게이트웨이 Amazon Virtual Private Cloud(VPC) 엔드포인트의 연결 문제를 해결하고 싶습니다.
간략한 설명
게이트웨이 VPC 엔드포인트를 사용해 Amazon VPC에서 Amazon Simple Storage Service(S3)와 Amazon DynamoDB로 비공개 연결할 수 있습니다. 게이트웨이 VPC 엔드포인트 연결 문제는 연결을 허용하는 네트워크 액세스나 보안 규칙 때문일 수 있습니다.
연결 문제를 해결하려면 Reachability Analyzer를 사용합니다. 또 다음 구성을 확인합니다.
Amazon S3와 DynamoDB와 연결하는 원본과 연결된 보안 그룹을 확인합니다. 사용 가능한 아웃바운드 규칙이 Amazon S3나 DynamoDB로 트래픽을 허용하는지 확인합니다. 보안 그룹에 기본 아웃바운드 규칙보다 더 제한적인 규칙이 있는 경우 다음 경우 중 하나인지 확인하세요.
게이트웨이 Amazon VPC 엔드포인트와 연결된 접두사 목록의 ID로 트래픽을 허용하는 아웃바운드 규칙이 있습니다.
대상에 서비스별 CIDR 블록(IP 주소 범위)이 있습니다. 서비스별 CIDR 블록이 없으면 서비스별 CIDR 블록을 추가할 수 없습니다. AWS에서 접두사 목록 IP 주소 범위를 관리하기 때문에 서비스에서 제공하는 접두사 목록 ID를 사용하는 것이 좋습니다.
특정 리전의 Amazon S3와 DynamoDB용 공용 IP CIDR을 보려면 AWS CLI 명령 describe-prefix-list를 실행하세요. example-Region을 내 리전으로 바꾸세요.
참고: 네트워크 ACL은 기본적으로 인바운드 및 아웃바운드 IPv4 및 IPv6 트래픽을 모두 허용합니다. 네트워크 ACL 규칙에 따라 트래픽이 제한되는 경우 게이트웨이 엔드포인트가 생성된 서비스의 CIDR 블록을 지정하세요. 서비스 IP 주소가 변경될 때 알림을 설정하고 스크립트를 사용해 네트워크 ACL 규칙을 자동으로 업데이트하는 것이 좋습니다. 자세한 내용을 보려면 Amazon S3 IP 주소 변경을 확인하는 알림을 받으려면 어떻게 해야 하나요?를 참고하세요.
참고: 버킷 정책은 Amazon VPC 인스턴스와 연결된 특정 공용 IP 주소나 탄력적 IP 주소에서 액세스할 때만 제한할 수 있습니다. 버킷 정책은 인스턴스와 연결된 프라이빗 IP 주소를 기반으로 액세스를 제한할 수 있습니다. 자세한 내용을 보려면 특정 IP 주소 기반 액세스 관리를 참고하세요.
프록시 서버를 사용하는 경우 서버를 통한 Amazon VPC 연결이 허용되는지 확인하세요. Amazon S3용 프록시 서버를 사용하지 않는 경우, 버킷에 액세스할 때 다음 명령을 실행해 프록시 서버를 우회하세요. example-Region을 내 리전으로 바꾸세요.