AWS S3는 뛰어난 확장성과 내구성을 가진 스토리지 서비스이다. 하지만 S3에 접근하는 방식은 어떤 환경에서, 어떤 목적으로 접근하냐에 따라 방법이 다를 수 있다.
| 구분 | Presigned URL | Dorect Connect (퍼블릭 VIF 사용) | VPC Gateway Endpoint |
|---|---|---|---|
| 접근 주체 | 외부 클라이언트 | 온프레미스 | AWS VPC 내부 리소스 (EC2 등) |
| 목적 | 외부 클라이언트가 업로드, 다운로드 시 백엔드 서버 부하 감소 및 직접 통신 위해 사용 | 온프레미스 환경에서 전용선을 통해 AWS 퍼블릭 서비스에 접속할 때 사용 | VPC내 AWS 리소스가 동일 리전의 S3에 접속할 때 사용 |
Presigned URL : 클라이언트와 S3의 다이렉트 통신
출처 : https://www.alter-solutions.com/articles/file-upload-amazon-s3-url
Presigned URL은 외부 클라이언트가 백엔드 서버를 거치지 않고 S3 버킷에 파일을 직접 업로드하거나 다운로드할 수 있도록 임시적인 권한을 부여하는 방법이다.
- 클라이언트가 백엔드 서버에 파일 업로드, 다운로드 요청
- 백엔드 서버는 IAM 자격 증명을 사용해 특정 S3 객체에 대한 유효기간이 설정된 URL을 생성하고 클라이언트에게 전달
- 클라이언트는 생성된 Presigned URL을 사용해 S3에 직접 요청
클라이언트와 S3는 인터넷을 통해 통신하지만 애플리케이션 서버를 거치지 않는다.
Direct Connect Public VIF : 온프레미스에서 S3로
Direct Connect(DX)는 고객의 온프레미스 데이터 센터와 AWS 네트워크 간에 물리적 전용 연결을 제공하는 서비스이다. 이 중 Public VIF를 사용하면 S3와 같은 AWS 퍼블릭 서비스로 향하는 트래픽을 일반 인터넷이 아닌 전용선을 통해 라우팅할 수 있다.
- DX는 고객의 데이터 센터와 AWS 네트워크 간에 물리적 전용 연결 제공
- 이 연결 위에 Public VIF를 생성하면, S3와 같은 AWS 퍼블릭 서비스로 향하는 트래픽이 일반 인터넷이 아닌 전용선 연결을 통해 라우팅됨
이렇게 되면 온프레미스에서 S3로 접근하는 모든 트래픽이 인터넷을 우회한다.
VPC Gateway Endpoint : VPC 내부망 통신
VPC Gateway Endpoint는 VPC 내의 EC2 인스턴스 등이 외부 인터넷 게이트웨이나 NAT 게이트웨이를 거치지 않고 S3와 같은 AWS 서비스에 안전하게 접근하도록 하는 기능이다.
- VPC 내에 게이트웨이 역할을 하는 엔드포인트 생성
- VPC 라우팅 테이블에 S3의 공용 IP 대역으로 가는 트래픽을 이 엔드포인트로 향하도록 설정
- 이를 통해 EC2에서 S3로 가는 트래픽은 AWS의 프라이빗 네트워크에 머무르게 됨
이렇게 되면 트래픽이 VPC 내부와 AWS 네트워크를 벗어나지 않기에 보안이 뛰어나고, NAT 게이트웨이를 통한 데이터 처리 비용이 발생하지 않는다.
즉, AWS 내부에서 S3로 통신할 때 인터넷 경유를 차단하고 AWS 내부 백본 네트워크를 이용하게 된다.
공부 기록 공간 '◡'