AWS VPC 엔드포인트로 S3와 Session Manager 연결

 

 

 

 

Session Manager

 

AWS에서는 더 이상 key를 활용한 ssh 접근보다는 session manager를 통한 접근이 권장된다.

특히 Session Manager 접근을 통해 작업한 내용이 모두 기록에 남기 때문에 관리에도 효과적이다.

 

 

 

 

 

Session Manager 사용 조건

 

1. 인스턴스는 시스템 메니저 에이전트 설치가 필요

2. 시스템 매니저를 사용할 수 있는 역할이 필요

3, 시스템 메니저와 인터넷 연결성

 

위의 두가지 조건이 맞더라도 Private subnet의 존재하는 EC2 인스턴스는 VPC 외부로 접근할 수 없다.

online이 아니라는 경고가 뜬다.

 

 

하지만 private subnet을 인터넷과 연결시킬 수는 없는 노릇이다.

이럴 때 사용하는 것이 AWS의 리전에 존재하는 서비스로 접근할 수 있게 해주는 VPC 엔드 포인트이다.

 

아래와 같이 SSM과 S3를 위하 VPC endpoint를 만들어 보자.

 

 

 

 

SSM VPC Endpoint GateWay 생성

 

 

S3와 DynamoDB는 VPC enpoint Gateway를 사용하지만, 이외의 서비스들은 VPC enpoint interface를 사용한다.

interface는 위의 그림처럼 VPC에 게이트웨이가 생성되는 것이 아니라 특정 subnet에 ENI를 생성해 주기 때문에, 마치 같은 서브넷에 있는 서비스처럼 접근이 된다.

 

 

 

 

SSM 인터페이스를 선택한다.

 

 

 

VPC에서 생성할 Private subnet을 선택준다.

 

 

 

 

여기서 사용할 보안 그룹은 VPC 내부 네트워크에서 HTTPS를 허용하는 보안 그룹이다. 

 

 

이대로 생성해 주자.

 

 

 

 

 

활성화될 때까지 잠시 기다리면 private subnet의 instance에서도 세션 매니저로의 접속이 가능해졌다. 

 

단, 인터페이스보단 게이트웨이 엔드포인트가 저렴하다.

인터페이스는 안 써도 ENI가 활성화되기 때문에 유지비가 나가고 트래픽 비용도 나오지만,

게이트웨이 유형은 트래픽 비용만 나간다.

 

 

 

 

S3 VPC Enpoint Gateway 생성 

 

s3는 Enpoint Gateway로 생성해 주자.

 

 

 

게이트웨이 버전은 VPC만 선택하고, 경로로 연결할 라우팅 테이블을 선택하게 된다.

 

 

 

 

이제 EC2에 접근해서 s3에 접근해 보면 정상 접근이 가능해졌다.

 

 

 

 

 

 

 

또한 게이트웨이 엔드포인트를 사용하면, 특정 버킷만 사용하도록 액세스를 제한시킬 수 있다.

 

엔트포인트에서 정책 편집을 선택하자.

 

 

 

 

 

이러면 deny 한 s3 버킷으로의 접근을 불가능 해진다.