Network ACL
- 서브넷의 트래픽 정책을 제어하는 설정
- 우선순위를 적용할 수 있으며 값 100 단위로 정책을 넣는 것을 권고
- Stateless이므로 Inbound 정책과 Outbound 정책이 모두 열려야 트래픽이 허용
- Custom ACL은 기본 Deny로 설정 (Default ACL은 기본 Allow)
- Ephemral Port를 위해 별도로 열어주는 것이 좋음(NAT Gateway의 경우, 1024 ~ 65535 포트를 사용)
- 같은 포트에 대하여 다른 값의 규칙을 걸면 우선순위가 높은 규칙이 먼저 적용
- 하나의 ACL 정책을 여러 서브넷에 적용 가능하지만, 서브넷은 하나의 ACL만 적용 가능
Direct Connect
- 온프레미스와 AWS를 연결해주는 네트워크 전용선 서비스
- Direct Connect Location(DX)을 통해 연결
- AWS Region <--- Direct Connect Location ---> Customer
VPC Endpoint
- NAT Gateway, Internet Gateway, VPN Connection 등의 서비스 없이 다른 AWS 서비스와의 연결을 가능케하는 서비스
- Interface Endpoints: 가상의 Network Interface(Private IP)를 생성하여 트래픽이 지나갈 End Point를 제공
- Gateway Endpoints: VPC Gateway를 이용하여 다른 AWS 서비스로 연결(오직 S3와 Dynamo DB만이 사용 가능)
VPC Flow Logs
- VPC 내 Network Interface에 지나다니는 IP Traffic에 대한 정보를 캡처하는 서비스 (WireShark 같은)
- 다른 계정의 VPC에 Peering된 VPC는 Flow Logs 활성화가 불가능
- Flow Logs에 태그 불가능
다음 트래픽은 기록되지 않음
- 인스턴스가 생성될 때 DNS와 연결되면서 생성되는 트래픽
- Window License 인증을 위해 생성된 트래픽
- 인스턴스 메타데이터를 위한 169.254.169.254로의 트래픽
- DHCP 트래픽
Bastion Host
- 내부 인스턴스에 접속하기 위한 외부 인터넷이 연결된 서브넷의 인스턴스
