VPC 엔드포인트에서 OpenSearch UI에 대한 액세스 관리 - Amazon OpenSearch Service
VPC와 OpenSearch UI 간에 프라이빗 연결 생성OpenSearch UI 애플리케이션에 대한 액세스를 허용하도록 VPC 엔드포인트 정책 업데이트VPC 엔드포인트 정책에서 OpenSearch UI에 대한 액세스 취소

VPC 엔드포인트에서 OpenSearch UI에 대한 액세스 관리

AWS PrivateLink를 사용하여 VPC와 OpenSearch UI 간에 프라이빗 연결을 생성할 수 있습니다. 이 연결을 사용하면 동일한 VPC에 있는 것처럼 OpenSearch UI 애플리케이션에 액세스할 수 있습니다. 이렇게 하면 인터넷 게이트웨이, NAT 디바이스, VPN 연결을 구성하거나 AWS Direct Connect가 연결을 설정할 필요가 없습니다. VPC의 인스턴스는 OpenSearch UI에 액세스하기 위해 퍼블릭 IP 주소가 필요하지 않습니다.

이 프라이빗 연결을 설정하려면 먼저 AWS PrivateLink에서 제공되는 인터페이스 엔드포인트를 생성합니다. 인터페이스 엔드포인트에 대해 지정하는 각 서브넷에 엔드포인트 네트워크 인터페이스가 자동으로 생성됩니다. 이는 OpenSearch UI 애플리케이션으로 향하는 트래픽의 진입점 역할을 하는 요청자 관리형 네트워크 인터페이스입니다.

VPC와 OpenSearch UI 간에 프라이빗 연결 생성

AWS Management 콘솔 또는 AWS CLI를 사용하여 VPC에서 OpenSearch UI에 액세스하기 위한 프라이빗 연결을 생성할 수 있습니다.

VPC와 OpenSearch UI 간에 프라이빗 연결 생성(콘솔)

콘솔을 사용하여 VPC와 OpenSearch UI 간에 프라이빗 연결을 생성하려면

  1. https://console.aws.amazon.com/aos/home에서 Amazon OpenSearch Service 콘솔에 로그인합니다.

  2. 왼쪽 탐색 메뉴의 서버리스에서 VPC 엔드포인트를 선택합니다.

  3. Create VPC endpoint(VPC 엔드포인트 생성)를 선택합니다.

  4. 이름에 엔드포인트의 이름을 입력합니다.

  5. VPC에서 OpenSearch UI 애플리케이션에 액세스할 VPC를 선택합니다.

  6. 서브넷에서 OpenSearch UI 애플리케이션에 액세스할 서브넷을 하나 선택합니다.

    참고

    엔드포인트의 IP 주소 및 DNS 유형이 서브넷 유형을 기반으로 하는 경우:

    • 이중 스택: 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우.

    • IPv6: 모든 서브넷이 IPv6 전용 서브넷인 경우.

    • IPv4: 모든 서브넷이 IPv4 주소 범위를 포함하는 경우.

  7. 보안 그룹에서 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 하나 이상 선택합니다.

    참고

    이 단계에서는 엔드포인트로 승인하는 인바운드 트래픽의 포트, 프로토콜, 소스를 제한하게 됩니다. 보안 그룹 규칙이 VPC 엔드포인트를 사용하여 OpenSearch UI 애플리케이션과 통신할 리소스가 엔드포인트 네트워크 인터페이스와도 통신하도록 허용하는지 확인합니다.

  8. 8. Create endpoint(엔드포인트 생성)을 선택합니다.

VPC와 OpenSearch UI 간에 프라이빗 연결 생성(AWS CLI)

AWS CLI를 사용하여 VPC와 OpenSearch UI 간에 프라이빗 연결을 생성하려면

다음 명령을 실행합니다. 자리 표시자를 자신의 정보로 바꿉니다.

aws opensearchserverless create-vpc-endpoint \
    --region region \
    --endpoint endpoint \
    --name vpc_endpoint_name \
    --vpc-id vpc_id \
    --subnet-ids subnet_ids

OpenSearch UI 애플리케이션에 대한 액세스를 허용하도록 VPC 엔드포인트 정책 업데이트

프라이빗 연결을 생성한 후 애플리케이션 ID를 지정하여 VPC 엔드포인트 정책에서 OpenSearch UI 애플리케이션에 대한 액세스를 허용하도록 VPC 엔드포인트 정책을 업데이트합니다.

VPC 엔드포인트 정책 업데이트에 대한 자세한 내용은 AWS PrivateLink 가이드VPC 엔드포인트 정책 업데이트를 참조하세요.

VPC 엔드포인트 정책에 다음 문이 포함되어 있는지 확인합니다. 자리 표시자 값을 자신의 정보로 바꿉니다.

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": ["opensearch-ui-application-id"]
            }
        }
    }]
}

VPC 엔드포인트 정책에서 OpenSearch UI에 대한 액세스 취소

OpenSearch UI는 VPC 엔드포인트 정책에서 사용자가 VPC에서 애플리케이션에 액세스할 수 있도록 하는 명시적 권한을 필요로 합니다. 사용자가 더 이상 VPC에서 OpenSearch UI에 액세스하지 않도록 하려면 엔드포인트 정책에서 이 권한을 제거할 수 있습니다. 그러면 사용자가 OpenSearch UI에 액세스하려고 하면 403 forbidden 오류 메시지가 표시됩니다.

VPC 엔드포인트 정책 업데이트에 대한 자세한 내용은 AWS PrivateLink 가이드VPC 엔드포인트 정책 업데이트를 참조하세요.

다음은 VPC에서 UI 애플리케이션에 대한 액세스를 거부하는 VPC 엔드포인트 정책의 예입니다.

{
    "Statement": [{
        "Action": ["opensearch:*"],
        "Effect": "Allow",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "opensearch:ApplicationId": [""]
            }
        }
    }]
}