클라이언트 VPN 사용자에게 AWS 리소스에 대한 액세스 권한을 제공하려면 어떻게 해야 합니까?

3분 분량
0

AWS Client VPN 사용자가 최종 디바이스에서 AWS 리소스로 보안 연결을 설정하려고 합니다. 어떻게 해야 하나요?

해결 방법

특정 리소스에 대한 VPN 액세스를 구성하기 전에 다음을 고려하십시오.

  • 클라이언트 VPN 엔드포인트가 서브넷에 연결되면 연결된 서브넷에 탄력적 네트워크 인터페이스가 생성됩니다. 이러한 네트워크 인터페이스는 서브넷의 CIDR로부터 IP 주소를 수신합니다.
  • 클라이언트 VPN 연결이 설정되면 가상 터널 어댑터(VTAP)가 최종 디바이스에 생성됩니다. 가상 어댑터는 클라이언트 VPN 엔드포인트의 클라이언트 IPv4 CIDR로부터 IP 주소를 수신합니다.
  • 서브넷을 클라이언트 VPN 엔드포인트와 연결하면 해당 서브넷에 클라이언트 VPN 네트워크 인터페이스가 생성됩니다. 클라이언트 VPN 엔드포인트에서 VPC로 전송되는 트래픽은 클라이언트 VPN 네트워크 인터페이스를 통해 전송됩니다. 그런 다음 SNAT(Source Network Address Translation)가 적용되어 클라이언트 CIDR 범위의 소스 IP 주소가 클라이언트 VPN 네트워크 인터페이스 IP 주소로 변환됩니다.

클라이언트 VPN 최종 사용자에게 특정 AWS 리소스에 대한 액세스 권한을 부여하려면:

  • 클라이언트 VPN 엔드포인트의 연결된 서브넷과 대상 리소스의 네트워크 간의 라우팅을 구성합니다. 대상 리소스가 엔드포인트와 연결된 동일한 Virtual Private Cloud(VPC)에 있는 경우 경로를 추가할 필요가 없습니다. 이 경우 VPC의 로컬 라우팅이 트래픽을 전달하는 데 사용됩니다. 대상 리소스가 엔드포인트와 연결된 동일한 VPC에 있지 않은 경우 클라이언트 VPN 엔드포인트의 연결된 서브넷 라우팅 테이블에 해당 경로를 추가합니다.
  • 클라이언트 VPN 엔드포인트의 연결된 서브넷을 통한 인바운드 및 아웃바운드 트래픽을 허용하도록 대상 리소스의 보안 그룹을 구성합니다. 또는 대상 리소스의 보안 그룹 규칙에서 엔드포인트에 연결된 보안 그룹을 참조하여 엔드포인트에 적용된 보안 그룹을 사용합니다.
  • 클라이언트 VPN 엔드포인트의 연결된 서브넷을 통한 인바운드 및 아웃바운드 트래픽을 허용하도록 대상 리소스의 네트워크 액세스 제어 목록(네트워크 ACL)을 구성합니다.
  • 클라이언트 VPN 엔드포인트의 권한 부여 규칙에서 대상 리소스에 대한 최종 사용자 액세스를 허용합니다. 자세한 내용은 권한 부여 규칙을 참조하세요.
  • Client VPN 라우팅 테이블에 대상 리소스의 네트워크 범위에 대한 경로가 있는지 확인합니다. 자세한 내용은 라우팅 및 대상 네트워크를 참조하세요.
  • Client VPN 엔드포인트의 연결된 보안 그룹에서 대상 리소스에 대한 아웃바운드 액세스를 허용합니다.

참고: 클라이언트 VPN 엔드포인트와 연결된 서브넷이 두 개 이상 있는 경우, 각 클라이언트 VPN 서브넷 CIDR에서 다음에 대한 액세스를 허용해야 합니다.

  • 대상 리소스의 보안 그룹
  • 대상 리소스의 네트워크 ACL

사용자가 액세스 중인 리소스 유형에 따라 연결을 설정하는 데 필요한 라우팅, 보안 그룹 규칙 및 권한 부여 규칙을 생성합니다. 사용 사례에 따라 다음 단계를 수행합니다.


관련 정보

AWS Client VPN의 작동 방식

AWS 공식
AWS 공식업데이트됨 일 년 전
댓글 없음

관련 콘텐츠