Site-to-Site VPN 서비스 연결 역할 사용 - AWS Site-to-Site VPN

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Site-to-Site VPN 서비스 연결 역할 사용

AWS Site-to-Site VPN은 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 Site-to-Site VPN에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Site-to-Site VPN에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할을 통해 Site-to-Site VPN을 더 쉽게 설정할 수 있습니다. Site-to-Site VPN에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, Site-to-Site VPN만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 Site-to-Site VPN 리소스가 보호됩니다.

Site-to-Site VPN 서비스 연결 역할 권한

Site-to-Site VPN은 VPN 연결과 관련된 리소스를 생성하고 관리할 수 있도록 AWSServiceRoleForVPCS2SVPN이라는 서비스 연결 역할을 사용합니다.

AWSServiceRoleForVPCS2SVPN 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.

  • s2svpn.amazonaws.com

이 서비스 연결 역할은 관리형 정책 AWSVPCS2SVpnServiceRolePolicy를 사용하여 지정된 리소스에서 다음 작업을 완료합니다.

  • VPN 연결에 인증서 인증을 사용하는 경우 AWS Site-to-Site VPN 는 VPN 터널 엔드포인트에서 사용할 VPN 터널 AWS Certificate Manager 인증서를 내보냅니다.

  • VPN 연결에 인증서 인증을 사용하는 경우는 VPN 터널 AWS Certificate Manager 인증서의 갱신을 AWS Site-to-Site VPN 관리합니다.

  • VPN 연결에 SecretsManager 사전 공유 키 스토리지를 사용하는 경우 AWS Site-to-Site VPN 는 VPN 연결의 AWS Secrets Manager s2svpn 관리형 보안 암호를 관리합니다.

이 정책의 권한을 보려면 AWS 관리형 정책 참조의 AWSVPCS2SVpnServiceRolePolicy를 참조하세요.

Site-to-Site VPN에 대한 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS CLI, 또는 AWS API에서 연결된 ACM 프라이빗 인증서를 사용하여 고객 게이트웨이 AWS Management Console를 생성하면 Site-to-Site VPN이 서비스 연결 역할을 생성합니다.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 연결된 ACM 사설 인증서를 사용하여 고객 게이트웨이를 만들면 Site-to-Site VPN이 자동으로 서비스 연결 역할을 다시 생성합니다.

Site-to-Site VPN에 대한 서비스 연결 역할 편집

Site-to-Site VPN은 AWSServiceRoleForVPCS2SVPN 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 설명 편집을 참조하세요.

Site-to-Site VPN에 대한 서비스 연결 역할 삭제

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

리소스를 삭제하려 할 때 Site-to-Site VPN 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

AWSServiceRoleForVPCS2SVPN에서 사용하는 Site-to-Site VPN 리소스를 삭제하려면

연결된 ACM 사설 인증서가 있는 모든 고객 게이트웨이를 삭제한 후에만 이 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 Site-to-Site VPN 연결에서 사용 중인 ACM 인증서에 액세스할 수 있는 권한을 실수로 제거할 수 없습니다.

IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForVPCS2SVPN 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 삭제를 참조하세요.