# VPC BPA 기본 사항
이 섹션에서는 VPC BPA를 지원하는 서비스와 이를 사용하는 방법을 포함하여 VPC BPA에 대한 중요한 세부 정보를 다룹니다.
**Topics**
+ [리전별 가용성](#security-vpc-bpa-reg-avail)
+ [AWS 서비스 영향 및 지원](#security-vpc-bpa-service-support)
+ [VPC BPA 제한 사항](#security-vpc-bpa-limits)
+ [IAM 정책을 사용하여 VPC BPA에 대한 액세스 제어](#security-vpc-bpa-iam-example)
+ [계정에 대해 VPC BPA 양방향 모드 활성화](#security-vpc-bpa-enable-bidir)
+ [VPC BPA 모드를 수신 전용으로 변경](#security-vpc-bpa-ingress-only)
+ [제외 항목 생성 및 삭제](#security-vpc-bpa-exclusions)
+ [조직 수준에서 VPC BPA 활성화](#security-vpc-bpa-exclusions-orgs)
## 리전별 가용성
VPC BPA는 GovCloud 및 중국 리전을 포함한 모든 상용 [AWS 리전](https://aws.amazon.com//about-aws/global-infrastructure/regions_az/)에서 사용할 수 있습니다.
이 설명서에서는 VPC BPA와 함께 Network Access Analyzer 및 Reachability Analyzer를 사용하는 방법에 대한 정보도 확인할 수 있습니다. Network Access Analyzer 및 Reachability Analyzer는 일부 상용 리전에서 사용할 수 없습니다. Network Access Analyzer 및 Reachability Analyzer의 리전별 가용성에 대한 자세한 내용은 *Network Access Analyzer 설명서*의 [제한 사항](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/how-network-access-analyzer-works.html#analyzer-limitations) 및 *Reachability Analyzer 설명서*의 [고려 사항](https://docs.aws.amazon.com/vpc/latest/reachability/how-reachability-analyzer-works.html#considerations)을 참조하세요.
## AWS 서비스 영향 및 지원
다음 리소스 및 서비스는 VPC BPA를 지원하며 이러한 서비스 및 리소스로의 트래픽은 VPC BPA의 영향을 받습니다.
+ **인터넷 게이트웨이**: 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다.
+ **송신 전용 인터넷 게이트웨이**: 모든 아웃바운드 트래픽이 차단됩니다. 송신 전용 인터넷 게이트웨이는 인바운드 트래픽을 허용하지 않습니다.
+ **Gateway Load Balancer(GWLB)**: GWLB 엔드포인트가 포함된 서브넷이 제외된 경우 외에는 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다.
+ **NAT 게이트웨이**: 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다. NAT 게이트웨이에는 인터넷 연결을 위한 인터넷 게이트웨이가 필요합니다.
+ **인터넷 연결 Network Load Balancer**: 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다. 인터넷 연결 Network Load Balancer에는 인터넷 연결을 위한 인터넷 게이트웨이가 필요합니다.
+ **인터넷 연결 Application Load Balancer**: 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다. 인터넷 연결 Application Load Balancer에는 인터넷 연결을 위한 인터넷 게이트웨이가 필요합니다.
+ **Amazon CloudFront VPC 오리진**: 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다.
+ **Direct Connect**: 퍼블릭 가상 인터페이스(퍼블릭 IPv4 또는 글로벌 유니캐스트 IPv6 주소)를 사용하는 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다. 이 트래픽은 연결에 인터넷 게이트웨이(또는 송신 전용 인터넷 게이트웨이)를 사용합니다.
+ **AWS Global Accelerator**: 인터넷에서 대상에 액세스할 수 있는지 여부에 관계없이 VPC에 대한 인바운드 트래픽이 차단됩니다.
+ **AWS Network Firewall**: 방화벽 엔드포인트가 포함된 서브넷이 제외되더라도 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다.
+ **AWS Wavelength 통신 사업자 게이트웨이**: 모든 인바운드 및 아웃바운드 트래픽이 차단됩니다.
다음 서비스 및 리소스에 대한 트래픽과 같은 프라이빗 연결과 관련된 트래픽은 VPC BPA에 의해 차단되거나 영향을 받지 않습니다.
+ AWS Client VPN
+ AWS CloudWAN
+ AWS Outposts 로컬 게이트웨이
+ AWS Site-to-Site VPN
+ Transit Gateway
+ AWS Verified Access
**중요**
서브넷의 EC2 인스턴스에서 실행되는 어플라이언스(예: 타사 보안 또는 모니터링 도구)를 통해 수신 및 발신 트래픽을 라우팅하는 경우 VPC BPA를 사용할 때 이 서브넷은 트래픽의 흐름에서 제외되어야 합니다. 인터넷 게이트웨이가 아닌 어플라이언스 서브넷으로 트래픽을 보내는 다른 서브넷은 제외 대상으로 추가할 필요가 없습니다.
VPC의 리소스로부터 VPC에서 실행되는 다른 서비스(예: Route 53 Resolver 또는 )로 비공개로 전송되는 트래픽은 VPC의 인터넷 게이트웨이를 통과하지 않으므로 BPA가 켜져 있더라도 허용됩니다. 이러한 서비스는 사용자를 대신하여 VPC 외부의 리소스에 요청을 할 수 있으며(예: DNS 쿼리를 해결하기 위한 요청), 다른 보안 제어 수단을 통해 완화하지 않는 경우 VPC 내의 리소스 활동에 대한 정보를 노출할 수 있습니다.
인터넷 경계 로드 밸런서가 있고 서브넷 중 하나에 대해서만 VPC BPA 제외를 생성하는 경우에도 로드 밸런서는 제외된 서브넷에서 퍼블릭 트래픽을 수신하고 제외되지 않은 서브넷의 대상에 비공개적으로 라우팅할 수 있습니다. VPC BPA가 대상에 대한 퍼블릭 액세스를 완전히 차단하도록 하려면 어떤 로드 밸런서 서브넷도 제외되지 않도록 해야 합니다.
## VPC BPA 제한 사항
VPC BPA 수신 전용 모드는 NAT 게이트웨이 및 송신 전용 인터넷 게이트웨이가 허용되지 않는 로컬 영역(LZ)에서는 지원되지 않습니다.
## IAM 정책을 사용하여 VPC BPA에 대한 액세스 제어
VPC BPA 기능에 대한 액세스를 허용/거부하는 IAM 정책의 예는 [VPC 및 서브넷에 대한 퍼블릭 액세스 차단](vpc-policy-examples.md#vpc-bpa-example-iam) 섹션을 참조하세요.
## 계정에 대해 VPC BPA 양방향 모드 활성화
VPC BPA 양방향 모드는 이 리전의 인터넷 게이트웨이 및 송신 전용 인터넷 게이트웨이(제외된 VPC 및 서브넷 제외)를 오가는 모든 트래픽을 차단합니다. 제외 항목에 관한 자세한 내용은 [제외 항목 생성 및 삭제](#security-vpc-bpa-exclusions) 섹션을 참조하세요.
**중요**
프로덕션 계정에서 VPC BPA를 활성화하기 전에 인터넷 액세스가 필요한 워크로드를 철저히 검토하는 것이 좋습니다.
**참고**
계정의 VPC 및 서브넷에서 VPC BPA를 활성화하려면 VPC 및 서브넷을 소유해야 합니다.
현재 다른 계정과 VPC 서브넷을 공유하는 경우 서브넷 소유자가 적용한 VPC BPA 모드가 참가자 트래픽에도 적용되지만 참가자는 공유 서브넷에 영향을 미치는 VPC BPA 설정을 제어할 수 없습니다.
------
#### [ AWS Management Console ]
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **퍼블릭 액세스 설정 편집**을 선택합니다.
1. **퍼블릭 액세스 차단 켜기** 및 **양방향**을 선택한 다음 **변경 사항 저장**을 선택합니다.
1. **상태**가 **켜기**로 변경될 때까지 기다립니다. VPC BPA 설정이 적용되고 상태가 업데이트되는 데 몇 분 정도 걸릴 수 있습니다.
이제 VPC BPA 양방향 모드가 켜져 있습니다.
------
#### [ AWS CLI ]
1. VPC BPA 켜기:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-bidirectional
```
VPC BPA 설정이 적용되고 상태가 업데이트되는 데 몇 분 정도 걸릴 수 있습니다.
1. VPC BPA 상태 보기:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## VPC BPA 모드를 수신 전용으로 변경
VPC BPA 수신 전용 모드는 이 리전의 VPC에 대한 모든 인터넷 트래픽(제외된 VPC 또는 서브넷 제외)을 차단합니다. NAT 게이트웨이 및 송신 전용 인터넷 게이트웨이를 오가는 트래픽만 허용되는데, 이러한 게이트웨이는 아웃바운드 연결만 설정되도록 허용하기 때문입니다.
------
#### [ AWS Management Console ]
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **퍼블릭 액세스 설정 편집**을 선택합니다.
1. 방향을 **수신 전용**으로 변경합니다.
1. 변경 사항을 저장하고 상태가 업데이트될 때까지 기다립니다. VPC BPA 설정이 적용되고 상태가 업데이트되는 데 몇 분 정도 걸릴 수 있습니다.
------
#### [ AWS CLI ]
1. VPC BPA 차단 방향 수정:
```
aws ec2 --region us-east-2 modify-vpc-block-public-access-options --internet-gateway-block-mode block-ingress
```
VPC BPA 설정이 적용되고 상태가 업데이트되는 데 몇 분 정도 걸릴 수 있습니다.
1. VPC BPA 상태 보기:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-options
```
------
## 제외 항목 생성 및 삭제
VPC BPA 제외 항목은 계정의 VPC BPA 모드에서는 제외하고 양방향 또는 송신 전용 액세스를 허용하는 단일 VPC 또는 서브넷에 적용할 수 있는 모드입니다. 계정에서 VPC BPA가 활성화되지 않은 경우에도 VPC 및 서브넷에 대한 VPC BPA 제외 항목을 생성하여 VPC BPA가 켜져 있을 때 제외 항목에 대한 트래픽 중단이 없도록 할 수 있습니다. VPC에 대한 제외는 VPC의 모든 서브넷에 자동으로 적용됩니다.
최대 50개의 제외 항목을 생성할 수 있습니다. 한도 증가 요청에 대한 자세한 내용은 [Amazon VPC 할당량](amazon-vpc-limits.md)의 *계정별 VPC BPA 제외 항목*을 참조하세요.
------
#### [ AWS Management Console ]
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **퍼블릭 액세스 차단** 탭의 **제외** 항목 아래에서 다음 중 하나를 수행합니다.
+ 제외를 삭제하려면 제외를 선택한 다음 **작업** > **제외 삭제**를 선택합니다.
+ 제외를 생성하려면 **제외 생성**을 선택하고 다음 단계를 계속합니다.
1. 차단 방향을 선택합니다.
+ **양방향**: 제외된 VPC 및 서브넷을 오가는 모든 인터넷 트래픽을 허용합니다.
+ **송신 전용**: 제외된 VPC 및 서브넷의 아웃바운드 인터넷 트래픽을 허용합니다. 제외된 VPC 및 서브넷으로의 인바운드 인터넷 트래픽을 차단합니다. 이 설정은 VPC BPA가 **양방향**으로 설정된 경우에 적용됩니다.
1. VPC 또는 서브넷을 선택합니다.
1. **제외 항목 생성**을 선택합니다.
1. **제외 상태**가 **활성**으로 변경될 때까지 기다립니다. 변경 사항을 보려면 제외 항목 테이블을 새로 고쳐야 할 수 있습니다.
제외 항목이 생성되었습니다.
------
#### [ AWS CLI ]
1. 제외 항목 허용 방향 수정:
```
aws ec2 --region us-east-2 create-vpc-block-public-access-exclusion --subnet-id subnet-id --internet-gateway-exclusion-mode allow-bidirectional
```
1. 제외 상태가 업데이트되는 데 시간이 걸릴 수 있습니다. 제외 항목의 상태를 보려면:
```
aws ec2 --region us-east-2 describe-vpc-block-public-access-exclusions --exclusion-ids exclusion-id
```
------
## 조직 수준에서 VPC BPA 활성화
AWS Organizations를 사용하여 조직의 계정을 관리하는 경우 [AWS Organizations 선언적 정책](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative.html)을 사용하여 조직의 계정에 VPC BPA를 적용할 수 있습니다. VPC BPA 선언적 정책에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [지원되는 선언적 정책](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_declarative_syntax.html#declarative-policy-vpc-block-public-access)을 참조하세요.
**참고**
VPC BPA 선언적 정책을 사용하여 제외 허용 여부를 구성할 수 있지만 정책으로 제외를 생성할 수는 없습니다. 제외를 생성하려면 VPC를 소유한 계정에서 해당 제외를 생성해야 합니다. VPC BPA 제외에 대한 자세한 내용은 [제외 항목 생성 및 삭제](#security-vpc-bpa-exclusions) 섹션을 참조하세요.
VPC BPA 선언적 정책이 활성화된 경우 **퍼블릭 액세스 차단** 설정에서 **선언적 정책으로 관리됨**이 표시되며 계정 수준에서는 VPC BPA 설정을 수정할 수 없습니다.