기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 게이트웨이 엔드포인트 게이트웨이 VPC 엔드포인트를 사용하면 VPC용 인터넷 게이트웨이 또는 NAT 디바이스가 없어도 Amazon S3 및 DynamoDB에 안정적으로 연결할 수 있습니다. 게이트웨이 엔드포인트는 다른 유형의 VPC 엔드포인트와 AWS PrivateLink달리를 사용하지 않습니다. Amazon S3와 DynamoDB는 게이트웨이 엔드포인트와 인터페이스 엔드포인트를 모두 지원합니다. 옵션에 대한 비교는 다음을 참조하세요. + [Amazon S3용 VPC 엔드포인트의 유형](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3) + [Amazon DynamoDB용 VPC 엔드포인트의 유형](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb) **가격 책정** 게이트웨이 엔드포인트 사용에 따르는 추가 요금은 없습니다. **Topics** + [ ## 개요 ](#gateway-endpoint-overview) + [ ## 라우팅 ](#gateway-endpoint-routing) + [ ## 보안 ](#gateway-endpoint-security) + [ ## IP 주소 유형 ](#gateway-endpoint-ip-address-type) + [ ## DNS 레코드 IP 유형 ](#gateway-endpoint-dns-record-ip-type) + [Amazon S3에 대한 엔드포인트](vpc-endpoints-s3.md) + [DynamoDB에 대한 엔드포인트](vpc-endpoints-ddb.md) ## 개요 Amazon S3와 DynamoDB는 퍼블릭 서비스 엔드포인트나 게이트웨이 엔드포인트를 통해 액세스할 수 있습니다. 이 개요에서는 두 방법을 비교합니다. **인터넷 게이트웨이를 통한 액세스** 다음 다이어그램은 인스턴스에서 퍼블릭 서비스 엔드포인트를 통해 Amazon S3 및 DynamoDB에 액세스하는 방법을 보여줍니다. 퍼블릭 서브넷의 인스턴스에서 Amazon S3 또는 DynamoDB로의 트래픽은 VPC의 인터넷 게이트웨이를 거쳐 서비스로 라우팅됩니다. 프라이빗 서브넷의 인스턴스는 Amazon S3 또는 DynamoDB로 트래픽을 전송할 수 없습니다. 기본적으로 프라이빗 서브넷에는 인터넷 게이트웨이에 대한 라우팅이 없기 때문입니다. 프라이빗 서브넷의 인스턴스에서 Amazon S3 또는 DynamoDB로 트래픽을 보내려면 퍼블릭 서브넷에 NAT 디바이스를 추가하고 프라이빗 서브넷의 트래픽을 NAT 디바이스로 라우팅합니다. Amazon S3 또는 DynamoDB로의 트래픽은 인터넷 게이트웨이를 통과하지만 AWS 네트워크를 벗어나지 않습니다. ![\[트래픽은 인터넷 게이트웨이를 통해 VPC를 떠나지만 AWS 네트워크에 남아 있습니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/images/without-gateway-endpoints.png) **게이트웨이 엔드포인트를 통한 액세스** 다음 다이어그램은 인스턴스에서 게이트웨이 엔드포인트를 통해 Amazon S3 및 DynamoDB에 액세스하는 방법을 보여줍니다. VPC에서 Amazon S3 또는 DynamoDB로의 트래픽은 게이트웨이 엔드포인트로 라우팅됩니다. 각 서브넷 라우팅 테이블에는 서비스로 전송되는 트래픽을 서비스의 접두사 목록을 사용하여 게이트웨이 엔드포인트로 보내는 라우팅이 있어야 합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [AWS관리형 접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)을 참조하세요. ![\[VPC에서 오는 트래픽은 게이트웨이 엔드포인트로 라우팅됩니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/images/gateway-endpoints.png) ## 라우팅 게이트웨이 엔드포인트를 생성할 때 활성화하는 서브넷의 VPC 라우팅 테이블을 선택합니다. 선택하는 각 라우팅 테이블에는 다음 라우팅이 자동으로 추가됩니다. 대상은가 소유한 서비스의 접두사 목록 AWS 이고 대상은 게이트웨이 엔드포인트입니다. | Destination | 대상 | | --- | --- | | prefix\$1list\$1id | gateway\$1endpoint\$1id | **고려 사항** + 라우팅 테이블에 추가된 엔드포인트 라우팅을 확인할 수 있지만 수정하거나 삭제할 수는 없습니다. 라우팅 테이블에 엔드포인트 라우팅을 추가하려면 테이블을 게이트웨이 엔드포인트와 연결합니다. 라우팅 테이블과 게이트웨이 엔드포인트의 연결을 해제하거나 게이트웨이 엔드포인트를 삭제하면 엔드포인트 라우팅이 삭제됩니다. + 게이트웨이 엔드포인트와 연결된 라우팅 테이블에 연결된 서브넷의 모든 인스턴스는 자동으로 해당 게이트웨이 엔드포인트를 사용하여 서비스에 액세스합니다. 이러한 라우팅 테이블과 연결되지 않은 서브넷의 인스턴스는 게이트웨이 엔드포인트가 아니라 퍼블릭 서비스 엔드포인트를 사용합니다. + 라우팅 테이블에는 Amazon S3에 대한 엔드포인트 라우팅과 DynamoDB에 대한 엔드포인트 라우팅이 모두 있을 수 있습니다. 동일한 서비스(Amazon S3 또는 DynamoDB)에 대한 엔드포인트 라우팅을 여러 라우팅 테이블에 추가할 수 있습니다. 하지만 동일한 서비스(Amazon S3 또는 DynamoDB)에 대한 여러 엔드포인트 라우팅을 하나의 라우팅 테이블에 추가할 수는 없습니다. + Amazon은 LPM(Longest Prefix Match)을 통해 트래픽과 일치하는 고도로 구체적인 라우팅을 사용하여 트래픽의 라우팅 방법을 결정합니다. 엔드포인트 라우팅이 포함된 라우팅 테이블의 경우 다음을 의미합니다. + 모든 인터넷 트래픽(0.0.0.0/0)을 인터넷 게이트웨이로 보내는 라우팅이 있는 경우 현재 리전에서 서비스(Amazon S3 또는 DynamoDB)로 전송되는 트래픽에 대해 엔드포인트 라우팅이 우선 적용됩니다. 다른 로 향하는 트래픽은 인터넷 게이트웨이를 AWS 서비스 사용합니다. + 접두사 목록은 리전에 따라 다르므로 다른 리전의 서비스(Amazon S3 또는 DynamoDB)로 전송되는 트래픽은 인터넷 게이트웨이로 이동됩니다. + 동일한 리전에서 서비스(Amazon S3 또는 DynamoDB)의 정확한 IP 주소 범위를 지정하는 라우팅이 있는 경우에는 해당 라우팅이 엔드포인트 라우팅보다 우선 적용됩니다. ## 보안 인스턴스에서 게이트웨이 엔드포인트를 통해 Amazon S3 또는 DynamoDB에 액세스하는 경우 인스턴스에서 퍼블릭 엔드포인트를 사용하여 서비스에 액세스합니다. 이러한 인스턴스를 위한 보안 그룹은 로드 밸런서에서 이동하는 트래픽을 허용해야 합니다. 다음은 아웃바운드 예제입니다. 서비스의 [접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) ID를 참조합니다. | Destination | 프로토콜 | 포트 범위 | | --- | --- | --- | | prefix\$1list\$1id | TCP | 443 | 이러한 인스턴스의 서브넷에 대한 네트워크 ACL은 서비스에서 이동하는 트래픽을 허용해야 합니다. 다음은 아웃바운드 예제입니다. 네트워크 ACL 규칙에서 접두사 목록을 참조할 수는 없지만 접두사 목록에서 서비스의 IP 주소 범위를 가져올 수 있습니다. | Destination | 프로토콜 | 포트 범위 | | --- | --- | --- | | service\$1cidr\$1block\$11 | TCP | 443 | | service\$1cidr\$1block\$12 | TCP | 443 | | service\$1cidr\$1block\$13 | TCP | 443 | ## IP 주소 유형 IP 주소 유형은 라우팅 테이블에 연결되는 접두사 목록을 결정합니다. **게이트웨이 엔드포인트에서 IPv6을 활성화하기 위한 요구 사항** + 게이트웨이 엔드포인트의 IP 주소 유형은 다음과 같이 엔드포인트에 사용할 서브넷과 호환되어야 합니다. + **IPv4** - 라우팅 테이블에 서비스의 IPv4 접두사 목록을 추가합니다. + **IPv6** - 라우팅 테이블에 서비스의 IPv6 접두사 목록을 추가합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 전용 서브넷인 경우에만 지원됩니다. + **듀얼 스택** - 라우팅 테이블에 서비스의 IPv4 접두사 목록과 IPv6 접두사 목록을 모두 추가합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우에만 지원됩니다. ## DNS 레코드 IP 유형 기본적으로 게이트웨이 엔드포인트는 호출하는 서비스 엔드포인트를 기반으로 DNS 레코드를 반환합니다. 와 같은 IPv4 서비스 엔드포인트를 사용하여 게이트웨이 엔드포인트를 생성하는 경우 `s3.us-east-2.amazonaws.com` Amazon S3는 클라이언트에 A 레코드를 반환하고 라우팅 테이블의 모든 서브넷은 IPv4를 사용합니다. 반대로와 같은 듀얼 스택 서비스 엔드포인트를 사용하여 게이트웨이 엔드포인트를 생성하는 경우 `s3.dualstack.us-east-2.amazonaws.com` Amazon S3는 클라이언트에 A 및 AAAA 레코드를 모두 반환하고 라우팅 테이블의 서브넷은 IPv4 및 IPv6를 사용합니다. **참고** 디렉터리 버킷 또는 S3 Express One Zone의 경우 데이터 영역의 게이트웨이 엔드포인트는 `s3express-use2-az1.dualstack.us-east-2.amazonaws.com` 각각 `s3express-use2-az1.us-east-2.amazonaws.com` 및 입니다. DNS 레코드 IP 유형은 트래픽이 클라이언트로 라우팅되는 방식에 영향을 줍니다. IPv4 서비스 엔드포인트를 사용하여 게이트웨이 엔드포인트를 생성한 다음 듀얼 스택 서비스 엔드포인트를 호출하는 경우 AAAA 레코드를 사용하는 트래픽은 게이트웨이 엔드포인트를 통해 라우팅되지 않습니다. 트래픽이 있는 경우 IPv6-compatible 경로를 통해 트래픽이 삭제되거나 라우팅됩니다. 서비스 정의 DNS 레코드 IP 유형을 사용하는 경우 서비스가 여러 서비스 엔드포인트의 가변 호출을 처리할 수 있는지 확인합니다. [서비스 정의](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptionsSpecification.html)의 기본 DNS 레코드 IP 유형 설정 대신 DNS 레코드 IP 유형을 사용자 지정하여 특정 엔드포인트에 대해 반환되는 레코드를 선택할 수 있습니다. 다음 표에는 지원되는 DNS 레코드 IP 유형과 반환된 레코드 유형이 나와 있습니다. | DNS 레코드 IP 유형 | 반환된 레코드 유형 | | --- | --- | | IPv4 | A | | IPv6 | AAAA | | 듀얼 스택 | A 및 AAAA | | 서비스 정의 | 레코드는 서비스 엔드포인트에 따라 다릅니다. | DNS 레코드 IP 유형을 선택하려면 엔드포인트 서비스에 호환되는 IP 주소 유형을 사용해야 합니다. 다음 표에는 게이트웨이 엔드포인트의 각 IP 주소 유형에 대해 지원되는 DNS 레코드 IP 유형이 나와 있습니다. | IP 주소 유형 | 지원되는 DNS 레코드 IP 유형 | | --- | --- | | IPv4 | IPv4, 서비스 정의형\$1 | | IPv6 | IPv6, 서비스 정의형\$1 | | 듀얼 스택 | IPv4, IPv6, 듀얼 스택, 서비스 정의형\$1 | \$1 기본 DNS 레코드 IP 유형을 나타냅니다. **참고** 게이트웨이 엔드포인트에 대해 서비스 정의 이외의 DNS 레코드 IP 유형을 사용하려면 VPC 설정에서 `enableDnsSupport` 및 `enableDnsHostnames` 속성을 허용해야 합니다. DynamoDB 게이트웨이 엔드포인트의 DNS 레코드 IP 유형은 변경할 수 없습니다. DynamoDB는 서비스 정의의 DNS 레코드 IP 유형만 지원합니다. DNS 레코드 IP 유형의 동작은 인터페이스 엔드포인트의 경우 다릅니다. 자세한 내용은 [인터페이스 엔드포인트의 DNS 레코드 IP 유형](privatelink-access-aws-services.md#aws-services-dns-record-ip-type)을 참조하세요. # Amazon S3에 대한 게이트웨이 엔드포인트 Amazon S3에 대한 엔드포인트 VPC에서 게이트웨이 VPC 엔드포인트를 사용하여 Amazon S3에 액세스할 수 있습니다. 게이트웨이 엔드포인트를 생성한 후 VPC에서 Amazon S3로 전송되는 트래픽에 대해 해당 엔드포인트를 라우팅 테이블의 대상으로 추가할 수 있습니다. 게이트웨이 엔드포인트 사용에 따르는 추가 요금은 없습니다. Amazon S3는 게이트웨이 엔드포인트와 인터페이스 엔드포인트를 모두 지원합니다. 게이트웨이 엔드포인트를 사용하면 VPC 인터넷 게이트웨이 또는 NAT 디바이스를 사용하지 않고 추가 비용 없이 VPC에서 Amazon S3에 액세스할 수 있습니다. 그러나 게이트웨이 엔드포인트는 온프레미스 네트워크, 다른 AWS 리전의 피어링된 VPCs 또는 전송 게이트웨이를 통한 액세스를 허용하지 않습니다. 이러한 시나리오에서는 추가 비용을 지불한 후 사용할 수 있는 인터페이스 엔드포인트를 사용해야 합니다. 자세한 내용은 *Amazon S3 사용 설명서*의 [Amazon S3용 VPC 엔드포인트 유형](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3)을 참조하세요. **Topics** + [ ## 고려 사항 ](#gateway-endpoint-considerations-s3) + [ ## 프라이빗 DNS ](#private-dns-s3) + [ ## 게이트웨이 엔드포인트 생성 ](#create-gateway-endpoint-s3) + [ ## 버킷 정책을 사용한 액세스 제어 ](#bucket-policies-s3) + [ ## 라우팅 테이블 연결 ](#associate-route-tables-s3) + [ ## VPC 엔드포인트 정책 편집 ](#edit-vpc-endpoint-policy-s3) + [ ## 게이트웨이 엔드포인트 삭제 ](#delete-gateway-endpoint-s3) ## 고려 사항 + 게이트웨이 엔드포인트는 해당 엔드포인트를 생성한 리전에서만 사용할 수 있습니다. S3 버킷과 동일한 리전에서 게이트웨이 엔드포인트를 생성해야 합니다. + Amazon DNS 서버를 사용 중인 경우 VPC에 대해 [DNS 호스트 이름 및 DNS 확인](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)을 모두 활성화해야 합니다. 자체 DNS 서버를 사용하는 경우 Amazon S3에 대한 요청이 AWS에서 유지 관리하는 IP 주소로 올바르게 확인되어야 합니다. + 게이트웨이 엔드포인트를 통해 Amazon S3에 액세스하는 인스턴스의 보안 그룹에 대한 규칙은 Amazon S3에서 이동하는 트래픽을 허용해야 합니다. 보안 그룹 규칙에서 Amazon S3의 [접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) ID를 참조할 수 있습니다. + 게이트웨이 엔드포인트를 통해 Amazon S3에 액세스하는 인스턴스의 서브넷에 대한 네트워크 ACL에서 Amazon S3로 이동하는 트래픽을 허용해야 합니다. 네트워크 ACL 규칙에서 접두사 목록을 참조할 수는 없지만 Amazon S3의 [접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)에서 Amazon S3의 IP 주소 범위를 가져올 수 있습니다. + S3 버킷에 액세스해야 AWS 서비스 하는를 사용하고 있는지 확인합니다. 예를 들어, 서비스에서 로그 파일이 포함된 버킷에 액세스해야 하거나 EC2 인스턴스에 드라이버 또는 에이전트를 다운로드해야 할 수 있습니다. 그렇다면 엔드포인트 정책에서 AWS 서비스 또는 리소스가 `s3:GetObject` 작업을 사용하여 이러한 버킷에 액세스하도록 허용하는지 확인합니다. + VPC 엔드포인트를 통과하는 Amazon S3에 대한 요청에 대한 자격 증명 정책 또는 버킷 정책의 `aws:SourceIp` 조건은 사용할 수 없습니다. 대신 `aws:VpcSourceIp` 조건을 사용합니다. 또는 라우팅 테이블을 사용하여 VPC 엔드포인트를 통해 Amazon S3에 액세스할 수 있는 EC2 인스턴스를 제어할 수 있습니다. + Amazon S3에서 수신한 영향을 받는 서브넷의 인스턴스에서 가져온 소스 IPv4 또는 IPv6 주소가 퍼블릭 주소에서 VPC의 프라이빗 주소로 변경됩니다. 엔드포인트는 네트워크 라우팅을 스위칭하고 열린 TCP 연결을 끊습니다. 퍼블릭 주소를 사용한 이전 연결은 재개되지 않습니다. 따라서 엔드포인트를 만들거나 수정할 때는 중요한 작업을 실행하지 않는 것이 좋으며 연결이 끊어진 후에는 소프트웨어가 자동으로 Amazon S3에 다시 연결할 수 있는지 테스트해야 합니다. + 엔드포인트 연결은 VPC 외부로 확장할 수 없습니다. VPN 연결, VPC 피어링 연결, 전송 게이트웨이 또는 VPC Direct Connect 연결의 반대쪽에 있는 리소스는 게이트웨이 엔드포인트를 사용하여 Amazon S3와 통신할 수 없습니다. + 계정의 기본 할당량은 리전당 게이트웨이 엔드포인트 20개이며 조정 가능합니다. 또한 VPC당 게이트웨이 엔드포인트는 255개로 제한됩니다. ## 프라이빗 DNS Amazon S3용 게이트웨이 엔드포인트와 인터페이스 엔드포인트를 모두 생성할 때 비용을 최적화하도록 프라이빗 DNS를 구성할 수 있습니다. **Route 53 Resolver** Amazon은 [Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)라고 하는 VPC용 DNS 서버를 제공합니다. Route 53 Resolver는 프라이빗 호스팅 영역의 로컬 VPC 도메인 이름 및 레코드를 자동으로 확인합니다. 하지만 VPC 외부에서는 Route 53 Resolver를 사용할 수 없습니다. Route 53은 사용자가 VPC 외부에서 Route 53 Resolver를 사용할 수 있도록 Resolver 엔드포인트와 Resolver 규칙을 제공합니다. *인바운드 Resolver 엔드포인트*는 온프레미스 네트워크 상의 DNS 쿼리를 Route 53 Resolver로 전달합니다. *아웃바운드 Resolver 엔드포인트*는 Route 53 Resolver의 DNS 쿼리를 온프레미스 네트워크로 전달합니다. 인바운드 Resolver 엔드포인트에 프라이빗 DNS만 사용하도록 Amazon S3용 인터페이스 엔드포인트를 구성하면 인바운드 Resolver 엔드포인트가 생성됩니다. 인바운드 Resolver 엔드포인트는 온프레미스에서 인터페이스 엔드포인트의 프라이빗 IP 주소로 전송되는 Amazon S3에 대한 DNS 쿼리를 해결합니다. 또한 VPC의 DNS 쿼리가 트래픽을 게이트웨이 엔드포인트로 라우팅하는 Amazon S3 퍼블릭 IP 주소로 확인되도록 Route 53 Resolver의 ALIAS 레코드를 Amazon S3 퍼블릭 호스팅 영역에 추가합니다. **프라이빗 DNS** Amazon S3용 인터페이스 엔드포인트에 프라이빗 DNS를 구성하지만 인바운드 Resolver 엔드포인트에 대해서만 프라이빗 DNS를 구성하지 않는 경우, 온프레미스 네트워크와 VPC 모두의 요청이 인터페이스 엔드포인트를 사용하여 Amazon S3에 액세스합니다. 따라서 추가 요금 없이 게이트웨이 엔드포인트를 사용하는 대신 VPC의 트래픽에 인터페이스 엔드포인트를 사용하려면 비용을 지불해야 합니다. ![\[두 엔드포인트 유형이 모두 포함된 Amazon S3 요청 라우팅.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/images/s3-private-dns-default.png) **인바운드 Resolver 엔드포인트 전용 프라이빗 DNS** 인바운드 Resolver 엔드포인트에 대해서만 프라이빗 DNS를 구성하는 경우, 온프레미스 네트워크의 요청은 인터페이스 엔드포인트를 사용하여 Amazon S3에 액세스하고, VPC의 요청은 게이트웨이 엔드포인트를 사용하여 Amazon S3에 액세스합니다. 따라서 게이트웨이 엔드포인트를 사용할 수 없는 트래픽에 대해서만 인터페이스 엔드포인트를 사용하기 위해 비용을 지불하므로 비용을 최적화할 수 있습니다. 이를 구성하려면 게이트웨이 엔드포인트의 DNS 레코드 IP 유형이 인터페이스 엔드포인트와 일치하거나 이어야 합니다`service-defined`. AWS PrivateLink 다른 조합을 지원하지 않습니다. 자세한 내용은 [DNS 레코드 IP 유형](gateway-endpoints.md#gateway-endpoint-dns-record-ip-type) 단원을 참조하십시오. ![\[프라이빗 DNS 및 인바운드 Resolver 엔드포인트를 사용한 Amazon S3 요청 라우팅.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/images/s3-private-dns-inbound-endpoint.png) **프라이빗 DNS 설정** Amazon S3용 인터페이스 엔드포인트를 생성할 때 또는 생성한 후에 Amazon S3용 인터페이스 엔드포인트에 대한 프라이빗 DNS를 구성할 수 있습니다. 자세한 내용은 [VPC 엔드포인트 생성](create-interface-endpoint.md#create-interface-endpoint-aws)(생성 중 구성) 또는 [프라이빗 DNS 이름 활성화](interface-endpoints.md#enable-private-dns-names)(생성 후 구성)을 참조하세요. ## 게이트웨이 엔드포인트 생성 다음 절차에 따라 Amazon S3에 연결하는 게이트웨이 엔드포인트를 생성합니다. **콘솔을 사용하여 게이트웨이 엔드포인트 생성하기** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. **엔드포인트 생성**을 선택합니다. 1. **서비스 범주(Service category)**에서 **AWS 서비스**를 선택합니다. 1. **서비스에** **유형 = 게이트웨이** 필터를 추가합니다. Amazon S3 데이터가 범용 버킷에 저장되어 있는 경우 **com.amazonaws.***region*.**s3**를 선택합니다. Amazon S3 데이터가 디렉터리 버킷에 저장되어 있는 경우 **com.amazonaws.***region***.s3express**를 선택합니다. 1. **VPC**에서 엔드포인트를 생성할 VPC를 선택합니다. 1. **IP 주소 유형**에서 다음 옵션 중에서 선택합니다. + **IPv4** - 엔드포인트 네트워크 인터페이스에 IPv4 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 주소 범위가 있으며 서비스가 IPv4 요청을 수락하는 경우에만 지원됩니다. + **IPv6** - 엔드포인트 네트워크 인터페이스에 IPv6 주소를 할당합니다. 이 옵션은 선택한 모든 서브넷이 IPv6 전용 서브넷이며 서비스가 IPv6 요청을 수락하는 경우에만 지원됩니다. + **듀얼 스택** - 엔드포인트 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있으며 서비스가 IPv4 및 IPv6 요청을 모두 수락하는 경우에만 지원됩니다. 1. **라우팅 테이블(Route tables)**에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. 서버로 전송되는 트래픽을 가리키는 라우팅이 엔드포인트 네트워크 인터페이스에 자동으로 추가됩니다. 1. **정책(Policy)**에서 **모든 액세스(Full access)**를 선택하여 VPC 엔드포인트를 통한 모든 리소스에 대한 모든 보안 주체의 모든 작업을 허용합니다. 또는 **사용자 지정(Custom)**을 선택하여 VPC 엔드포인트를 통해 리소스에 대한 작업을 수행하기 위해 보안 주체에 필요한 권한을 제어하는 VPC 엔드포인트 정책을 연결합니다. 1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다. 1. **엔드포인트 생성**을 선택합니다. **명령줄을 사용하여 게이트웨이 엔드포인트 생성하기** + [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html)(AWS CLI) + [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Windows PowerShell용 도구) ## 버킷 정책을 사용한 액세스 제어 버킷 정책을 사용하여 특정 엔드포인트, VPCs, IP 주소 범위 및에서 버킷에 대한 액세스를 제어할 수 있습니다 AWS 계정. 이러한 예에서는 해당 사용 사례에 필요한 액세스 권한을 허용하는 정책 명령문도 있다고 가정합니다. **Example 예: 특정 엔드포인트에 대한 액세스 제한** [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 조건 키를 사용하여 특정 엔드포인트에 대한 액세스를 제한하는 버킷 정책을 생성할 수 있습니다. 다음 정책은 지정된 게이트웨이 엔드포인트가 사용되지 않는 한 지정된 작업을 사용하여 지정된 버킷에 대한 액세스를 거부합니다. 이 정책은 AWS Management Console을 통해 지정된 작업을 사용하여 지정된 버킷에 대한 액세스를 차단한다는 점에 유의하세요. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-VPCE", "Effect": "Deny", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": ["arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*"], "Condition": { "StringNotEquals": { "aws:sourceVpce": "vpce-1a2b3c4d" } } } ] } ``` **Example 예: 특정 VPC에 대한 액세스 제한** [aws:sourceVpc](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) 조건 키를 사용하여 특정 VPC에 대한 액세스를 제한하는 버킷 정책을 생성할 수 있습니다. 이 정적은 같은 VPC에 여러 엔드포인트가 구성되어 있는 경우 유용합니다. 다음 정책은 요청이 지정된 VPC에서 시작되지 않는 한 지정된 작업을 사용하여 지정된 버킷에 대한 액세스를 거부합니다. 이 정책은 AWS Management Console을 통해 지정된 작업을 사용하여 지정된 버킷에 대한 액세스를 차단한다는 점에 유의하세요. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-VPC", "Effect": "Deny", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": ["arn:aws:s3:::example_bucket", "arn:aws:s3:::example_bucket/*"], "Condition": { "StringNotEquals": { "aws:sourceVpc": "vpc-111bbb22" } } } ] } ``` **Example 예: 특정 IP 주소 범위에 대한 액세스 제한** [aws:VpcSourceIp](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-vpcsourceip) 조건 키를 사용하여 특정 IP 주소 범위에 대한 액세스를 제한하는 버킷 정책을 생성할 수 있습니다. 다음 정책은 지정된 IP 주소에서 시작되지 않는 한 지정된 작업을 사용하여 지정된 버킷에 대한 액세스를 거부합니다. 이 정책은 AWS Management Console을 통해 지정된 작업을 사용하여 지정된 버킷에 대한 액세스를 차단한다는 점에 유의하세요. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-VPC-CIDR", "Effect": "Deny", "Principal": "*", "Action": ["s3:PutObject", "s3:GetObject", "s3:DeleteObject"], "Resource": ["arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*"], "Condition": { "NotIpAddress": { "aws:VpcSourceIp": "172.31.0.0/16" } } } ] } ``` **Example 예: 특정의 버킷에 대한 액세스 제한 AWS 계정** `s3:ResourceAccount` 조건을 사용하여 특정 AWS 계정 의 S3 버킷에 대한 액세스를 제한하는 정책을 생성할 수 있습니다. 다음 정책은 지정된 AWS 계정에서 소유하지 않는 한 지정된 작업을 사용한 S3 버킷에 대한 액세스를 거부합니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-to-bucket-in-specific-account", "Effect": "Deny", "Principal": "*", "Action": ["s3:GetObject", "s3:PutObject", "s3:DeleteObject"], "Resource": "arn:aws:s3:::*", "Condition": { "StringNotEquals": { "s3:ResourceAccount": "111122223333" } } } ] } ``` ## 라우팅 테이블 연결 게이트웨이 엔드포인트와 연결된 라우팅 테이블을 변경할 수 있습니다. 라우팅 테이블을 연결하면 서비스로 전송되는 트래픽을 가리키는 라우팅이 엔드포인트 네트워크 인터페이스에 자동으로 추가됩니다. 라우팅 테이블의 연결을 해제하면 라우팅 테이블에서 엔드포인트 라우팅이 자동으로 제거됩니다. **콘솔을 사용하여 라우팅 테이블 연결하기** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. 게이트웨이 엔드포인트를 선택합니다. 1. **작업(Actions)**, **라우팅 테이블 관리(Manage route tables)**를 차례로 선택합니다. 1. 필요에 따라 라우팅 테이블을 선택하거나 선택 취소합니다. 1. **라우팅 테이블 수정(Modify route tables)**을 선택합니다. **명령줄을 사용하여 라우팅 테이블 연결하기** + [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html)(AWS CLI) + [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Windows PowerShell용 도구) ## VPC 엔드포인트 정책 편집 게이트웨이 엔드포인트에 대한 엔드포인트 정책을 편집하여 VPC에서 엔드포인트를 통해 Amazon S3에 대한 액세스를 제어할 수 있습니다. 엔드포인트 정책을 업데이트할 경우 변경 사항이 적용되기까지 몇 분 정도 걸릴 수 있습니다. 기본 정책에서는 모든 액세스를 허용합니다. 자세한 내용은 [엔드포인트 정책](vpc-endpoints-access.md) 단원을 참조하십시오. **콘솔을 사용하여 엔드포인트 정책 변경** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. 게이트웨이 엔드포인트를 선택합니다. 1. **작업(Actions)**, **정책 관리(Manage policy)**를 선택합니다. 1. **모든 액세스(Full Access)**를 선택하여 서비스에 대한 전체 액세스를 허용하거나 **사용자 지정(Custom)**을 선택하고 사용자 지정 정책을 연결합니다. 1. **저장**을 선택합니다. 다음은 Amazon S3에 액세스하기 위한 엔드포인트 정책의 예입니다. **Example 예: 특정 버킷에 대한 액세스 제한** 특정 S3 버킷에 대해서만 액세스를 제한하는 정책을 생성할 수 있습니다. 이는 VPC AWS 서비스 에 S3 버킷을 사용하는 다른이 있는 경우에 유용합니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-bucket", "Effect": "Allow", "Principal": "*", "Action": [ "s3:ListBucket", "s3:GetObject", "s3:PutObject" ], "Resource": [ "arn:aws:s3:::bucket_name", "arn:aws:s3:::bucket_name/*" ] } ] } ``` **Example 예: 특정 IAM 역할에 대한 액세스 제한** 특정 IAM 역할에 대한 액세스를 제한하는 정책을 생성할 수 있습니다. `aws:PrincipalArn`을 사용하여 보안 주체에 액세스 권한을 부여해야 합니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-to-specific-IAM-role", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name" } } } ] } ``` **Example 예: 특정 계정의 사용자에 대한 액세스 제한** 특정 계정에 대한 액세스를 제한하는 정책을 생성할 수 있습니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-callers-from-specific-account", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "111122223333" } } } ] } ``` ## 게이트웨이 엔드포인트 삭제 게이트웨이 엔드포인트 사용을 마치면 엔드포인트를 삭제할 수 있습니다. 게이트웨이 엔드포인트를 삭제하면 서브넷 라우팅 테이블에서 엔드포인트 라우팅이 제거됩니다. 프라이빗 DNS가 활성화되어 있으면 게이트웨이 엔드포인트를 삭제할 수 없습니다. **콘솔을 사용하여 게이트웨이 엔드포인트 삭제** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. 게이트웨이 엔드포인트를 선택합니다. 1. **작업(Actions)**, **VPC 엔드포인트 삭제(Delete VPC endpoints)**를 차례로 선택합니다. 1. 확인 메시지가 표시되면 **delete**를 입력합니다. 1. **삭제**를 선택합니다. **명령줄을 사용하여 게이트웨이 엔드포인트 삭제하기** + [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html)(AWS CLI) + [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Windows PowerShell용 도구) # Amazon DynamoDB에 대한 게이트웨이 엔드포인트 DynamoDB에 대한 엔드포인트 VPC에서 게이트웨이 VPC 엔드포인트를 사용하여 Amazon DynamoDB에 액세스할 수 있습니다. 게이트웨이 엔드포인트를 생성한 후 VPC에서 DynamoDB로 전송되는 트래픽에 대해 해당 엔드포인트를 라우팅 테이블의 대상으로 추가할 수 있습니다. 게이트웨이 엔드포인트 사용에 따르는 추가 요금은 없습니다. DynamoDB는 게이트웨이 엔드포인트와 인터페이스 엔드포인트를 모두 지원합니다. 게이트웨이 엔드포인트를 사용하면 VPC 인터넷 게이트웨이 또는 NAT 디바이스를 사용하지 않고 추가 비용 없이 VPC에서 DynamoDB에 액세스할 수 있습니다. 그러나 게이트웨이 엔드포인트는 온프레미스 네트워크, 다른 AWS 리전의 피어링된 VPCs 또는 전송 게이트웨이를 통한 액세스를 허용하지 않습니다. 이러한 시나리오에서는 추가 비용을 지불한 후 사용할 수 있는 인터페이스 엔드포인트를 사용해야 합니다. 자세한 내용은 *Amazon DynamoDB 개발자 가이드*의 [DynamoDB용 VPC 엔드포인트 유형](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-ddb)을 참조하세요. **Topics** + [ ## 고려 사항 ](#gateway-endpoint-considerations-ddb) + [ ## 게이트웨이 엔드포인트 생성 ](#create-gateway-endpoint-ddb) + [ ## IAM 정책을 사용하여 액세스 제어 ](#iam-policies-ddb) + [ ## 라우팅 테이블 연결 ](#associate-route-tables-ddb) + [ ## VPC 엔드포인트 정책 편집 ](#edit-vpc-endpoint-policy-ddb) + [ ## 게이트웨이 엔드포인트 삭제 ](#delete-gateway-endpoint-ddb) ## 고려 사항 + 게이트웨이 엔드포인트는 해당 엔드포인트를 생성한 리전에서만 사용할 수 있습니다. DynamoDB 테이블과 동일한 리전에서 게이트웨이 엔드포인트를 생성해야 합니다. + Amazon DNS 서버를 사용 중인 경우 VPC에 대해 [DNS 호스트 이름 및 DNS 확인](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)을 모두 활성화해야 합니다. 또한 자체 DNS 서버를 사용하는 경우 DynamoDB에 대한 요청이 AWS에서 유지 관리하는 IP 주소로 올바르게 확인되어야 합니다. + 게이트웨이 엔드포인트를 통해 DynamoDB에 액세스하는 인스턴스의 보안 그룹에 대한 규칙은 DynamoDB에서 이동하는 트래픽을 허용해야 합니다. 보안 그룹 규칙에서 DynamoDB [접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)의 ID를 참조할 수 있습니다. + 게이트웨이 엔드포인트를 통해 DynamoDB에 액세스하는 인스턴스의 서브넷에 대한 네트워크 ACL은 DynamoDB에서 이동하는 트래픽을 허용해야 합니다. 네트워크 ACL 규칙의 접두사 목록은 참조할 수 없지만 DynamoDB의 [접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)에서 DynamoDB의 IP 주소 범위를 가져올 수 있습니다. + AWS CloudTrail 를 사용하여 DynamoDB 작업을 로깅하는 경우 로그 파일에는 서비스 소비자 VPC에 있는 EC2 인스턴스의 프라이빗 IP 주소와 엔드포인트를 통해 수행된 모든 요청에 대한 게이트웨이 엔드포인트의 ID가 포함됩니다. + 게이트웨이 엔드포인트는 IPv4 트래픽만 지원합니다. + 해당 서브넷에 있는 인스턴스의 원본 IPv4 주소는 퍼블릭 IPv4 주소에서 VPC의 프라이빗 IPv4 주소로 변경됩니다. 엔드포인트는 네트워크 라우팅을 스위칭하고 열린 TCP 연결을 끊습니다. 퍼블릭 IPv4 주소를 사용한 이전 연결은 다시 시작되지 않습니다. 따라서 게이트웨이 엔드포인트를 생성하거나 수정할 때는 중요한 작업을 실행하지 않는 것이 좋습니다. 또는 연결이 끊어질 경우 소프트웨어에서 DynamoDB에 자동으로 다시 연결할 수 있는지 테스트하세요. + 엔드포인트 연결은 VPC 외부로 확장할 수 없습니다. VPN 연결, VPC 피어링 연결, 전송 게이트웨이 또는 VPC 연결의 반대쪽 Direct Connect 에 있는 리소스는 게이트웨이 엔드포인트를 사용하여 DynamoDB와 통신할 수 없습니다. + 계정의 기본 할당량은 리전당 게이트웨이 엔드포인트 20개이며 조정 가능합니다. 또한 VPC당 게이트웨이 엔드포인트는 255개로 제한됩니다. ## 게이트웨이 엔드포인트 생성 다음 절차에 따라 DynamoDB에 연결하는 게이트웨이 엔드포인트를 생성합니다. **콘솔을 사용하여 게이트웨이 엔드포인트 생성하기** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. **엔드포인트 생성**을 선택합니다. 1. **서비스 범주(Service category)**에서 **AWS 서비스**를 선택합니다. 1. **서비스**에서 **유형 = 게이트웨이** 필터를 추가하고 **com.amazonaws.***region***.dynamodb**를 선택합니다. 1. **VPC**에서 엔드포인트를 생성할 VPC를 선택합니다. 1. **라우팅 테이블(Route tables)**에서 엔드포인트에서 사용할 라우팅 테이블을 선택합니다. 서버로 전송되는 트래픽을 가리키는 라우팅이 엔드포인트 네트워크 인터페이스에 자동으로 추가됩니다. 1. **정책(Policy)**에서 **모든 액세스(Full access)**를 선택하여 VPC 엔드포인트를 통한 모든 리소스에 대한 모든 보안 주체의 모든 작업을 허용합니다. 또는 **사용자 지정(Custom)**을 선택하여 VPC 엔드포인트를 통해 리소스에 대한 작업을 수행하기 위해 보안 주체에 필요한 권한을 제어하는 VPC 엔드포인트 정책을 연결합니다. 1. (선택 사항) 태그를 추가하려면 **새 태그 추가**를 선택하고 태그 키와 태그 값을 입력합니다. 1. **엔드포인트 생성**을 선택합니다. **명령줄을 사용하여 게이트웨이 엔드포인트 생성하기** + [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html)(AWS CLI) + [New-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2VpcEndpoint.html)(Windows PowerShell용 도구) ## IAM 정책을 사용하여 액세스 제어 특정 VPC 엔드포인트를 사용하여 DynamoDB 테이블에 액세스할 수 있는 IAM 보안 주체를 제어하는 IAM 정책을 생성할 수 있습니다. **Example 예: 특정 엔드포인트에 대한 액세스 제한** [aws:sourceVpce](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpce) 조건 키를 사용하여 특정 VPC 엔드포인트에 대한 액세스를 제한하는 정책을 생성할 수 있습니다. 다음 정책은 지정된 VPC 엔드포인트를 사용하지 않는 경우 계정의 DynamoDB 테이블에 대한 액세스를 거부합니다. 이 예제에서는 해당 사용 사례에 필요한 액세스를 허용하는 정책 문도 있다고 가정합니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-endpoint", "Effect": "Deny", "Principal": "*", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-east-1:111111111111:table/*", "Condition": { "StringNotEquals" : { "aws:sourceVpce": "vpce-11aa22bb" } } } ] } ``` **Example 예: 특정 IAM 역할의 액세스 허용** 특정 IAM 역할을 사용한 액세스를 허용하는 정책을 생성할 수 있습니다. 다음 정책은 지정된 IAM 역할에 액세스 권한을 부여합니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-from-specific-IAM-role", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "ArnEquals": { "aws:PrincipalArn": "arn:aws:iam::111122223333:role/role_name" } } } ] } ``` **Example 예: 특정 계정의 액세스 허용** 특정 계정의 액세스만 허용하는 정책을 생성할 수 있습니다. 다음 정책은 지정된 계정의 사용자에 액세스 권한을 부여합니다. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Allow-access-from-account", "Effect": "Allow", "Principal": "*", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "111122223333" } } } ] } ``` ## 라우팅 테이블 연결 게이트웨이 엔드포인트와 연결된 라우팅 테이블을 변경할 수 있습니다. 라우팅 테이블을 연결하면 서비스로 전송되는 트래픽을 가리키는 라우팅이 엔드포인트 네트워크 인터페이스에 자동으로 추가됩니다. 라우팅 테이블의 연결을 해제하면 라우팅 테이블에서 엔드포인트 라우팅이 자동으로 제거됩니다. **콘솔을 사용하여 라우팅 테이블 연결하기** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. 게이트웨이 엔드포인트를 선택합니다. 1. **작업(Actions)**, **라우팅 테이블 관리(Manage route tables)**를 차례로 선택합니다. 1. 필요에 따라 라우팅 테이블을 선택하거나 선택 취소합니다. 1. **라우팅 테이블 수정(Modify route tables)**을 선택합니다. **명령줄을 사용하여 라우팅 테이블 연결하기** + [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html)(AWS CLI) + [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Windows PowerShell용 도구) ## VPC 엔드포인트 정책 편집 게이트웨이 엔드포인트에 대한 엔드포인트 정책을 편집하여 VPC에서 엔드포인트를 통해 DynamoDB에 대한 액세스를 제어할 수 있습니다. 엔드포인트 정책을 업데이트할 경우 변경 사항이 적용되기까지 몇 분 정도 걸릴 수 있습니다. 기본 정책에서는 모든 액세스를 허용합니다. 자세한 내용은 [엔드포인트 정책](vpc-endpoints-access.md) 단원을 참조하십시오. **콘솔을 사용하여 엔드포인트 정책 변경** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. 게이트웨이 엔드포인트를 선택합니다. 1. **작업(Actions)**, **정책 관리(Manage policy)**를 선택합니다. 1. **모든 액세스(Full Access)**를 선택하여 서비스에 대한 전체 액세스를 허용하거나 **사용자 지정(Custom)**을 선택하고 사용자 지정 정책을 연결합니다. 1. **저장**을 선택합니다. **명령줄을 사용하여 게이트웨이 엔드포인트 수정하기** + [modify-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint.html)(AWS CLI) + [Edit-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Edit-EC2VpcEndpoint.html)(Windows PowerShell용 도구) 다음은 DynamoDB에 액세스하기 위한 엔드포인트 정책의 예입니다. **Example 예제: 읽기 전용 액세스 허용** 액세스를 읽기 전용 액세스로 제한하는 정책을 생성할 수 있습니다. 다음 정책은 DynamoDB 테이블을 열거하고 설명할 수 있는 권한을 부여합니다. ``` { "Statement": [ { "Sid": "ReadOnlyAccess", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTables" ], "Resource": "*" } ] } ``` **Example 예: 특정 테이블에 대한 액세스 제한** 특정 DynamoDB 테이블에 대한 액세스를 제한하는 정책을 생성할 수 있습니다. 다음 정책은 지정된 DynamoDB 테이블에 대한 액세스를 허용합니다. ``` { "Statement": [ { "Sid": "Allow-access-to-specific-table", "Effect": "Allow", "Principal": "*", "Action": [ "dynamodb:Batch*", "dynamodb:Delete*", "dynamodb:DescribeTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:Update*" ], "Resource": "arn:aws:dynamodb:region:123456789012:table/table_name" } ] } ``` ## 게이트웨이 엔드포인트 삭제 게이트웨이 엔드포인트 사용을 마치면 엔드포인트를 삭제할 수 있습니다. 게이트웨이 엔드포인트를 삭제하면 서브넷 라우팅 테이블에서 엔드포인트 라우팅이 제거됩니다. **콘솔을 사용하여 게이트웨이 엔드포인트 삭제** 1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다. 1. 탐색 창에서 **엔드포인트**를 선택합니다. 1. 게이트웨이 엔드포인트를 선택합니다. 1. **작업(Actions)**, **VPC 엔드포인트 삭제(Delete VPC endpoints)**를 차례로 선택합니다. 1. 확인 메시지가 표시되면 **delete**를 입력합니다. 1. **삭제**를 선택합니다. **명령줄을 사용하여 게이트웨이 엔드포인트 삭제하기** + [delete-vpc-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-vpc-endpoints.html)(AWS CLI) + [Remove-EC2VpcEndpoint](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2VpcEndpoint.html)(Windows PowerShell용 도구)