기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Client VPN 권한 부여 규칙
권한 부여 규칙은 네트워크에 대한 액세스 권한을 부여하는 방화벽의 역할을 합니다. 권한 부여 규칙을 추가하여 특정 클라이언트에게 지정된 네트워크에 대한 액세스 권한을 부여합니다. 액세스 권한을 부여할 각 네트워크마다 권한 부여 규칙이 있어야 합니다. 콘솔과 AWS CLI를 사용하여 Client VPN 엔드포인트에 권한 부여 규칙을 추가할 수 있습니다.
**참고**
Client VPN에서는 권한 부여 규칙을 평가할 때 가장 긴 접두사 일치를 사용합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 문제 해결 주제 [문제 해결 AWS Client VPN: Active Directory 그룹에 대한 권한 부여 규칙이 예상대로 작동하지 않음](ad-group-auth-rules.md) 및 [경로 우선 순위](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)를 참조하십시오.
## 권한 부여 규칙을 이해하기 위한 중요 사항
다음은 권한 부여 규칙의 몇 가지 동작에 대한 설명입니다.
+ 대상 네트워크에 대한 액세스를 허용하려면 권한 부여 규칙을 명시적으로 추가해야 합니다. 기본 동작은 액세스를 거부하는 것입니다.
+ 대상 네트워크에 대한 액세스를 *제한*하는 권한 부여 규칙은 추가할 수 없습니다.
+ `0.0.0.0/0` CIDR은 특수한 경우로 처리됩니다. 이것은 권한 부여 규칙이 생성된 순서에 관계없이 마지막으로 처리됩니다.
+ `0.0.0.0/0` CIDR은 '모든 대상' 또는 '다른 권한 부여 규칙에 의해 정의되지 않은 대상'으로 생각할 수 있습니다.
+ 가장 긴 접두사 일치가 우선적으로 적용되는 규칙입니다.
**Topics**
+ [중요 사항](#key-points-summary)
+ [예제 시나리오](#auth-rule-example-scenarios)
+ [권한 부여 규칙 추가](cvpn-working-rule-authorize-add.md)
+ [권한 부여 규칙 제거](cvpn-working-rule-remove.md)
+ [권한 부여 규칙 보기](cvpn-working-rule-view.md)
## Client VPN 권한 부여 규칙에 대한 예제 시나리오
이 섹션에서는 권한 부여 규칙의 작동 방식을 설명합니다 AWS Client VPN. 여기에는 권한 부여 규칙을 이해하기 위한 중요 사항, 예제 아키텍처 및 예제 아키텍처에 매핑되는 예제 시나리오에 대한 설명이 포함됩니다.
**시나리오**
+ [권한 부여 규칙 시나리오의 아키텍처 예](#example-arch-auth-rules)
+ [단일 대상에 대한 액세스](#auth-rules1)
+ [대상(0.0.0.0/0) CIDR 사용](#auth-rules2)
+ [더 긴 IP 접두사 일치](#auth-rules3)
+ [겹치는 CIDR(동일한 그룹)](#auth-rules4)
+ [추가 0.0.0.0/0 규칙](#auth-rules5)
+ [192.168.0.0/24에 대한 규칙 추가](#auth-rules6)
+ [SAML 연동 인증](#auth-rules7)
+ [모든 사용자 그룹의 액세스](#auth-rules8)
### 권한 부여 규칙 시나리오의 아키텍처 예
다음 다이어그램은 이 섹션에 있는 예제 시나리오에 사용되는 아키텍처의 예를 보여줍니다.
![\[Client VPN 아키텍처 예\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### 단일 대상에 대한 액세스
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | S-xxxxx16 | False | 192.168.0.0/24 |
**결과적 동작**
+ 엔지니어링 그룹은 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ 개발 그룹은 `10.0.0.0/16`에만 액세스할 수 있습니다.
+ 관리자 그룹은 `192.168.0.0/24`에만 액세스할 수 있습니다.
+ 다른 모든 트래픽은 Client VPN 엔드포인트에 의해 삭제됩니다.
**참고**
이 시나리오에서는 어떤 사용자 그룹도 퍼블릭 인터넷에 액세스할 수 없습니다.
### 대상(0.0.0.0/0) CIDR 사용
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
**결과적 동작**
+ 엔지니어링 그룹은 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ 개발 그룹은 `10.0.0.0/16`에만 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷 *및* `192.168.0.0/24`에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0/16`에는 액세스할 수 없습니다.
**참고**
이 시나리오에서는 `192.168.0.0/24`를 참조하는 규칙이 없기 때문에 해당 네트워크에 대한 액세스도 `0.0.0.0/0` 규칙에 의해 제공됩니다.
`0.0.0.0/0`을 포함하는 규칙은 규칙이 생성된 순서에 관계없이 항상 마지막으로 평가됩니다. 이 때문에 `0.0.0.0/0` 이전에 평가된 규칙은 `0.0.0.0/0`이 액세스 권한을 부여하는 네트워크를 결정하는 역할을 합니다.
### 더 긴 IP 접두사 일치
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
**결과적 동작**
+ 엔지니어링 그룹은 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 개발 VPC 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 개발 VPC의 나머지 호스트에는 액세스할 수 없습니다.
**참고**
여기서는 긴 IP 접두사를 가진 규칙이 더 짧은 IP 접두사를 가진 규칙보다 우선적으로 적용되는 방식을 볼 수 있습니다. 개발 그룹이 `10.0.2.119/32`에 액세스할 수 있도록 하려면 개발 팀에 `10.0.2.119/32`에 대한 액세스 권한을 부여하는 규칙을 추가해야 합니다.
### 겹치는 CIDR(동일한 그룹)
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크 내 소규모 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 보다 구체적인 서브넷 `172.16.0.128/25`를 포함하여 `172.16.0.0/24`에 액세스할 수 있습니다.
### 추가 0.0.0.0/0 규칙
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크 내 소규모 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
| 엔지니어링 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx14 | False | 0.0.0.0/0 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 보다 구체적인 서브넷 `172.16.0.128/25`를 포함하여 퍼블릭 인터넷, `192.168.0.0/24` 및 `172.16.0.0/24`에 액세스할 수 있습니다.
**참고**
이제 엔지니어링 그룹과 관리자 그룹 모두 `192.168.0.0/24`에 액세스할 수 있습니다. 두 그룹 모두 `0.0.0.0/0`(모든 대상)에 액세스할 수 있는 *동시에* `192.168.0.0/24`를 참조하는 다른 규칙이 없기 때문입니다.
### 192.168.0.0/24에 대한 규칙 추가
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크의 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
| 엔지니어링 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx14 | False | 0.0.0.0/0 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | S-xxxxx16 | False | 192.168.0.0/24 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 퍼블릭 인터넷, `172.16.0.0/24` 및 `172.16.0.128/25`에 액세스할 수 있습니다.
**참고**
관리자 그룹이 `192.168.0.0/24`에 액세스하도록 규칙을 추가하면 개발 그룹이 해당 대상 네트워크에 더 이상 액세스할 수 없게 됩니다.
### SAML 연동 인증
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | 엔지니어링 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | 개발자 | False | 10.0.0.0/16 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | 관리자 | False | 192.168.0.0/24 |
**결과적 동작**
+ ‘엔지니어링’ 그룹 속성으로 SAML을 통해 인증된 사용자는 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ ‘개발자’ 그룹 속성으로 SAML을 통해 인증된 사용자는 `10.0.0.0/16`에만 액세스할 수 있습니다.
+ ‘관리자’ 그룹 속성으로 SAML을 통해 인증된 사용자는 `192.168.0.0/24`에만 액세스할 수 있습니다.
+ 다른 모든 트래픽은 Client VPN 엔드포인트에 의해 삭제됩니다.
**참고**
SAML 연동 인증을 사용하는 경우 그룹 ID 필드는 사용자의 그룹 멤버십을 식별하는 SAML 속성 값에 해당합니다. 이 속성은 SAML ID 공급자에서 구성되며 인증 중에 Client VPN으로 전달됩니다.
### 모든 사용자 그룹의 액세스
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크의 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
| 엔지니어링 그룹에 모든 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 0.0.0.0/0 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | S-xxxxx16 | False | 192.168.0.0/24 |
| 모든 그룹에 액세스 제공 | 해당 사항 없음 | True | 0.0.0.0/0 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 퍼블릭 인터넷, `172.16.0.0/24` 및 `172.16.0.128/25`에 액세스할 수 있습니다.
+ 다른 모든 사용자 그룹(예: '관리자 그룹')은 퍼블릭 인터넷에 액세스할 수 있지만 다른 규칙에 정의된 다른 대상 네트워크에는 액세스할 수 없습니다.
# AWS Client VPN 엔드포인트에 권한 부여 규칙 추가
AWS Management Console을 사용하여 Client VPN 엔드포인트에 대한 액세스 권한을 부여하거나 제한하는 권한 부여 규칙을 추가할 수 있습니다. 권한 부여 규칙은 Amazon VPC 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Client VPN 엔드포인트에 추가할 수 있습니다.
**를 사용하여 Client VPN 엔드포인트에 권한 부여 규칙을 추가하려면 AWS Management Console**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 권한 부여 규칙을 추가할 Client VPN 엔드포인트를 선택하고 **권한 부여 규칙(Authorization rules)**, **권한 부여 규칙 추가(Add authorization rule)**를 차례로 선택합니다.
1. **액세스를 활성화할 대상 네트워크(Destination network to enable access)**에서 사용자가 액세스하려는 네트워크의 IP 주소(예: VPC의 CIDR 블록)를 CIDR 표기법으로 입력합니다.
1. 지정된 네트워크에 액세스하도록 허용되는 클라이언트를 지정합니다. **For grant access to(액세스 권한 부여)**에서 다음 중 하나를 수행합니다.
+ 모든 클라이언트에게 액세스 권한을 부여하려면 **Allow access to all users(모든 사용자에게 액세스 허용)**를 선택합니다.
+ 특정 클라이언트에 대한 액세스를 제한하려면 **특정 액세스 그룹의 사용자에게 액세스 허용**을 선택한 다음 **액세스 그룹 ID**에 액세스 권한을 부여할 그룹의 ID를 입력합니다. 예를 들어, Active Directory 그룹의 보안 식별자(SID) 또는 SAML 기반 자격 증명 공급자(IdP)에 정의된 그룹의 ID/이름입니다.
+ (Active Directory) SID를 가져오려면 Microsoft Powershell [Get-ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet를 사용합니다. 예를 들면 다음과 같습니다.
```
Get-ADGroup -Filter 'Name -eq ""'
```
또는 Active Directory 사용자 및 컴퓨터 도구를 열고 그룹의 속성을 보고 속성 편집기 탭으로 이동한 다음 `objectSID`에 대한 값을 가져옵니다. 필요한 경우 먼저 **뷰**, **고급 기능**을 선택하여 속성 편집기 탭을 활성화합니다.
+ (SAML 기반 연동 인증) 그룹 ID/이름은 SAML 어설션에 반환된 그룹 속성 정보와 일치해야 합니다.
1. **설명**에 권한 부여 규칙에 대한 간략한 설명을 입력합니다.
1. **Add authorization rule(권한 부여 규칙 추가)**을 선택합니다.
**Client VPN 엔드포인트에 권한 부여 규칙을 추가하려면(AWS CLI)**
[authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트에서 권한 부여 규칙 제거
콘솔 및 AWS CLI를 사용하여 특정 Client VPN 엔드포인트의 권한 부여 규칙을 제거할 수 있습니다.
**권한 부여 규칙을 제거하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 권한 부여 규칙이 추가된 Client VPN 엔드포인트를 선택하고 **권한 부여 규칙**을 선택합니다.
1. 삭제할 권한 부여 규칙을 선택한 다음 **권한 부여 규칙 제거**를 선택한 다음, 다시 **권한 부여 규칙 제거**를 선택하여 삭제를 확인합니다.
**권한 부여 규칙을 제거하려면(AWS CLI)**
[revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html) 명령을 사용합니다.
# AWS Client VPN 권한 부여 규칙 보기
콘솔 및 를 사용하여 특정 Client VPN 엔드포인트의 권한 부여 규칙을 볼 수 있습니다AWS CLI
**권한 부여 규칙을 보는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 권한 부여 규칙을 볼 Client VPN 엔드포인트를 선택하고 **권한 부여 규칙(Authorization rules)**을 선택합니다.
**권한 부여 규칙을 보려면(AWS CLI)**
[describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html) 명령을 사용합니다.