기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인터페이스 VPC 엔드포인트에서 AWS IoT Device Management보안 터널링 사용
AWS IoT Device Management보안 터널링은 인터페이스 VPC 엔드포인트를 지원합니다. VPC 엔드포인트를 사용하면 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는AWS Direct Connect 연결 없이 VPC와 AWS네트워크 AWS IoT Secure Tunneling간의 트래픽을 유지할 수 있습니다.
인터페이스 VPC 엔드포인트는 프라이빗 IP 주소를 사용하여 서비스에 비공개로 액세스할 수 있는 기술AWS PrivateLink인 로 구동됩니다. 자세한 내용은 AWS PrivateLink가이드의 인터페이스 VPC 엔드포인트를 사용하여 AWS서비스 액세스를 참조하세요.
사전 조건
에 대한 VPC 엔드포인트를 생성하기 전에 다음이 있는지 AWS IoT Secure Tunneling확인합니다.
-
VPC 엔드포인트를 생성하는 데 필요한 권한이 있는 AWS계정입니다.
-
AWS계정의 VPC입니다.
-
AWS IoT Device Management보안 터널링 개념에 대한 이해.
-
VPC 엔드포인트 정책 및 AWS Identity and Access Management(IAM)에 대한 지식
VPC 엔드포인트를 통해 터널 알림 수신
VPC 엔드포인트를 통해 터널 알림을 수신하기 위해 디바이스는 VPC 엔드포인트를 통해 AWS IoT Core데이터 영역에 연결하고 보안 터널링 예약 MQTT 주제를 구독할 수 있습니다.
AWS IoT Core데이터 영역에서 VPC 엔드포인트를 생성하고 구성하는 방법에 대한 지침은 AWS IoT개발자 안내서의 인터페이스 VPC 엔드포인트와 AWS IoT Core함께 사용을 참조하세요.
보안 터널링을 위한 VPC 엔드포인트 생성
보안 터널링 컨트롤 플레인과 프록시 서버 모두에 대한 VPC 엔드포인트를 생성할 수 있습니다.
보안 터널링을 위한 VPC 엔드포인트를 생성하려면
-
Amazon VPC 개발자 안내서의 인터페이스 엔드포인트 생성의 단계를 따릅니다.
-
서비스 이름에서 엔드포인트 유형에 따라 다음 옵션 중 하나를 선택합니다.
컨트롤 플레인
-
표준:
com.amazonaws.<region>.iot.tunneling.api -
FIPS(FIPS 리전에서 사용 가능):
com.amazonaws.<region>.iot-fips.tunneling.api
프록시 서버
-
표준:
com.amazonaws.<region>.iot.tunneling.data -
FIPS(FIPS 리전에서 사용 가능):
com.amazonaws.<region>.iot-fips.tunneling.data
<region>을 로 바꿉니다AWS 리전. 예를 들어us-east-1입니다. -
-
네트워크 요구 사항에 따라 VPC 엔드포인트 생성 프로세스의 나머지 단계를 완료합니다.
프록시 서버에서 VPC 엔드포인트 정책 구성
터널에 대한 연결을 승인하는 데 사용되는 클라이언트 액세스 토큰 기반 권한 부여 외에도 VPC 엔드포인트 정책을 사용하여 디바이스가 VPC 엔드포인트를 사용하여 보안 터널링 프록시 서버에 연결하는 방법을 추가로 제한할 수 있습니다. VPC 엔드포인트 정책은 IAM과 유사한 구문을 따르며 VPC 엔드포인트 자체에 구성됩니다.
프록시 서버 VPC 엔드포인트 정책에 대해 지원되는 유일한 IAM 작업은 입니다iot:ConnectToTunnel.
다음은 다양한 VPC 엔드포인트 정책의 예입니다.
프록시 서버 VPC 엔드포인트 정책 예제
다음 예제에서는 일반적인 사용 사례에 대한 프록시 서버 VPC 엔드포인트 정책 구성을 보여줍니다.
예 - 기본 정책
이 정책은 VPC 내의 디바이스AWS 리전가 엔드포인트가 생성된 동일한의 모든 터널에 모든AWS 계정에서 연결할 수 있도록 허용합니다.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*" } ] }
예 - 특정 AWS계정에 대한 액세스 제한
이 정책은 VPC 엔드포인트가 특정 AWS계정의 터널에만 연결하도록 허용합니다.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": [ "arn:aws:iot:us-east-1:111122223333:tunnel/*", "arn:aws:iot:us-east-1:444455556666:tunnel/*" ] } ] }
예 - 터널 엔드포인트별 연결 제한
디바이스가 터널의 소스 또는 대상 끝에 연결할 수 있도록 VPC 엔드포인트 액세스를 제한할 수 있습니다.
소스만 해당:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": "*", "Condition": { "StringEquals": { "iot:ClientMode": "source" } } } ] }
대상만 해당:
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": "*", "Condition": { "StringEquals": { "iot:ClientMode": "destination" } } } ] }
예 - 리소스 태그를 기반으로 액세스 제한
이 정책은 VPC 엔드포인트가 특정 키-값 페어로 태그가 지정된 터널에만 연결하도록 허용합니다.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": "Production" } } } ] }
예 - 결합된 정책 조건
이 정책은 여러 정책 요소를 결합하는 방법을 보여줍니다. 터널에가 로 AllowConnectionsThroughPrivateLink 설정되어 true 있고 클라이언트가 터널의 대상 끝에 연결되지 않는 경우에만 특정 AWS계정의 터널에 대한 연결을 허용합니다.
{ "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": [ "arn:aws:iot:us-east-1:111122223333:tunnel/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AllowConnectionsThroughPrivateLink": "true" } } }, { "Effect": "Deny", "Principal": "*", "Action": "iot:ConnectToTunnel", "Resource": [ "arn:aws:iot:us-east-1:111122223333:tunnel/*" ], "Condition": { "StringEquals": { "iot:ClientMode": "destination" } } } ] }
다음 단계
에 대한 VPC 엔드포인트를 생성하고 구성한 후에는 다음 사항을 AWS IoT Secure Tunneling고려하세요.
-
엔드포인트를 통해 디바이스를 연결하여 VPC 엔드포인트 구성을 테스트합니다.
-
Amazon CloudWatch지표를 통해 VPC 엔드포인트 사용량을 모니터링합니다.
-
보안 요구 사항에 따라 VPC 엔드포인트 정책을 검토하고 업데이트합니다.
AWS IoT Device Management보안 터널링에 대한 자세한 내용은 섹션을 참조하세요AWS IoT Secure Tunneling.
