 서브넷과 연결된 NACL을 식별합니다. 이렇게 하려면 [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)에서 서브넷을 탐색하고 DMS 서브넷을 찾은 다음 연결된 NACL ID를 기록해 둡니다.
1. 인바운드 규칙 편집:
1. 선택한 NACL에 대한 **인바운드 규칙** 탭을 클릭합니다.
1. **인바운드 규칙 편집**을 선택합니다.
1. 새 규칙 추가:
+ **규칙 \$1**: 고유 번호를 선택합니다(예: 100).
+ **유형**: **사용자 지정 TCP 규칙**을 선택합니다.
+ **프로토콜**: TCP
+ **포트 범위**: 데이터베이스 포트를 입력합니다(예: MySQL의 경우 3306).
+ **소스**: RDS 서브넷의 CIDR 블록을 입력합니다(예: 10.1.0.0/16).
+ **허용/거부**: **허용**을 선택합니다.
1. 아웃바운드 규칙을 편집합니다.
1. 선택한 NACL에 대한 **아웃바운드 규칙** 탭을 클릭합니다.
1. **아웃바운드 규칙 편집**을 클릭합니다.
1. 새 규칙 추가:
+ **규칙 \$1**: 인바운드 규칙에 사용된 것과 동일한 번호를 사용합니다.
+ **유형:**: 모든 트래픽.
+ **대상 주소**: 0.0.0.0/0
+ **허용/거부**: **허용**을 선택합니다.
1. **변경 사항 저장**을 클릭합니다.
1. 동일한 단계를 수행하여 RDS 인스턴스의 서브넷과 연결된 NACL을 업데이트합니다.
## NACL 규칙 확인
NACL 규칙과 관련하여에 대한 다음 기준을 확인해야 합니다.
+ **규칙 순서**: NACL 규칙 번호를 기준으로 규칙을 오름차순으로 처리합니다. 트래픽을 차단할 수 있으므로 "**허용**"으로 설정된 모든 규칙의 규칙 번호가 "**거부**"로 설정된 모든 규칙보다 낮은지 확인합니다.
+ **상태 비저장 특성**: NACL은 상태 비저장입니다. 인바운드 트래픽과 아웃바운드 트래픽을 모두 명시적으로 허용해야 합니다.
+ **CIDR 블록**: 사용하는 CIDR 블록이 DMS 및 RDS 인스턴스의 서브넷을 정확하게 나타내는지 확인해야 합니다.
# AWS DMS 보안 암호 관리자 VPC 엔드포인트 구성
프라이빗 서브넷의 복제 인스턴스에서 AWS Secrets Manager에 액세스하려면 VPC 엔드포인트를 생성해야 합니다. 이렇게 하면 복제 인스턴스가 퍼블릭 인터넷을 통해 트래픽을 전송하지 않고 프라이빗 네트워크를 통해 직접 Secrets Manager에 액세스할 수 있습니다.
구성하려면 다음 단계를 따르세요.
**VPC 엔드포인트에 대한 보안 그룹을 생성합니다.**
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)로 이동하세요.
1. 왼쪽 탐색 창에서 **보안 그룹**과 **보안 그룹 생성**을 차례로 선택합니다.
1. 보안 그룹 세부정보 구성:
+ **보안 그룹 이름**: 예시: `SecretsManagerEndpointSG`
+ **설명**: 적절한 설명을 입력합니다. (예: 보안 암호 관리자 VPC 엔드포인트의 보안 그룹).
+ **VPC**: 복제 인스턴스와 엔드포인트가 있는 VPC를 선택합니다.
1. **규칙 추가**를 클릭하여 인바운드 규칙을 설정하고 다음을 구성합니다.
+ 유형: HTTPS(보안 암호 관리자가 포트 443에서 HTTPS를 사용함).
+ 소스: **사용자 지정**을 선택하고 복제 인스턴스의 보안 그룹 ID를 입력합니다. 이렇게 하면 해당 보안 그룹과 연결된 모든 인스턴스가 VPC 엔드포인트에 액세스할 수 있습니다.
1. 변경 사항을 검토하고 **보안 그룹 생성**을 클릭합니다.
**Secrets Manager용 VPC 엔드포인트 생성**
**참고**
*Amazon Virtual Private Cloud 사용 설명서*의 [인터페이스 엔드포인트 생성 설명서](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)에 설명된 대로 인터페이스 VPC 엔드포인트를 생성합니다. 이 절차를 따를 때는 다음을 확인하세요.
**서비스 범주**에서 **AWS 서비스**를 선택합니다.
**서비스 이름**에서 `seretsmanager` 검색 후 보안 암호 관리자 서비스를 선택합니다.
1. **VPC 및 서브넷**을 선택하고 다음을 구성합니다.
+ **VPC**: 복제 인스턴스와 동일한 VPC인지 확인합니다.
+ **서브넷**: 복제 인스턴스가 있는 서브넷을 선택합니다.
1. **추가 설정**에서 인터페이스 엔드포인트에 대해 **DNS 이름 활성화**가 기본적으로 활성화되어 있는지 확인합니다.
1. **보안 그룹**에서 적절한 보안 그룹 이름을 선택합니다. 예: `SecretsManagerEndpointSG`, 앞서 생성한 대로).
1. 모든 설정을 검토하고 **엔드포인트 생성**을 클릭합니다.
**VPC 엔드포인트 DNS 이름 검색**
1. VPC 엔드포인트 세부 정보에 액세스합니다.
1. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)로 이동하여 **엔드포인트**를 선택합니다.
1. 생성한 적절한 엔드포인트를 선택합니다.
1. DNS 이름을 복사합니다.
1. **세부 정보** 탭에서 **DNS 이름** 섹션으로 이동합니다.
1. 나열된 첫 번째 DNS 이름을 복사합니다. (예: `vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`). 이는 지역 DNS 이름입니다.
**DMS 엔드포인트 업데이트**
1. [AWS DMS](https://console.aws.amazon.com/dms/v2) 콘솔로 이동합니다.
1. DMS 엔드포인트를 수정합니다.
1. 왼쪽 탐색 창에서 **엔드포인트**를 선택합니다.
1. 구성하고자 하는 적절한 엔드포인트를 선택합니다.
1. **작업**을 클릭하고 **수정**을 선택합니다.
1. 엔드포인트 서비스 구성:
1. **엔드포인트 설정**으로 이동하여 **엔드포인트 연결 속성 사용** 확인란을 선택합니다.
1. **연결 속성** 필드에 `secretsManagerEndpointOverride=`를 추가합니다.
**참고**
연결 속성이 여러 개인 경우 세미콜론 ";"로 구분할 수 있습니다. 예: `datePartitionEnabled=false;secretsManagerEndpointOverride=vpce-0abc123def456789g-secretsmanager.us-east-1.vpce.amazonaws.com`
1. **엔드포인트 수정**을 클릭하여 변경 사항을 저장합니다.
## 추가 고려 사항
다음과 같은 추가 구성 정보를 고려해야 합니다.
**복제 인스턴스 보안 그룹:**
+ 복제 인스턴스와 연결된 보안 그룹이 포트 443(HTTPS)에서 VPC 엔드포인트로의 아웃바운드 트래픽을 허용하는지 확인합니다.
**VPC DNS 설정:**
+ VPC에서 **DNS 확인** 및 **DNS 핫 이름**이 활성화되어 있는지 확인합니다. 이렇게 하면 인스턴스가 VPC 엔드포인트 DNS 이름을 확인할 수 있습니다. [Amazon VPC 콘솔](https://console.aws.amazon.com/vpc/)에서 VPC로 이동하여 VPC를 선택하여 **DNS 확인** 및 **DNS 핫 이름**이 "**예**"로 설정되어 있는지 확인할 수 있습니다.
**연결 테스트:**
+ 복제 인스턴스에서 DNS 조회를 수행하여 `nslookup secretsmanager.amazonaws.com` VPC 엔드포인트인를 확인할 수 있습니다. VPC 엔드포인트와 연결된 IP 주소를 반환해야 합니다