[AWS] STS 엔드포인트

베하

비티시 보이즈 입니다!

 

오늘은 AWS에서 STS VPC Endpoint에 대해 알아보겠습니다!

 

AWS STS란?

 

AWS Security Token Service(AWS STS)

• AWS STS는 임시 보안 자격증명이라고도 불립니다.
• 임시 보안 자격 증명은 몇 분에서 몇 시간까지 지속되도록 구성할 수 있습니다.
• 활성화된 임시 보안 자격 증명을 이용하여 AWS API 요청으로 AWS 리소스에 액세스 할 수 있습니다.
• 임시 보안 자격 증명으로 아이덴티티 페더레이션을 이용하여 사용자는 AccessKey 없이 안전하게 AWS를 이용 할 수있도록 구성 할 수있습니다.
• STS를 사용하여 웹 SSO를 구현할 수 있습니다. STS가 제공하는 AssumeRoleWithWebIdentity API를 사용하여 외부 신뢰자에게 인증을 위임하고, 해당 인증을 사용하여 AWS 리소스에 액세스 할 수 있습니다.

AWS VPC Endpoint란?

AWS VPC Endpoint

• VPC와 AWS 서비스 사이의 통신을 비공개로 연결할 수 있도록 해주는 서비스
• Public IP 주소를 필요하지 않게 하며 VPC와 기타 서비스간의 트래픽은 AWS 네트워크를 벗어나지 않게 할 수 있습니다.
• 관리형 서비스 S3, DynamoDB, EKS Controlplane 등은 사용자의 VPC외부에 있는 네트워크에 존재하기 때문에 통신하기 위해 외부로 트래픽이 나가게 되는것을 Endpoint를 이용하면 AWS 내부에서 통신하게 되어 더 안전하게 서비스들을 이용할 수 있게 됩니다.
• 엔드포인트의 유형에는 Interface와 Gateway 유형이 있습니다.
• Endpoint에 보안그룹 적용이 가능하여 VPC내에서 Endpoint가 필요한 서비스들의 접근을 더 세밀하게 관리 할 수 있습니다.

AWS STS  VPC Endpoint란?

AWS STS Endpoint

• VPC Endpoint에서 서비스 유형이 STS인 Endpoint입니다.
• STS Endpoint가 VPC에 존재하면 임시 보안 자격 증명을 외부 트래픽 없이 생성 할 수 있게 됩니다.
• STS Endpoint를 이용하여 여러 AWS 계정 간에 보안 자격 증명을 공유하고 교환할 수 있습니다. 여러 계정을 관리하는 조직에서 효율적인 자원 공유와 관리를 가능하게 합니다.

VPC Endpoint에는 STS 유형 외에도 S3, Loadbalancer, AutoScaling, RDS, Elasticache 등 다야항 서비스유형으로 만들어 사용 할 수 있으며 보안이 민감한 서비스를 운영 중이라면 외부로 트래픽이 나가지 않게 Endpoint를 이용하여 더 안전하게 서비스를 운영할 수 있습니다!