기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Client VPN 작업
다음 주제에서는 Client VPN을 사용하는 데 필요한 기본 관리 작업에 대해 설명합니다.
+ **셀프 서비스 포털 액세스** — 클라이언트가 Client VPN 엔드포인트 구성 파일을 직접 다운로드할 수 있도록 Client VPN 셀프 서비스 포털에 대한 액세스를 구성합니다. 셀프 서비스 포털에 액세스하는 방법에 대한 자세한 내용은 [셀프 서비스 포털에 대한 AWS Client VPN 액세스](cvpn-self-service-portal.md) 섹션을 참조하세요.
+ **권한 부여 규칙** — 지정된 네트워크에 대한 클라이언트 액세스를 제어하는 권한 부여 규칙을 추가합니다. 권한 부여 규칙 추가에 대한 자세한 내용은 [AWS Client VPN 권한 부여 규칙](cvpn-working-rules.md) 섹션을 참조하세요.
+ **클라이언트 인증서 해지 목록** — 클라이언트 인증서 해지 목록을 사용하여 Client VPN 엔드포인트에 대한 액세스를 취소합니다. 클라이언트 인증서 해지 목록에 대한 자세한 내용은 [AWS Client VPN 클라이언트 인증서 해지 목록](cvpn-working-certificates.md) 섹션을 참조하세요.
+ **클라이언트 연결** — Client VPN 엔드포인트에 대한 클라이언트 연결을 보거나 종료합니다. 클라이언트 연결을 보거나 종료하는 방법에 대한 자세한 내용은 [AWS Client VPN 클라이언트 연결](cvpn-working-connections.md) 섹션을 참조하세요.
+ **클라이언트 로그인 배너** — VPN 세션이 설정되면 Client VPN 데스크톱 애플리케이션에 텍스트 배너를 추가합니다. 규정 및 규정 준수 요구 사항을 충족하기 위해 텍스트 배너를 사용할 수 있습니다. 로그인 배너에 대한 자세한 내용은 [AWS Client VPN 클라이언트 로그인 배너](cvpn-working-login-banner.md) 섹션을 참조하세요.
+ **클라이언트 경로 강제 적용** - VPN을 통해 연결된 디바이스에 관리자 정의 경로를 적용합니다. 클라이언트 경로 강제 적용에 대한 자세한 내용은 섹션을 참조하세요[AWS Client VPN 클라이언트 라우팅 적용](cvpn-working-cre.md).
+ **Client VPN 엔드포인트** — Client VPN 엔드포인트를 구성하여 모든 VPN 세션을 관리하고 제어합니다. 엔드포인트 구성에 대한 자세한 내용은 [AWS Client VPN 엔드포인트](cvpn-working-endpoints.md) 섹션을 참조하세요.
+ **연결 로그** — 새 Client VPN 엔드포인트 또는 기존 Client VPN 엔드포인트에 연결 로깅을 활성화하고 연결 로그 캡처를 시작할 수 있습니다. 연결 로깅에 대한 자세한 내용은 [AWS Client VPN 연결 로그](cvpn-working-with-connection-logs.md) 섹션을 참조하세요.
+ **클라이언트 구성 파일 내보내기** — 클라이언트 VPN 클라이언트가 VPN 연결을 설정하는 데 필요한 클라이언트 구성 파일을 구성합니다. 파일을 구성한 후 클라이언트에 배포하기 위해 다운로드(내보내기)합니다. 클라이언트 구성 파일 내보내기에 대한 자세한 내용은 [AWS Client VPN 엔드포인트 구성 파일 내보내기](cvpn-working-endpoint-export.md) 섹션을 참조하세요.
+ **라우팅** — 각 Client VPN 라우팅의 권한 부여 규칙을 구성하여 대상 네트워크에 액세스할 수 있는 클라이언트를 지정합니다. 권한 부여 규칙 구성에 대한 자세한 내용은 [AWS Client VPN 권한 부여 규칙](cvpn-working-rules.md) 섹션을 잠조하세요.
+ **대상 네트워크** — 대상 네트워크를 Client VPN 엔드포인트와 연결하여 클라이언트가 대상 네트워크에 연결하고 VPN 연결을 설정할 수 있도록 합니다. 대상 네트워크에 대한 자세한 내용은 [AWS Client VPN 대상 네트워크](cvpn-working-target.md) 섹션을 참조하세요.
+ **최대 VPN 세션 기간** — 보안 및 규정 준수 요구 사항을 충족하기 위해 최대 VPN 세션 기간에 대한 옵션을 설정합니다. 최대 VPN 세션 기간에 대한 자세한 내용은 [AWS Client VPN 최대 VPN 세션 기간 제한 시간](cvpn-working-max-duration.md) 섹션을 참조하세요.
# 셀프 서비스 포털에 대한 AWS Client VPN 액세스
Client VPN 엔드포인트에 대해 셀프 서비스 포털을 활성화한 경우 클라이언트에 셀프 서비스 포털 URL을 제공할 수 있습니다. 클라이언트는 웹 브라우저에서 포털에 액세스하고 사용자 기반 자격 증명을 사용하여 로그인할 수 있습니다. 포털에서 클라이언트는 Client VPN 엔드포인트 구성 파일을 다운로드할 수 있으며 최신 버전의 AWS 제공 클라이언트를 다운로드할 수 있습니다.
다음 규칙이 적용됩니다.
+ 상호 인증을 사용하여 인증하는 클라이언트에는 셀프 서비스 포털을 사용할 수 없습니다.
+ 셀프 서비스 포털에서 사용할 수 있는 구성 파일은 Amazon VPC 콘솔 또는 를 사용하여 내보내는 구성 파일과 동일합니다AWS CLI 구성 파일을 클라이언트에 배포하기 전에 사용자 지정해야 하는 경우 사용자 지정된 파일을 클라이언트에 직접 배포해야 합니다.
+ Client VPN 엔드포인트에 대해 셀프 서비스 포털 옵션을 활성화해야 합니다. 그렇지 않으면 클라이언트가 포털에 액세스할 수 없습니다. 이 옵션을 활성화하지 않은 경우 Client VPN 엔드포인트를 수정하여 활성화할 수 있습니다.
셀프 서비스 포털 옵션을 활성화한 후 클라이언트에 다음 URL 중 하나를 제공합니다.
+ `https://self-service.clientvpn.amazonaws.com/`
클라이언트가 이 URL을 사용하여 포털에 액세스하는 경우 로그인하려면 먼저 Client VPN 엔드포인트의 ID를 입력해야 합니다.
+ `https://self-service.clientvpn.amazonaws.com/endpoints/`
이전 URL의 **를 Client VPN 엔드포인트의 ID로 바꿉니다(예: `cvpn-endpoint-0123456abcd123456`).
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) AWS CLI 명령의 출력에서 셀프 서비스 포털의 URL도 볼 수 있습니다. 또는 Amazon VPC 콘솔의 **클라이언트 VPN 엔드포인트(Client VPN Endpoints)** 페이지에 있는 **세부 정보(Details)** 탭에서 URL을 사용할 수 있습니다.
연동 인증에 사용할 셀프 서비스 포털을 구성하는 방법에 대한 자세한 내용은 [셀프 서비스 포털에 대한 지원](federated-authentication.md#saml-self-service-support) 단원을 참조하십시오
# AWS Client VPN 권한 부여 규칙
권한 부여 규칙은 네트워크에 대한 액세스 권한을 부여하는 방화벽의 역할을 합니다. 권한 부여 규칙을 추가하여 특정 클라이언트에게 지정된 네트워크에 대한 액세스 권한을 부여합니다. 액세스 권한을 부여할 각 네트워크마다 권한 부여 규칙이 있어야 합니다. 콘솔과 AWS CLI를 사용하여 Client VPN 엔드포인트에 권한 부여 규칙을 추가할 수 있습니다.
**참고**
Client VPN에서는 권한 부여 규칙을 평가할 때 가장 긴 접두사 일치를 사용합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 문제 해결 주제 [문제 해결 AWS Client VPN: Active Directory 그룹에 대한 권한 부여 규칙이 예상대로 작동하지 않음](ad-group-auth-rules.md) 및 [경로 우선 순위](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html#route-tables-priority)를 참조하십시오.
## 권한 부여 규칙을 이해하기 위한 중요 사항
다음은 권한 부여 규칙의 몇 가지 동작에 대한 설명입니다.
+ 대상 네트워크에 대한 액세스를 허용하려면 권한 부여 규칙을 명시적으로 추가해야 합니다. 기본 동작은 액세스를 거부하는 것입니다.
+ 대상 네트워크에 대한 액세스를 *제한*하는 권한 부여 규칙은 추가할 수 없습니다.
+ `0.0.0.0/0` CIDR은 특수한 경우로 처리됩니다. 이것은 권한 부여 규칙이 생성된 순서에 관계없이 마지막으로 처리됩니다.
+ `0.0.0.0/0` CIDR은 '모든 대상' 또는 '다른 권한 부여 규칙에 의해 정의되지 않은 대상'으로 생각할 수 있습니다.
+ 가장 긴 접두사 일치가 우선적으로 적용되는 규칙입니다.
**Topics**
+ [중요 사항](#key-points-summary)
+ [예제 시나리오](#auth-rule-example-scenarios)
+ [권한 부여 규칙 추가](cvpn-working-rule-authorize-add.md)
+ [권한 부여 규칙 제거](cvpn-working-rule-remove.md)
+ [권한 부여 규칙 보기](cvpn-working-rule-view.md)
## Client VPN 권한 부여 규칙에 대한 예제 시나리오
이 섹션에서는 권한 부여 규칙의 작동 방식을 설명합니다 AWS Client VPN. 여기에는 권한 부여 규칙을 이해하기 위한 중요 사항, 예제 아키텍처 및 예제 아키텍처에 매핑되는 예제 시나리오에 대한 설명이 포함됩니다.
**시나리오**
+ [권한 부여 규칙 시나리오의 아키텍처 예](#example-arch-auth-rules)
+ [단일 대상에 대한 액세스](#auth-rules1)
+ [대상(0.0.0.0/0) CIDR 사용](#auth-rules2)
+ [더 긴 IP 접두사 일치](#auth-rules3)
+ [겹치는 CIDR(동일한 그룹)](#auth-rules4)
+ [추가 0.0.0.0/0 규칙](#auth-rules5)
+ [192.168.0.0/24에 대한 규칙 추가](#auth-rules6)
+ [SAML 연동 인증](#auth-rules7)
+ [모든 사용자 그룹의 액세스](#auth-rules8)
### 권한 부여 규칙 시나리오의 아키텍처 예
다음 다이어그램은 이 섹션에 있는 예제 시나리오에 사용되는 아키텍처의 예를 보여줍니다.
![\[Client VPN 아키텍처 예\]](http://docs.aws.amazon.com/ko_kr/vpn/latest/clientvpn-admin/images/cvpn-auth-rules.png)
### 단일 대상에 대한 액세스
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | S-xxxxx16 | False | 192.168.0.0/24 |
**결과적 동작**
+ 엔지니어링 그룹은 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ 개발 그룹은 `10.0.0.0/16`에만 액세스할 수 있습니다.
+ 관리자 그룹은 `192.168.0.0/24`에만 액세스할 수 있습니다.
+ 다른 모든 트래픽은 Client VPN 엔드포인트에 의해 삭제됩니다.
**참고**
이 시나리오에서는 어떤 사용자 그룹도 퍼블릭 인터넷에 액세스할 수 없습니다.
### 대상(0.0.0.0/0) CIDR 사용
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
**결과적 동작**
+ 엔지니어링 그룹은 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ 개발 그룹은 `10.0.0.0/16`에만 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷 *및* `192.168.0.0/24`에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0/16`에는 액세스할 수 없습니다.
**참고**
이 시나리오에서는 `192.168.0.0/24`를 참조하는 규칙이 없기 때문에 해당 네트워크에 대한 액세스도 `0.0.0.0/0` 규칙에 의해 제공됩니다.
`0.0.0.0/0`을 포함하는 규칙은 규칙이 생성된 순서에 관계없이 항상 마지막으로 평가됩니다. 이 때문에 `0.0.0.0/0` 이전에 평가된 규칙은 `0.0.0.0/0`이 액세스 권한을 부여하는 네트워크를 결정하는 역할을 합니다.
### 더 긴 IP 접두사 일치
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
**결과적 동작**
+ 엔지니어링 그룹은 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 개발 VPC 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 개발 VPC의 나머지 호스트에는 액세스할 수 없습니다.
**참고**
여기서는 긴 IP 접두사를 가진 규칙이 더 짧은 IP 접두사를 가진 규칙보다 우선적으로 적용되는 방식을 볼 수 있습니다. 개발 그룹이 `10.0.2.119/32`에 액세스할 수 있도록 하려면 개발 팀에 `10.0.2.119/32`에 대한 액세스 권한을 부여하는 규칙을 추가해야 합니다.
### 겹치는 CIDR(동일한 그룹)
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크 내 소규모 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 보다 구체적인 서브넷 `172.16.0.128/25`를 포함하여 `172.16.0.0/24`에 액세스할 수 있습니다.
### 추가 0.0.0.0/0 규칙
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크 내 소규모 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
| 엔지니어링 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx14 | False | 0.0.0.0/0 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 보다 구체적인 서브넷 `172.16.0.128/25`를 포함하여 퍼블릭 인터넷, `192.168.0.0/24` 및 `172.16.0.0/24`에 액세스할 수 있습니다.
**참고**
이제 엔지니어링 그룹과 관리자 그룹 모두 `192.168.0.0/24`에 액세스할 수 있습니다. 두 그룹 모두 `0.0.0.0/0`(모든 대상)에 액세스할 수 있는 *동시에* `192.168.0.0/24`를 참조하는 다른 규칙이 없기 때문입니다.
### 192.168.0.0/24에 대한 규칙 추가
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크의 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
| 엔지니어링 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx14 | False | 0.0.0.0/0 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | S-xxxxx16 | False | 192.168.0.0/24 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 퍼블릭 인터넷, `172.16.0.0/24` 및 `172.16.0.128/25`에 액세스할 수 있습니다.
**참고**
관리자 그룹이 `192.168.0.0/24`에 액세스하도록 규칙을 추가하면 개발 그룹이 해당 대상 네트워크에 더 이상 액세스할 수 없게 됩니다.
### SAML 연동 인증
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | 엔지니어링 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | 개발자 | False | 10.0.0.0/16 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | 관리자 | False | 192.168.0.0/24 |
**결과적 동작**
+ ‘엔지니어링’ 그룹 속성으로 SAML을 통해 인증된 사용자는 `172.16.0.0/24`에만 액세스할 수 있습니다.
+ ‘개발자’ 그룹 속성으로 SAML을 통해 인증된 사용자는 `10.0.0.0/16`에만 액세스할 수 있습니다.
+ ‘관리자’ 그룹 속성으로 SAML을 통해 인증된 사용자는 `192.168.0.0/24`에만 액세스할 수 있습니다.
+ 다른 모든 트래픽은 Client VPN 엔드포인트에 의해 삭제됩니다.
**참고**
SAML 연동 인증을 사용하는 경우 그룹 ID 필드는 사용자의 그룹 멤버십을 식별하는 SAML 속성 값에 해당합니다. 이 속성은 SAML ID 공급자에서 구성되며 인증 중에 Client VPN으로 전달됩니다.
### 모든 사용자 그룹의 액세스
| 규칙 설명 | 그룹 ID | 모든 사용자에게 액세스 허용 | 대상 CIDR |
| --- | --- | --- | --- |
| 엔지니어링 그룹에 온프레미스 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.0/24 |
| 개발 그룹에 개발 VPC에 대한 액세스 제공 | S-xxxxx15 | False | 10.0.0.0/16 |
| 관리자 그룹에 모든 대상에 대한 액세스 제공 | S-xxxxx16 | False | 0.0.0.0/0 |
| 관리자 그룹에 개발 VPC의 단일 호스트에 대한 액세스 제공 | S-xxxxx16 | False | 10.0.2.119/32 |
| 엔지니어링 그룹에 온프레미스 네트워크의 서브넷에 대한 액세스 제공 | S-xxxxx14 | False | 172.16.0.128/25 |
| 엔지니어링 그룹에 모든 네트워크에 대한 액세스 제공 | S-xxxxx14 | False | 0.0.0.0/0 |
| 관리자 그룹에 Client VPN VPC에 대한 액세스 제공 | S-xxxxx16 | False | 192.168.0.0/24 |
| 모든 그룹에 액세스 제공 | 해당 사항 없음 | True | 0.0.0.0/0 |
**결과적 동작**
+ 개발 그룹은 단일 호스트 `10.0.2.119/32`를 *제외하고* `10.0.0.0/16`에 액세스할 수 있습니다.
+ 관리자 그룹은 퍼블릭 인터넷, `192.168.0.0/24` 및 `10.0.0.0/16` 네트워크 내의 단일 호스트(`10.0.2.119/32`)에 액세스할 수 있지만 `172.16.0.0/24` 또는 `10.0.0.0/16` 네트워크의 나머지 호스트에는 액세스할 수 없습니다.
+ 엔지니어링 그룹은 퍼블릭 인터넷, `172.16.0.0/24` 및 `172.16.0.128/25`에 액세스할 수 있습니다.
+ 다른 모든 사용자 그룹(예: '관리자 그룹')은 퍼블릭 인터넷에 액세스할 수 있지만 다른 규칙에 정의된 다른 대상 네트워크에는 액세스할 수 없습니다.
# AWS Client VPN 엔드포인트에 권한 부여 규칙 추가
AWS Management Console을 사용하여 Client VPN 엔드포인트에 대한 액세스 권한을 부여하거나 제한하는 권한 부여 규칙을 추가할 수 있습니다. 권한 부여 규칙은 Amazon VPC 콘솔을 사용하거나 명령줄 또는 API를 사용하여 Client VPN 엔드포인트에 추가할 수 있습니다.
**를 사용하여 Client VPN 엔드포인트에 권한 부여 규칙을 추가하려면 AWS Management Console**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 권한 부여 규칙을 추가할 Client VPN 엔드포인트를 선택하고 **권한 부여 규칙(Authorization rules)**, **권한 부여 규칙 추가(Add authorization rule)**를 차례로 선택합니다.
1. **액세스를 활성화할 대상 네트워크(Destination network to enable access)**에서 사용자가 액세스하려는 네트워크의 IP 주소(예: VPC의 CIDR 블록)를 CIDR 표기법으로 입력합니다.
1. 지정된 네트워크에 액세스하도록 허용되는 클라이언트를 지정합니다. **For grant access to(액세스 권한 부여)**에서 다음 중 하나를 수행합니다.
+ 모든 클라이언트에게 액세스 권한을 부여하려면 **Allow access to all users(모든 사용자에게 액세스 허용)**를 선택합니다.
+ 특정 클라이언트에 대한 액세스를 제한하려면 **특정 액세스 그룹의 사용자에게 액세스 허용**을 선택한 다음 **액세스 그룹 ID**에 액세스 권한을 부여할 그룹의 ID를 입력합니다. 예를 들어, Active Directory 그룹의 보안 식별자(SID) 또는 SAML 기반 자격 증명 공급자(IdP)에 정의된 그룹의 ID/이름입니다.
+ (Active Directory) SID를 가져오려면 Microsoft Powershell [Get-ADGroup](https://learn.microsoft.com/en-us/powershell/module/activedirectory/get-adgroup) cmdlet를 사용합니다. 예를 들면 다음과 같습니다.
```
Get-ADGroup -Filter 'Name -eq ""'
```
또는 Active Directory 사용자 및 컴퓨터 도구를 열고 그룹의 속성을 보고 속성 편집기 탭으로 이동한 다음 `objectSID`에 대한 값을 가져옵니다. 필요한 경우 먼저 **뷰**, **고급 기능**을 선택하여 속성 편집기 탭을 활성화합니다.
+ (SAML 기반 연동 인증) 그룹 ID/이름은 SAML 어설션에 반환된 그룹 속성 정보와 일치해야 합니다.
1. **설명**에 권한 부여 규칙에 대한 간략한 설명을 입력합니다.
1. **Add authorization rule(권한 부여 규칙 추가)**을 선택합니다.
**Client VPN 엔드포인트에 권한 부여 규칙을 추가하려면(AWS CLI)**
[authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트에서 권한 부여 규칙 제거
콘솔 및 AWS CLI를 사용하여 특정 Client VPN 엔드포인트의 권한 부여 규칙을 제거할 수 있습니다.
**권한 부여 규칙을 제거하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 권한 부여 규칙이 추가된 Client VPN 엔드포인트를 선택하고 **권한 부여 규칙**을 선택합니다.
1. 삭제할 권한 부여 규칙을 선택한 다음 **권한 부여 규칙 제거**를 선택한 다음, 다시 **권한 부여 규칙 제거**를 선택하여 삭제를 확인합니다.
**권한 부여 규칙을 제거하려면(AWS CLI)**
[revoke-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/revoke-client-vpn-ingress.html) 명령을 사용합니다.
# AWS Client VPN 권한 부여 규칙 보기
콘솔 및 를 사용하여 특정 Client VPN 엔드포인트의 권한 부여 규칙을 볼 수 있습니다AWS CLI
**권한 부여 규칙을 보는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 권한 부여 규칙을 볼 Client VPN 엔드포인트를 선택하고 **권한 부여 규칙(Authorization rules)**을 선택합니다.
**권한 부여 규칙을 보려면(AWS CLI)**
[describe-client-vpn-authorization-rules](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-authorization-rules.html) 명령을 사용합니다.
# AWS Client VPN 클라이언트 인증서 해지 목록
Client VPN 클라이언트 인증서 해지 목록을 사용하여 특정 클라이언트 인증서의 Client VPN 엔드포인트에 대한 액세스를 취소합니다. 해지 목록을 생성하거나 기존 목록을 가져올 수 있습니다. 현재 목록을 해지 목록 파일로 내보낼 수도 있습니다. 목록 생성은 Linux/macOS 또는 Windows에서 OpenVPN 소프트웨어를 사용하여 수행됩니다. Amazon VPC 콘솔 또는 AWS CLI를 사용하여 가져오기 및 내보내기를 수행할 수 있습니다.
서버와 클라이언트 인증서 및 키 생성에 대한 자세한 내용은 [의 상호 인증 AWS Client VPN](mutual.md) 단원을 참조하십시오.
**참고**
클라이언트 인증서 취소 목록이 만료된 경우 Client VPN 엔드포인트에 연결할 수 없습니다. 새 항목을 생성하여 Client VPN 엔드포인트로 가져와야 합니다.
클라이언트 인증서 해지 목록에는 제한된 수의 항목만 추가할 수 있습니다. 해지 목록에 추가할 수 있는 항목 수에 대한 자세한 내용은 [Client VPN 할당량](limits.md#quotas-endpoints) 섹션을 참조하세요.
**Topics**
+ [클라이언트 인증서 해지 목록 생성](cvpn-working-certificates-generate.md)
+ [클라이언트 인증서 해지 목록 가져오기](cvpn-working-certificates-import.md)
+ [클라이언트 인증서 해지 목록 내보내기](cvpn-working-certificates-export.md)
# AWS Client VPN 클라이언트 인증서 해지 목록 생성
Linux/macOS 또는 Windows 운영 체제에서 Client VPN 인증서 해지 목록을 생성할 수 있습니다. 해지 목록을 사용하여 특정 인증서의 Client VPN 엔드포인트에 대한 액세스를 취소합니다. 클라이언트 인증서 해지 목록에 대한 자세한 내용은 [클라이언트 인증서 해지 목록](cvpn-working-certificates.md) 섹션을 참조하세요.
------
#### [ Linux/macOS ]
다음 절차에서는 OpenVPN easy-rsa 명령줄 유틸리티를 사용하여 클라이언트 인증서 해지 목록을 생성합니다.
**OpenVPN easy-rsa를 사용하여 클라이언트 인증서 해지 목록을 생성하려면**
1. 인증서를 생성하는 데 사용한 easyrsa 설치를 호스팅하는 서버에 로그인합니다.
1. 로컬 리포지토리의 `easy-rsa/easyrsa3` 폴더로 이동합니다.
```
$ cd easy-rsa/easyrsa3
```
1. 클라이언트 인증서를 취소하고 클라이언트 취소 목록을 생성합니다.
```
$ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl
```
메시지가 표시되면 `yes`를 입력합니다.
------
#### [ Windows ]
다음 절차에서는 OpenVPN 소프트웨어를 사용하여 클라이언트 해지 목록을 생성합니다. 클라이언트 및 서버 인증서와 키를 생성하는 데 [OpenVPN 소프트웨어를 사용하기 위한 단계](mutual.md)를 수행했다고 가정합니다.
**EasyRSA 버전 3.x.x를 사용하여 클라이언트 인증서 해지 목록을 생성하려면**
1. 명령 프롬프트를 열고 EasyRSA-3.x.x 디렉토리로 이동합니다. 이 디렉토리는 시스템에 설치된 위치에 따라 다릅니다.
```
C:\> cd c:\Users\windows\EasyRSA-3.x.x
```
1. `EasyRSA-Start.bat` 파일을 실행하여 EasyRSA 쉘을 시작합니다.
```
C:\> .\EasyRSA-Start.bat
```
1. EasyRSA 셸에서 클라이언트 인증서를 해지합니다.
```
# ./easyrsa revoke client_certificate_name
```
1. 메시지가 표시되면 `yes`를 입력합니다.
1. 클라이언트 해지 목록을 생성합니다.
```
# ./easyrsa gen-crl
```
1. 클라이언트 해지 목록은 다음 위치에 생성됩니다.
```
c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
```
**이전 EasyRSA 버전을 사용하여 클라이언트 인증서 해지 목록을 생성하려면**
1. 명령 프롬프트를 열고 OpenVPN 디렉터리로 이동합니다.
```
C:\> cd \Program Files\OpenVPN\easy-rsa
```
1. `vars.bat` 파일을 실행합니다.
```
C:\> vars
```
1. 클라이언트 인증서를 취소하고 클라이언트 취소 목록을 생성합니다.
```
C:\> revoke-full client_certificate_name
C:\> more crl.pem
```
------
# AWS Client VPN 클라이언트 인증서 해지 목록 가져오기
가져올 Client VPN 클라이언트 인증서 해지 목록 파일이 있어야 합니다. 클라이언트 인증서 해지 목록 생성에 대한 자세한 내용은 [AWS Client VPN 클라이언트 인증서 해지 목록 생성](cvpn-working-certificates-generate.md) 단원을 참조하십시오.
콘솔 및 AWS CLI를 사용하여 클라이언트 인증서 해지 목록을 가져올 수 있습니다.
**클라이언트 인증서 해지 목록을 가져오는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 클라이언트 인증서 해지 목록을 가져올 Client VPN 엔드포인트를 선택합니다.
1. **작업**을 선택하고 **Import Client Certificate CRL(클라이언트 인증성 CRL 가져오기)**을 선택합니다.
1. **인증서 해지 목록(Certificate Revocation List)**에 클라이언트 인증서 해지 목록 파일의 내용을 입력하고 **클라이언트 인증서 CRL 가져오기(Import client certificate CRL)**를 선택합니다.
**클라이언트 인증서 해지 목록을 가져오려면(AWS CLI)**
[import-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html) 명령을 사용합니다.
```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```
# AWS Client VPN 클라이언트 인증서 해지 목록 내보내기
콘솔 및 AWS CLI를 사용하여 Client VPN 클라이언트 인증서 해지 목록을 내보낼 수 있습니다.
**클라이언트 인증서 해지 목록을 내보내는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 클라이언트 인증서 해지 목록을 내보낼 Client VPN 엔드포인트를 선택합니다.
1. **작업(Actions)**을 선택하고 **클라이언트 인증서 CRL 내보내기(Export Client Certificate CRL)**, **클라이언트 인증서 CRL 내보내기(Export Client Certificate CRL)**를 차례로 선택합니다.
**클라이언트 인증서 해지 목록을 내보내려면(AWS CLI)**
[export-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html) 명령을 사용합니다.
# AWS Client VPN 클라이언트 연결
AWS Client VPN 연결은 클라이언트가 특정 Client VPN 엔드포인트에 설정한 활성 VPN 세션과 해당 엔드포인트에 대해 지난 60분 이내에 종료된 연결입니다. 클라이언트가 성공적으로 Client VPN 엔드포인트에 연결하면 연결이 설정됩니다. 세션을 종료하면 Client VPN 엔드포인트에 대한 클라이언트 연결이 종료됩니다.
Client VPN 연결을 보고 종료할 수 있습니다. 연결 정보를 보면 클라이언트 CIDR 블록 범위에서 할당된 IP 주소, 엔드포인트 ID 및 타임스탬프와 같은 정보가 반환됩니다. 세션을 종료하면 엔드포인트에 대한 지정된 VPN 연결이 종료됩니다. Amazon VPC 콘솔 또는 AWS CLI를 사용하여 세션을 보고 종료할 수 있습니다. 엔드포인트에 연결할 수 없는 경우 오류에 따라 문제를 해결하기 위해 취해야 할 단계는 [AWS Client VPN 문제 해결](troubleshooting.md) 섹션을 참조하세요.
**Topics**
+ [클라이언트 연결 보기](cvpn-working-connections-view.md)
+ [클라이언트 연결 종료](cvpn-working-connections-disassociate.md)
# AWS Client VPN 클라이언트 연결 보기
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 활성 Client VPN 연결을 볼 수 있습니다.
**Client VPN 클라이언트 연결을 보는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 클라이언트 연결을 볼 Client VPN 엔드포인트를 선택합니다.
1. **연결** 탭을 선택합니다. **연결** 탭에 모든 활성 및 종료된 클라이언트 연결이 나열됩니다.
**Client VPN 클라이언트 연결을 보는 방법(AWS CLI)**
[describe-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-connections.html) 명령을 사용합니다.
# AWS Client VPN 클라이언트 연결 종료
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 Client VPN 클라이언트 연결을 종료할 수 있습니다.
**Client VPN 클라이언트 연결을 종료하는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 클라이언트가 연결된 Client VPN 엔드포인트를 선택하고 **연결**을 선택합니다.
1. 종료할 연결을 선택하고 **연결 종료**를 선택한 다음, **연결 종료**를 다시 선택하여 종료를 확인합니다.
**Client VPN 클라이언트 연결을 종료하는 방법(AWS CLI)**
[terminate-client-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-client-vpn-connections.html) 명령을 사용합니다.
# AWS Client VPN 클라이언트 로그인 배너
AWS Client VPN에서는 VPN 세션이 설정될 때 AWS 제공 Client VPN 데스크톱 애플리케이션에 텍스트 배너를 표시할 수 있는 옵션을 제공합니다. 규정 및 규정 준수 요구 사항을 충족하기 위해 텍스트 배너의 내용을 정의할 수 있습니다. 최대 1,400자의 UTF-8 인코딩 문자를 사용할 수 있습니다.
**참고**
클라이언트 로그인 배너가 활성화되면 새로 생성된 VPN 세션에만 해당 배너가 표시됩니다. 기존 VPN 세션은 중단되지 않지만 배너는 기존 세션이 다시 설정했을 때 표시됩니다.
## 배너 생성
Client VPN 엔드포인트를 생성하는 동안 로그인 배너가 처음에 생성되고 활성화됩니다. Client VPN 엔드포인트 생성 중에 클라이언트 로그인 배너를 활성화하는 자세한 단계는 [AWS Client VPN엔드포인트 생성](cvpn-working-endpoint-create.md) 섹션을 참조하세요.
**Topics**
+ [배너 생성](#configure-login-banner-endpoint-creation)
+ [기존 엔드포인트에 대한 클라이언트 로그인 배너 구성](configure-login-banner-existing-endpoint.md)
+ [엔드포인트에 대한 클라이언트 로그인 배너 비활성화](disable-login-banner.md)
+ [기존 배너 텍스트 수정](modify-banner-text.md)
+ [현재 구성된 로그인 배너 보기](display-login-banner.md)
# 기존 AWS Client VPN 엔드포인트에 대한 클라이언트 로그인 배너 구성
기존 Client VPN 엔드포인트에 대한 클라이언트 로그인 배너를 구성하려면 다음 단계를 사용합니다.
**Client VPN 엔드포인트에서 클라이언트 로그인 배너 활성화(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **Client VPN 엔드포인트 수정(Modify Client VPN Endpoint)**을 선택합니다.
1. 페이지를 아래의 **기타 파라미터(Other parameters)** 섹션으로 스크롤합니다.
1. **클라이언트 로그인 배너 활성화(Enable client login banner)**를 켭니다.
1. **클라이언트 로그인 배너 텍스트**에 VPN 세션이 설정될 때 AWS 제공된 클라이언트의 배너에 표시될 텍스트를 입력합니다. UTF-8로 인코딩된 문자만 사용할 수 있으며 최대 1,400자까지 사용할 수 있습니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**Client VPN 엔드포인트에서 클라이언트 로그인 배너 활성화(AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.
# 기존 AWS Client VPN 엔드포인트에 대한 클라이언트 로그인 배너 비활성화
기존 Client VPN 엔드포인트에 대한 클라이언트 로그인 배너를 비활성화하려면 다음 단계를 사용합니다.
**Client VPN 엔드포인트에서 클라이언트 로그인 배너 비활성화(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정(Modify Client VPN Endpoint)**을 선택합니다.
1. 페이지를 아래의 **기타 파라미터(Other parameters)** 섹션으로 스크롤합니다.
1. **클라이언트 로그인 배너 활성화(Enable client login banner)**를 켜거나 끕니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**Client VPN 엔드포인트에서 클라이언트 로그인 배너 비활성화(AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트의 기존 배너 텍스트 수정
Client VPN 클라이언트 로그인 배너의 기존 텍스트를 수정하려면 다음 단계를 사용합니다.
**Client VPN 엔드포인트의 기존 배너 텍스트 수정(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정(Modify Client VPN Endpoint)**을 선택합니다.
1. **클라이언트 로그인 배너 활성화(Enable client login banner)**가 켜져 있는지 확인합니다.
1. **클라이언트 로그인 배너 텍스트**의 경우 VPN 세션이 설정될 때 AWS 제공된 클라이언트의 배너에 표시할 새 텍스트로 기존 텍스트를 바꿉니다. UTF-8로 인코딩된 문자만 사용할 수 있으며 최대 1,400자까지 허용됩니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**Client VPN 엔드포인트에서 클라이언트 로그인 배너 수정(AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.
# 현재 구성된 AWS Client VPN 로그인 배너 보기
현재 구성된 Client VPN 로그인 배너를 보려면 다음 단계를 사용합니다.
**Client VPN 엔드포인트에 대한 현재 로그인 배너 보기(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 보려는 Client VPN 엔드포인트를 선택합니다.
1. **세부 정보(Details)** 탭이 선택되어 있는지 확인합니다.
1. **클라이언트 로그인 배너 텍스트(Client login banner text)** 옆에 현재 구성된 로그인 배너 텍스트를 봅니다.
**Client VPN 엔드포인트에 대해 현재 구성된 로그인 배너 보기(AWS CLI)**
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 명령을 사용합니다.
# AWS Client VPN 클라이언트 라우팅 적용
클라이언트 경로 강제 적용은 VPN을 통해 연결된 디바이스에서 관리자가 정의한 경로를 적용하는 데 도움이 됩니다. 이 기능은 연결된 클라이언트에서 발생하는 네트워크 트래픽이 실수로 VPN 터널 외부로 전송되지 않게 함으로써 보안 태세를 개선하는 데 도움이 됩니다.
클라이언트 경로 강제 적용은 연결된 디바이스의 기본 라우팅 테이블을 모니터링하고 클라이언트 VPN 엔드포인트에 구성된 네트워크 경로에 따라 아웃바운드 네트워크 트래픽이 VPN 터널로 전달되도록 합니다. 여기에는 VPN 터널과 충돌하는 경로가 감지되는 경우 디바이스의 라우팅 테이블 수정이 포함됩니다. 클라이언트 경로 강제 적용은 IPv4 및 IPv6 주소 패밀리를 모두 지원합니다.
## 요구 사항
클라이언트 라우팅 적용은 다음 AWS 제공 Client VPN 버전에서만 작동합니다.
+ Windows 버전 5.2.0 이상(IPv4 지원)
+ macOS 버전 5.2.0 이상(IPv4 지원)
+ Ubuntu 버전 5.2.0 이상(IPv4 지원)
+ Windows 버전 5.3.0 이상(IPv6 지원)
+ macOS 버전 5.3.0 이상(IPv6 지원)
+ Ubuntu 버전 5.3.0 이상(IPv6 지원)
듀얼 스택 엔드포인트의 경우 클라이언트 경로 강제 적용 설정은 IPv4 스택과 IPv6 스택 모두에 동시에 적용됩니다. 하나의 스택에만 클라이언트 경로 강제 적용을 활성화할 수는 없습니다.
## 라우팅 충돌
클라이언트가 VPN에 연결되어 있는 동안 클라이언트의 로컬 라우팅 테이블과 엔드포인트의 네트워크 라우팅을 비교합니다. 두 라우팅 테이블 항목 간에 네트워크 중복이 있는 경우 라우팅 충돌이 발생합니다. 중첩 네트워크의 예는 다음과 같습니다.
+ `172.31.0.0/16`
+ `172.31.1.0/24`
이 예에서 이러한 CIDR 블록은 라우팅 충돌을 구성합니다. 예를 들어 `172.31.0.0/16`은 VPN 터널 CIDR일 수 있습니다. `172.31.1.0/24`는 접두사가 더 길기 때문에 더 구체적이며, 일반적으로 우선순위를 가지며 `172.31.1.0/24` IP 범위 내의 VPN 트래픽을 다른 대상으로 잠재적으로 리디렉션합니다. 이로 인해 의도하지 않은 라우팅 동작이 발생할 수 있습니다. 그러나 클라이언트 경로 강제 적용이 활성화되면 후자의 CIDR이 제거됩니다. 이 기능을 사용할 때는 잠재적 라우팅 충돌을 고려해야 합니다.
전체 터널 VPN 연결은 VPN 연결을 통해 모든 네트워크 트래픽을 전달합니다. 따라서 클라이언트 경로 강제 적용 기능이 활성화된 경우 VPN에 연결된 디바이스는 로컬 네트워크(LAN) 리소스에 액세스할 수 없습니다. 로컬 LAN 액세스가 필요한 경우 전체 터널 모드 대신 분할 터널 모드를 사용하는 것이 좋습니다. 분할 터널에 대한 자세한 내용은 [분할 터널 Client VPN](split-tunnel-vpn.md) 섹션을 참조하세요.
## 고려 사항
클라이언트 경로 강제 적용을 활성화하기 전에 다음 정보를 고려해야 합니다.
+ 연결 시 라우팅 충돌이 감지되면 이 기능은 클라이언트의 라우팅 테이블을 업데이트하여 트래픽을 VPN 터널로 보냅니다. 연결이 설정되기 전에 존재했던 경로 중 이 기능으로 삭제된 경로는 복원됩니다.
+ 이 기능은 기본 라우팅 테이블에만 적용되며 다른 라우팅 메커니즘에는 적용되지 않습니다. 예를 들어 다음에는 적용되지 않습니다.
+ 정책 기반 라우팅
+ 인터페이스 범위 라우팅
+ 클라이언트 경로 강제 적용은 VPN 터널이 열려 있는 동안 VPN 터널을 보호합니다. 터널이 연결 해제되거나 클라이언트가 다시 연결되는 동안에는 보호되지 않습니다.
### OpenVPN 명령이 클라우드 경로 강제 적용에 미치는 영향
OpenVPN 구성 파일의 일부 사용자 지정 명령은 클라이언트 경로 강제 적용과 특정 상호 작용을 합니다.
+ `route` 지시문
+ VPN 게이트웨이에 경로를 추가할 때. 예를 들어 VPN 게이트웨이에 경로 `192.168.100.0 255.255.255.0`을 추가합니다.
VPN 게이트웨이에 추가된 경로는 다른 VPN 경로와 유사하게 클라이언트 경로 강제 적용에 의해 모니터링됩니다. 해당 경로 내에서 충돌하는 모든 경로가 감지되고 제거됩니다.
+ 비VPN 게이트웨이에 경로를 추가할 때. 예를 들어 경로 `192.168.200.0 255.255.255.0 net_gateway`를 추가합니다.
비VPN 게이트웨이에 추가된 경로는 VPN 터널을 우회하므로 클라이언트 경로 강제 적용에서 제외됩니다. 충돌하는 경로는 해당 경로 내에서 허용됩니다. 위 예제의 경로는 클라이언트 경로 강제 적용의 모니터링에서 제외됩니다.
+ IPv4 경로와 마찬가지로 VPN 게이트웨이에 추가된 IPv6 경로는 클라이언트 경로 강제 적용에서 모니터링되는 반면, 비VPN 게이트웨이에 추가된 경로는 모니터링에서 제외됩니다.
### 무시된 경로
다음 IPv4 네트워크에 대한 라우팅은 클라이언트 경로 강제 적용에서 무시됩니다.
+ `127.0.0.0/8` - 로컬 호스트용으로 예약됨
+ `169.254.0.0/16` - 링크-로컬 주소용으로 예약됨
+ `224.0.0.0/4` - 멀티캐스트용으로 예약됨
+ `255.255.255.255/32` - 브로드캐스트용으로 예약됨
다음 IPv6 네트워크에 대한 라우팅은 클라이언트 경로 강제 적용에서 무시됩니다.
+ `::1/128` - 루프백용으로 예약됨
+ `fe80::/10` - 링크-로컬 주소용으로 예약됨
+ `ff00::/8` - 멀티캐스트용으로 예약됨
**Topics**
+ [요구 사항](#requirements-cre)
+ [라우팅 충돌](#route-conflict-cre)
+ [고려 사항](#considerations-cre)
+ [클라이언트 경로 강제 적용 활성화](activate-cre.md)
+ [클라이언트 경로 강제 적용 비활성화](deactivate-cre.md)
+ [IPv6 클라이언트 경로 강제 적용 문제 해결](cre-ipv6-troubleshooting.md)
# AWS Client VPN 엔드포인트에 대한 클라이언트 라우팅 적용 활성화
콘솔 또는 AWS CLI를 사용하여 기존 Client VPN 엔드포인트에서 클라이언트 경로 강제 적용을 활성화할 수 있습니다.
**콘솔을 사용하여 클라이언트 경로 강제 적용을 활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **클라이언트 VPN 엔드포인트(Client VPN endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정**을 선택합니다.
1. 페이지를 아래의 **기타 파라미터(Other parameters)** 섹션으로 스크롤합니다.
1. **클라이언트 경로 강제 적용**을 켭니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**AWS CLI를 사용하여 클라이언트 경로 강제 적용을 활성화하려면**
+ [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트에서 클라이언트 라우팅 적용 비활성화
콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트에서 클라이언트 경로 강제 적용을 비활성화할 수 있습니다.
**콘솔을 사용하여 클라이언트 경로 강제 적용을 비활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **클라이언트 VPN 엔드포인트(Client VPN endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정**을 선택합니다.
1. 페이지를 아래의 **기타 파라미터(Other parameters)** 섹션으로 스크롤합니다.
1. **클라이언트 경로 강제 적용**을 끕니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**를 사용하여 클라이언트 라우팅 적용을 비활성화하려면 AWS CLI**
+ [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.
# IPv6 클라이언트 경로 강제 적용 문제 해결
IPv6 클라이언트 경로 강제 적용에 문제가 발생하면 다음 문제 해결 단계를 고려하세요.
클라이언트 버전 확인
IPv6 클라이언트 경로 강제 적용 지원에 필요한 AWS VPN 클라이언트 버전 5.3.0 이상을 사용하고 있는지 확인합니다.
엔드포인트 구성 확인
엔드포인트에 클라이언트 경로 강제 적용이 활성화되어 있고 IPv6 또는 듀얼 스택 트래픽에 맞춰 구성되어 있는지 확인합니다.
클라이언트 로그 검사
AWS VPN 클라이언트 로그에서 IPv6 클라이언트 경로 강제 적용과 관련된 오류 메시지를 검토합니다. ‘IPv6’ 및 ‘클라이언트 경로 강제 적용’ 또는 ‘CRM’이 포함된 항목을 찾습니다.
라우팅 테이블 검사
운영 체제에 적합한 명령을 사용하여 IPv6 라우팅 테이블을 봅니다.
+ Windows: `netsh interface ipv6 show route`
+ macOS: `netstat -rn -f inet6`
+ Linux: `ip -6 route`
충돌하는 경로 확인
VPN 경로와 충돌할 수 있는 IPv6 경로를 찾습니다. 대상은 동일하지만 게이트웨이는 다른 경로에 특히 주의하세요.
ISP IPv6 지원 확인
인터넷 서비스 제공업체(ISP)가 IPv6를 제대로 지원하는지 확인합니다.
이러한 문제 해결 단계를 시도한 후에도 IPv6 클라이언트 경로 강제 적용에 문제가 계속 발생하면 AWS Support에 문의하여 추가 지원을 받으세요.
# AWS Client VPN 엔드포인트
모든 AWS Client VPN 세션은 Client VPN 엔드포인트와 통신을 설정합니다. Client VPN 엔드포인트를 관리하여 해당 엔드포인트로 Client VPN 세션을 생성, 수정, 보기 및 삭제할 수 있습니다. 엔드포인트는 Amazon VPC 콘솔 또는 AWS CLI를 사용하여 생성하고 수정할 수 있습니다.
## Client VPN 엔드포인트 생성 요구 사항
**중요**
Client VPN 엔드포인트는 의도한 대상 네트워크가 프로비저닝된 동일한 AWS 계정에 생성해야 합니다. 또한 서버 인증서와 필요한 경우 클라이언트 인증서를 생성해야 합니다. 자세한 내용은 [의 클라이언트 인증 AWS Client VPN](client-authentication.md) 단원을 참조하십시오.
시작하기 전에 다음이 있는지 확인하십시오.
+ [사용에 대한 규칙 및 모범 사례 AWS Client VPN](what-is-best-practices.md)에서 규칙 및 제한 사항을 검토합니다.
+ 서버 인증서를 생성하고, 필요한 경우 클라이언트 인증서를 생성합니다. 자세한 내용은 [의 클라이언트 인증 AWS Client VPN](client-authentication.md) 단원을 참조하십시오.
## IP 주소 유형
AWS Client VPN 는 엔드포인트 연결 및 트래픽 라우팅 모두에 대해 IPv4-only, IPv6-only 및 듀얼 스택 구성을 지원합니다. 다음 지침은 클라이언트 디바이스 기능, 네트워크 인프라 및 애플리케이션 요구 사항에 따라 적절한 IP 주소 유형을 선택하는 데 도움이 됩니다.
### 엔드포인트 주소 유형
엔드포인트 주소 유형에 따라 Client VPN 엔드포인트가 클라이언트 연결에 지원하는 IP 프로토콜이 결정됩니다. 엔드포인트 생성 후에는 이 설정을 변경할 수 없습니다.
**다음과 같은 경우 IPv4 전용을 선택합니다.**
+ 클라이언트 디바이스는 IPv4 VPN 연결만 지원하는 경우
+ 보안 도구가 IPv4 트래픽 검사에 최적화되어 있는 경우
**다음과 같은 경우 IPv6 전용을 선택합니다.**
+ 모든 클라이언트 디바이스가 IPv6 연결을 완전히 지원하는 경우
+ IPv4 주소가 고갈된 네트워크에 있는 경우
**다음과 같은 경우 듀얼 스택을 선택합니다.**
+ 다양한 IP 기능을 갖춘 클라이언트 디바이스가 혼합되어 있는 경우
+ IPv4에서 IPv6로 점진적으로 전환 중인 경우
### 트래픽 IP 주소 유형
트래픽 IP 주소 유형은 엔드포인트의 지원되는 프로토콜과 관계없이 Client VPN이 클라이언트와 VPC 리소스 간의 트래픽을 라우팅하는 방법을 제어합니다.
**다음과 같은 경우 트래픽을 IPv4로 라우팅합니다.**
+ VPC의 대상 애플리케이션이 IPv4만 지원하는 경우
+ IPv4 보안 그룹 및 네트워크 ACL가 복잡한 경우
+ 레거시 시스템에 연결 중인 경우
**다음과 같은 경우 트래픽을 IPv6로 라우팅합니다.**
+ VPC 인프라는 주로 IPv6인 경우
+ 향후 네트워크 아키텍처에 대비하려는 경우
+ IPv6용으로 구축된 최신 애플리케이션이 있는 경우
## 엔드포인트 수정
**참고**
빠른 시작 설정을 사용하여 생성된 Client VPN 엔드포인트는 표준 설정으로 생성된 엔드포인트와 동일한 절차를 사용하여 수정할 수 있습니다. 모든 구성 옵션은 생성 중에 사용되는 설정 방법에 관계없이 사용할 수 있습니다.
Client VPN이 생성된 후에는 다음 설정을 수정할 수 있습니다.
+ 설명
+ 서버 인증서
+ 클라이언트 연결 로깅 옵션
+ 클라이언트 연결 핸들러 옵션
+ DNS 서버
+ 분할 터널 옵션
+ 경로(분할 터널 옵션을 사용하는 경우)
+ 인증서 취소 목록(CRL)
+ 권한 부여 규칙
+ VPC 및 보안 그룹 연결
+ VPN 포트 번호
+ 셀프 서비스 포털 옵션
+ 최대 VPN 세션 시간
+ 세션 제한 시간에 자동 재연결 활성화 또는 비활성화
+ 클라이언트 로그인 배너 텍스트 사용 또는 사용 중지
+ 클라이언트 로그인 배너 텍스트
**참고**
인증서 취소 목록(CRL) 변경 사항을 포함하여 Client VPN 엔드포인트에 대한 수정 사항은 Client VPN 서비스에서 요청을 수락한 후 최대 4시간 이내에 적용됩니다.
Client VPN 엔드포인트가 생성된 이후에는 클라이언트 IPv4 CIDR 범위, 인증 옵션, 클라이언트 인증서 또는 전송 프로토콜을 수정할 수 없습니다.
Client VPN 엔드포인트에서 다음과 같은 파라미터 중 아무 것이라도 변경하면, 연결이 재설정됩니다.
+ 서버 인증서
+ DNS 서버
+ 분할 터널 옵션(지원 켜기 또는 끄기)
+ 경로(분할 터널 옵션을 사용하는 경우)
+ 인증서 취소 목록(CRL)
+ 권한 부여 규칙
+ VPN 포트 번호
**Topics**
+ [Client VPN 엔드포인트 생성 요구 사항](#cvpn-working-create-req)
+ [IP 주소 유형](#cvpn-ip-address-types)
+ [엔드포인트 수정](#cvpn-endpoints-modify-req)
+ [엔드포인트 생성](cvpn-working-endpoint-create.md)
+ [엔드포인트 보기](cvpn-working-endpoint-view.md)
+ [엔드포인트 수정](cvpn-working-endpoint-modify.md)
+ [엔드포인트를 삭제](cvpn-working-endpoint-delete.md)
# AWS Client VPN엔드포인트 생성
AWS Client VPN엔드포인트를 생성하여 클라이언트가 Amazon VPC 콘솔 또는를 사용하여 VPN 세션을 설정할 수 있도록 합니다AWS CLI.Client VPN은 초기 생성 중에 엔드포인트 유형(분할 터널 및 전체 터널)과 트래픽 유형(IPv4, IPv6 및 듀얼 스택)의 모든 조합을 지원합니다.
엔드포인트를 생성하기 전에 요구 사항을 숙지하세요. 자세한 내용은 [Client VPN 엔드포인트 생성 요구 사항](cvpn-working-endpoints.md#cvpn-working-create-req) 단원을 참조하십시오.
**콘솔을 사용하여 Client VPN 엔드포인트를 생성하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN Endpoints(Client VPN 엔드포인트)**를 선택한 다음 **Create Client VPN Endpoint(Client VPN 엔드포인트 생성)**를 선택합니다.
1. "설정 방법 선택"에서 다음 중 하나를 선택합니다.
+ 빠른 시작 - AWS 권장 기본값으로 엔드포인트 생성
+ 표준 - 엔드포인트에 대한 모든 설정을 수동으로 구성
**빠른 시작 설정:**
1. “설정 방법 선택”에서 빠른 시작을 선택합니다.
1. "클라이언트 IPv4 CIDR"에 클라이언트 IP 주소를 할당할 IP 주소 범위를 입력합니다. AWS는 /22 CIDR 블록(예: 10.0.0.0/22)을 사용할 것을 권장합니다.
1. "VPC"에서 Client VPN 엔드포인트와 연결할 VPC를 선택합니다.
1. “서브넷”에서 VPC에서 하나 이상의 서브넷을 선택합니다. 이러한 서브넷은 대상 네트워크 연결에 사용됩니다.
1. Server certificate ARN(서버 인증서 ARN)에 서버에서 사용할 TLS 인증서의 ARN을 지정합니다. 클라이언트는 서버 인증서를 사용하여 연결할 Client VPN 엔드포인트를 인증합니다.
1. "Client VPN 엔드포인트 생성"을 선택합니다.
AWS는 다음 리소스를 자동으로 생성합니다.
+ 모든 사용자가 VPC CIDR에 액세스하도록 허용하는 권한 부여 규칙
+ 선택한 VPC 서브넷과의 대상 네트워크 연결
+ VPC CIDR에 대한 라우팅 테이블 항목
엔드포인트가 생성되면 엔드포인트 세부 정보 페이지에서 클라이언트 구성 파일을 다운로드하여 클라이언트 인증서 및 키와 함께 사용자에게 배포할 수 있습니다.
**표준 설정:**
1. "설정 방법 선택"에서 표준을 선택합니다.
1. (선택 사항) Client VPN 엔드포인트의 이름 태그와 설명을 입력합니다.
1. **엔드포인트 IP 주소 유형**에서 엔드포인트의 IP 주소 유형을 선택합니다.
+ **IPv4**: 엔드포인트가 외부 VPN 터널 트래픽에 IPv4 주소를 사용합니다.
+ **IPv6**: 엔드포인트가 외부 VPN 터널 트래픽에 IPv6 주소를 사용합니다.
+ **듀얼 스택**: 엔드포인트가 외부 VPN 터널 트래픽에 IPv4 및 IPv6 주소를 모두 사용합니다.
1. **트래픽 IP 주소 유형**에서 엔드포인트를 통해 흐르는 트래픽의 IP 주소 유형을 선택합니다.
+ **IPv4**: 엔드포인트가 IPv4 트래픽만 지원합니다.
+ **IPv6**: 엔드포인트가 IPv6 트래픽만 지원합니다.
+ **듀얼 스택**: 엔드포인트가 IPv4 트래픽과 IPv6 트래픽을 모두 지원합니다.
1. **클라이언트 IPv4 CIDR**에서 클라이언트 IP 주소를 할당할 IP 주소 범위(CIDR 표기법)를 지정합니다. 예를 들어 `10.0.0.0/22`입니다. 트래픽 IP 주소 유형에 IPv4 또는 듀얼 스택을 선택한 경우 필수입니다.
**참고**
주소 범위는 Client VPN 엔드포인트와 연결될 대상 네트워크 주소 범위, VPC 주소 범위 또는 경로와 중복될 수 없습니다. 클라이언트 주소 범위는 최소 /22 이상이어야 하며 /12 CIDR 블록 크기를 넘지 않아야 합니다. Client VPN 엔드포인트를 생성한 후에는 클라이언트 주소 범위를 변경할 수 없습니다.
IPv6를 엔드포인트 IP 주소 유형으로 선택하면 클라이언트 IPv4 CIDR 필드가 비활성화됩니다. Client VPN 엔드포인트는 연결된 서브넷에서 클라이언트 IPv6 주소를 할당하며 엔드포인트를 생성한 후 서브넷을 연결할 수 있습니다.
**참고**
IPv6 트래픽의 경우 클라이언트 CIDR 범위를 지정할 필요가 없습니다. Amazon은 클라이언트에 IPv6 CIDR 범위를 자동으로 할당합니다.
1. **Server certificate ARN(서버 인증서 ARN)**에 서버에서 사용할 TLS 인증서의 ARN을 지정합니다. 클라이언트는 서버 인증서를 사용하여 연결할 Client VPN 엔드포인트를 인증합니다.
**참고**
서버 인증서는 Client VPN 엔드포인트를 생성하는 리전의AWS Certificate Manager(ACM)에 있어야 합니다. 인증서는 ACM을 사용하여 프로비저닝하거나 ACM으로 가져올 수 있습니다.
ACM에 인증서를 프로비저닝하거나 가져오는 단계는 *AWS Certificate Manager사용 설명서*의 [AWS Certificate Manager인증서](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)를 참조하세요.
1. 클라이언트가 VPN 연결을 설정할 때 클라이언트를 인증하는 데 사용할 인증 방법을 지정합니다. 인증 방법을 선택해야 합니다.
+ 사용자 기반 인증을 사용하려면 **사용자 기반 인증 사용**을 선택하고 다음 중 하나를 선택합니다.
+ **Active Directory 인증**: Active Directory 인증을 사용하려면 이 옵션을 선택합니다. **디렉터리 ID**에는 사용할 Active Directory의 ID를 지정합니다.
+ **연동 인증**: SAML 기반 연동 인증을 사용하려면 이 옵션을 선택합니다.
**SAML 제공업체 ARN**에는 IAM SAML 자격 증명 공급자의 ARN을 지정합니다.
(선택 사항) **Self-service SAML provider ARN(셀프 서비스 SAML 공급자 ARN)**에서 [셀프 서비스 포털을 지원](federated-authentication.md#saml-self-service-support)하기 위해 생성한 IAM SAML 자격 증명 공급자의 ARN을 지정합니다(해당하는 경우).
+ 상호 인증서 인증을 사용하려면 **상호 인증 사용을** 선택한 다음 **클라이언트 인증서 ARN**에AWS Certificate Manager(ACM)에 프로비저닝된 클라이언트 인증서의 ARN을 지정합니다.
**참고**
서버 및 클라이언트 인증서가 동일한 CA(인증 기관)에 의해 발급된 경우 서버 인증서 ARN을 서버 및 클라이언트 모두에 사용할 수 있습니다. 클라이언트 인증서가 다른 CA에 의해 발급된 경우 클라이언트 인증서 ARN이 지정되어야 합니다.
1. (선택 사항) **연결 로깅(Connection logging)**에서 Amazon CloudWatch Logs를 사용하여 클라이언트 연결에 대한 데이터를 로그할지 여부를 지정합니다. **클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)**를 켭니다. **CloudWatch Logs log group name(CloudWatch Logs 로그 그룹 이름)**에 사용할 로그 그룹의 이름을 입력합니다. **CloudWatch Logs log stream name(CloudWatch Logs 로그 스트림 이름)**에 사용할 로그 스트림의 이름을 입력하거나 사용자 대신 자동으로 로그 스트림을 생성할 수 있도록 이 옵션을 비워 둡니다.
1. (선택 사항) **클라이언트 연결 핸들러(Client Connect Handler)**에서 **클라이언트 연결 핸들러 활성화(Enable client connect handler)**를 켜서 Client VPN 엔드포인트에 대한 새 연결을 허용하거나 거부하는 사용자 지정 코드를 실행합니다. **Client Connect Handler ARN(클라이언트 연결 처리기 ARN)**에서 연결을 허용하거나 거부하는 논리가 포함된 Lambda 함수의 Amazon 리소스 이름(ARN)을 지정합니다.
1. (선택 사항) DNS 확인에 사용할 DNS 서버를 지정합니다. 사용자 지정 DNS 서버를 사용하려면 **DNS 서버 1 IP 주소** 및 **DNS 서버 2 IP 주소**에 사용할 DNS 서버의 IPv4 주소를 지정합니다. IPv6 또는 듀얼 스택 엔드포인트의 경우 **DNS 서버 IPv6 1** 및 **DNS 서버 IPv6 2** 주소를 지정할 수도 있습니다. VPC DNS 서버를 사용하려면 **DNS Server 1 IP address(DNS 서버 1 IP 주소)** 또는 **DNS Server 2 IP address(DNS 서버 2 IP 주소)**에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.
**참고**
클라이언트가 DNS 서버에 도달할 수 있는지 확인합니다.
1. (선택 사항) 기본적으로 Client VPN 엔드포인트는 `UDP` 전송 프로토콜을 사용합니다. `TCP` 전송 프로토콜을 대신 사용하려면 **Transport Protocol**에서 **TCP**를 선택합니다.
**참고**
일반적으로 UDP가 TCP보다 뛰어난 성능을 제공합니다. Client VPN 엔드포인트를 생성한 후에는 전송 프로토콜을 변경할 수 없습니다.
1. (선택 사항) 엔드포인트를 분할 터널 Client VPN 엔드포인트로 사용하려면 **분할 터널 활성화(Enable split-tunnel)**를 켭니다. 기본적으로 Client VPN 엔드포인트의 분할 터널은 비활성화됩니다.
1. (선택 사항) **VPC ID**에서 Client VPN 엔드포인트와 연결할 VPC를 선택합니다. **Security Group IDs(보안 그룹 ID)**에서 Client VPN 엔드포인트에 적용할 VPC의 보안 그룹을 하나 이상 선택합니다.
1. (선택 사항) **VPN 포트**의 경우 VPN 포트 번호를 선택합니다. 기본값은 443입니다.
1. (선택 사항) 클라이언트에 대한 [셀프 서비스 포털 URL](cvpn-self-service-portal.md)을 생성하려면 **셀프 서비스 포털 활성화(Enable self-service portal)**를 켭니다.
1. (선택 사항) **세션 제한 시간(Session timeout hours)**에서 사용 가능한 옵션에서 원하는 최대 VPN 세션 기간(시간)을 선택하거나 기본값 24시간으로 설정된 상태로 둡니다.
1. (선택 사항) **세션 제한 시간 도달 시 연결 해제**에서 최대 세션 시간에 도달할 때 세션을 종료할지 여부를 선택합니다. 이 옵션을 선택하면 세션 시간이 초과한 경우 사용자가 엔드포인트에 수동으로 다시 연결해야 합니다. 그렇지 않으면 Client VPN이 자동으로 다시 연결을 시도합니다.
1. (선택 사항) 클라이언트 로그인 배너 텍스트를 사용 설정할지 여부를 지정합니다. **클라이언트 로그인 배너 활성화(Enable client login banner)**를 켭니다. **클라이언트 로그인 배너 텍스트(Client login banner text)**에 VPN 세션이 설정될 때 AWS 제공 클라이언트의 배너에 표시될 텍스트를 입력합니다. UTF-8로 인코딩된 문자만 허용됩니다. 최대 1,400자입니다.
1. **클라이언트 VPN엔드포인트 생성(Create Client VPN endpoint)**을 선택합니다.
Client VPN 엔드포인트를 생성한 후, 다음을 수행하여 구성을 완료하고 클라이언트가 연결할 수 있도록 합니다.
+ Client VPN 엔드포인트의 초기 상태는 `pending-associate`입니다. 첫 번째 [대상 네트워크](cvpn-working-target-associate.md)를 연결한 이후에만 클라이언트가 Client VPN 엔드포인트에 연결할 수 있습니다.
+ 네트워크에 액세스할 수 있는 클라이언트를 지정하려면 [권한 부여 규칙](cvpn-working-rules.md)을 생성합니다.
+ 클라이언트에 배포할 Client VPN 엔드포인트 [구성 파일](cvpn-working-endpoint-export.md)을 다운로드하고 준비합니다.
+ 클라이언트에게AWS제공된 클라이언트 또는 다른 OpenVPN 기반 클라이언트 애플리케이션을 사용하여 Client VPN 엔드포인트에 연결하도록 지시합니다. 자세한 내용은 [AWS Client VPN사용 설명서](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)를 참조하십시오.
**를 사용하여 Client VPN 엔드포인트를 생성하려면AWS CLI**
[create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 명령을 사용합니다.
IPv4 엔드포인트 생성 예제:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
IPv6 엔드포인트 생성 예제:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "ipv6" \
--traffic-ip-address-type "ipv6" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
듀얼 스택 엔드포인트 생성 예제:
```
aws ec2 create-client-vpn-endpoint \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16" \
--server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false
```
# AWS Client VPN 엔드포인트 보기
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트에 대한 정보를 볼 수 있습니다.
**Client VPN 엔드포인트를 보려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 보려는 Client VPN 엔드포인트를 선택합니다.
1. **세부 정보**, **대상 네트워크 연결**, **보안 그룹**, **권한 부여 규칙**, **라우팅 테이블**, **연결** 및 **태그** 탭을 사용하여 기존 Client VPN 엔드포인트에 대한 정보를 봅니다.
필터를 사용하여 검색을 구체화할 수도 있습니다.
**Client VPN 엔드포인트를 보려면(AWS CLI)**
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트 수정
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트를 수정할 수 있습니다. 수정할 수 있는 Client VPN 필드에 대한 자세한 내용은 [엔드포인트 수정](cvpn-working-endpoints.md#cvpn-endpoints-modify-req) 섹션을 참조하세요.
## 제한 사항
엔드포인트를 수정할 때 다음과 같은 제한 사항이 적용됩니다.
+ 인증서 취소 목록(CRL) 변경 사항을 포함하여 Client VPN 엔드포인트에 대한 수정 사항은 Client VPN 서비스에서 요청을 수락한 후 최대 4시간 이내에 적용됩니다.
+ Client VPN 엔드포인트가 생성된 이후에는 클라이언트 IPv4 CIDR 범위, 인증 옵션, 클라이언트 인증서 또는 전송 프로토콜을 수정할 수 없습니다.
+ 엔드포인트 IP 유형과 트래픽 IP 유형 모두에 대해 기존 IPv4 엔드포인트를 듀얼 스택으로 수정할 수 있습니다. 엔드포인트 IP 및 트래픽 IP에 IPv6 전용이 필요한 경우 새 엔드포인트를 생성해야 합니다.
+ Client VPN은 생성 후 엔드포인트 유형(IPv4, IPv6, 듀얼 스택) 또는 트래픽 유형(IPv4, IPv6, 듀얼 스택)의 수정을 지원하지 않습니다.
+ 엔드포인트 유형과 트래픽 유형의 특정 조합으로 Client VPN을 수정하는 것은 지원되지 않습니다. 다른 조합으로 변경할 수 없습니다. 엔드포인트를 삭제하고 원하는 구성으로 다시 생성해야 합니다.
+ IPv6 트래픽에 대한 Client-to-client 통신은 지원되지 않습니다.
## Client VPN 엔드포인트를 수정합니다.
콘솔 또는 AWS CLI를 사용하여 Client VPN 엔드포인트를 수정할 수 있습니다.
**콘솔을 사용하여 Client VPN 엔드포인트를 수정하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
1. **설명**(Description)에 Client VPN 엔드포인트에 대한 간략한 설명을 입력합니다.
1. **엔드포인트 IP 주소 유형**의 경우 기존 IPv4 엔드포인트를 듀얼 스택으로 수정할 수 있습니다. 이 옵션은 IPv4 엔드포인트에만 사용할 수 있습니다.
1. **트래픽 IP 주소 유형**의 경우 기존 IPv4 엔드포인트를 듀얼 스택으로 수정할 수 있습니다. 이 옵션은 IPv4 엔드포인트에만 사용할 수 있습니다.
1. **Server certificate ARN(서버 인증서 ARN)**에 서버에서 사용할 TLS 인증서의 ARN을 지정합니다. 클라이언트는 서버 인증서를 사용하여 연결할 Client VPN 엔드포인트를 인증합니다.
**참고**
서버 인증서는 Client VPN 엔드포인트를 생성하는 리전의 AWS Certificate Manager(ACM)에 위치해야 합니다. 인증서는 ACM을 사용하여 프로비저닝하거나 ACM으로 가져올 수 있습니다.
1. Amazon CloudWatch Logs를 사용하여 클라이언트 연결에 대한 데이터를 로깅할지 여부를 지정합니다. **클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)**에서 다음 중 하나를 수행합니다.
+ 클라이언트 연결 로깅을 활성화하려면 **클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)**를 켭니다. **CloudWatch Logs 로그 그룹 이름(CloudWatch Logs log group name)**에 사용할 로그 그룹의 이름을 선택합니다. **CloudWatch Logs 로그 스트림 이름(CloudWatch Logs log stream name)**에 사용할 로그 스트림의 이름을 선택하거나 사용자 대신 자동으로 로그 스트림을 생성할 수 있도록 이 옵션을 비워 둡니다.
+ 클라이언트 연결 로깅을 비활성화하려면 **클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)**를 끕니다.
1. **클라이언트 연결 핸들러(Client connect handler)**에서 [클라이언트 연결 핸들러](connection-authorization.md)를 활성화하려면 **클라이언트 연결 핸들러 활성화(Enable client connect handler)**를 켭니다. **Client Connect Handler ARN(클라이언트 연결 처리기 ARN)**에서 연결을 허용하거나 거부하는 논리가 포함된 Lambda 함수의 Amazon 리소스 이름(ARN)을 지정합니다.
1. **DNS 서버 활성화(Enable DNS servers)**를 켜거나 끕니다. 사용자 지정 DNS 서버를 사용하려면 **DNS 서버 1 IP 주소** 및 **DNS 서버 2 IP 주소**에 사용할 DNS 서버의 IPv4 주소를 지정합니다. IPv6 또는 듀얼 스택 엔드포인트의 경우 **DNS 서버 IPv6 1** 및 **DNS 서버 IPv6 2** 주소를 지정할 수도 있습니다. VPC DNS 서버를 사용하려면 **DNS Server 1 IP address(DNS 서버 1 IP 주소)** 또는 **DNS Server 2 IP address(DNS 서버 2 IP 주소)**에 IP 주소를 지정하고 VPC DNS 서버 IP 주소를 추가합니다.
**참고**
클라이언트가 DNS 서버에 도달할 수 있는지 확인합니다.
1. **분할 터널 활성화(Enable split-tunnel)**를 켜거나 끕니다. 기본적으로 VPN 엔드포인트에서 분할 터널은 꺼져 있습니다.
1. **VPC ID**에서 Client VPN 엔드포인트와 연결할 VPC를 선택합니다. **Security Group IDs(보안 그룹 ID)**에서 Client VPN 엔드포인트에 적용할 VPC의 보안 그룹을 하나 이상 선택합니다.
1. **VPN 포트**의 경우 VPN 포트 번호를 선택합니다. 기본값은 443입니다.
1. 클라이언트에 대한 [셀프 서비스 포털 URL](cvpn-self-service-portal.md)을 생성하려면 **셀프 서비스 포털 활성화(Enable self-service portal)**를 켭니다.
1. **세션 제한 시간(Session timeout hours)**에서 사용 가능한 옵션에서 원하는 최대 VPN 세션 기간(시간)을 선택하거나 기본값 24시간으로 설정된 상태로 둡니다.
1. **세션 제한 시간 도달 시 연결 해제**에서 최대 세션 시간에 도달할 때 세션을 종료할지 여부를 선택합니다. 이 옵션을 선택하면 세션 시간이 초과한 경우 사용자가 엔드포인트에 수동으로 다시 연결해야 합니다. 그렇지 않으면 Client VPN이 자동으로 다시 연결을 시도합니다.
1. **클라이언트 로그인 배너 활성화(Enable client login banner)**를 켜거나 끕니다. 클라이언트 로그인 배너를 사용하려면 VPN 세션이 설정될 때 AWS 제공 클라이언트의 배너에 표시될 텍스트를 입력합니다. UTF-8로 인코딩된 문자만 허용됩니다. 최대 1,400자입니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**AWS CLI를 사용하여 Client VPN 엔드포인트를 수정하려면**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.
IPv4 엔드포인트를 듀얼 스택으로 수정하는 예:
```
aws ec2 modify-client-vpn-endpoint \
--client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
--endpoint-ip-address-type "dual-stack" \
--traffic-ip-address-type "dual-stack" \
--client-cidr-block "172.31.0.0/16"
```
# AWS Client VPN 엔드포인트 삭제
Client VPN 엔드포인트를 삭제하려면 먼저 모든 대상 네트워크를 연결 해제해야 합니다. Client VPN 엔드포인트를 삭제하면 상태가 `deleting`으로 전환되고 클라이언트가 더 이상 해당 엔드포인트에 연결할 수 없습니다.
콘솔 또는 를 사용하여 Client VPN 엔드포인트를 삭제할 수 있습니다AWS CLI
**Client VPN 엔드포인트를 삭제하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 삭제할 Client VPN 엔드포인트를 선택합니다. **작업(Actions)**, **클라이언트 VPN 엔드포인트 삭제(Delete Client VPN endpoint)**를 선택합니다.
1. 확인 창에 *delete*를 입력한 다음 **삭제(Delete)**를 선택합니다.
**Client VPN 엔드포인트를 삭제하려면(AWS CLI)**
[delete-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-endpoint.html) 명령을 사용합니다.
# AWS Client VPN 연결 로그
새 Client VPN 엔드포인트 또는 기존 Client VPN 엔드포인트에 연결 로깅을 활성화하고 연결 로그 캡처를 시작할 수 있습니다. 연결 로그는 Client VPN 엔드포인트에 대한 로그 이벤트 시퀀스를 보여줍니다. 연결 로깅을 활성화하면 로그 그룹에서 로그 스트림의 이름을 지정할 수 있습니다. 로그 스트림을 지정하지 않으면 Client VPN 서비스에서 자동으로 로그 스트림을 생성합니다. 그런 다음 연결 로깅은 클라이언트 연결 요청, 클라이언트 연결 결과(성공 또는 실패), 연결 실패 원인, 엔드포인트의 클라이언트 종료 시간을 기록합니다.
시작하기 전에 계정에 CloudWatch Logs 로그 그룹이 있어야 합니다. 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [로그 그룹 및 로그 스트림 작업](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html)을 참조하십시오. CloudWatch Logs 이용 시 요금이 부과됩니다. 자세한 내용은 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 참조하세요.
Client VPN 연결 로그는 Amazon VPC 콘솔 또는 AWS CLI를 사용하여 생성할 수 있습니다.
**Topics**
+ [새 엔드포인트에 연결 로깅 활성화](create-connection-log-new.md)
+ [기존 엔드포인트에 대한 연결 로깅 활성화](create-connection-log-existing.md)
+ [연결 로그 보기](view-connection-logs.md)
+ [연결 로깅 끄기](disable-connection-logs.md)
# 새 AWS Client VPN 엔드포인트에 대한 연결 로깅 활성화
콘솔 또는 명령줄을 사용하여 새 Client VPN 엔드포인트를 생성할 때 연결 로깅을 활성화할 수 있습니다.
**콘솔을 사용하여 새 Client VPN 엔드포인트에 연결 로깅을 활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **클라이언트 VPN 엔드포인트(Client VPN Endpoints)**를 선택한 다음 **클라이언트 VPN 엔드포인트 생성(Create Client VPN endpoint)**을 선택합니다.
1. **Connection Logging(연결 로깅)** 섹션에 도달할 때까지 옵션을 완료합니다. 이러한 옵션에 대한 자세한 내용은 [AWS Client VPN엔드포인트 생성](cvpn-working-endpoint-create.md)을 참조하세요.
1. **연결 로깅(Connection logging)**에서 **클라이언트 연결에 대한 로그 세부 정보 사용(Enable log details on client connections)**을 설정합니다.
1. **CloudWatch Logs 로그 그룹 이름(CloudWatch Logs log group name)**에서 CloudWatch Logs 로그 그룹의 이름을 선택합니다.
1. (선택 사항) **CloudWatch Logs 로그 스트림 이름(CloudWatch Logs log stream name)**에서 CloudWatch Logs 로그 스트림의 이름을 선택합니다.
1. **클라이언트 VPN엔드포인트 생성(Create Client VPN endpoint)**을 선택합니다.
**를 사용하여 새 Client VPN 엔드포인트에 대한 연결 로깅을 활성화하려면 AWS CLI**
[create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 명령을 사용하고 `--connection-log-options` 파라미터를 지정합니다. 다음 예제와 같이 JSON 형식으로 연결 로그 정보를 지정할 수 있습니다.
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# 기존 AWS Client VPN 엔드포인트에 대한 연결 로깅 활성화
콘솔 또는 명령줄을 사용하여 기존 Client VPN 엔드포인트에 연결 로깅을 활성화할 수 있습니다.
**콘솔을 사용하여 기존 Client VPN 엔드포인트에 연결 로깅을 활성화하려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
1. **연결 로깅(Connection logging)**에서 **클라이언트 연결에 대한 로그 세부 정보 사용(Enable log details on client connections)**을 설정합니다.
1. **CloudWatch Logs 로그 그룹 이름(CloudWatch Logs log group name)**에서 CloudWatch Logs 로그 그룹의 이름을 선택합니다.
1. (선택 사항) **CloudWatch Logs 로그 스트림 이름(CloudWatch Logs log stream name)**에서 CloudWatch Logs 로그 스트림의 이름을 선택합니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**를 사용하여 기존 Client VPN 엔드포인트에 대한 연결 로깅을 활성화하려면 AWS CLI**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용하고 `--connection-log-options` 파라미터를 지정합니다. 다음 예제와 같이 JSON 형식으로 연결 로그 정보를 지정할 수 있습니다.
```
{
"Enabled": true,
"CloudwatchLogGroup": "ClientVpnConnectionLogs",
"CloudwatchLogStream": "NewYorkOfficeVPN"
}
```
# AWS Client VPN 연결 로그 보기
CloudWatch Logs 콘솔을 사용하여 Client VPN 연결 로그를 볼 수 있습니다.
**콘솔을 사용하여 연결 로그를 보려면**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **Log groups(로그 그룹)**을 선택하고 연결 로그가 포함된 로그 그룹을 선택합니다.
1. Client VPN 엔드포인트에 대한 로그 스트림을 선택합니다.
**참고**
**타임스탬프(Timestamp)** 열에는 연결 시간이 아니라 연결 로그가 CloudWatch Logs에 게시된 시간이 표시됩니다.
로그 데이터 검색에 대한 자세한 내용은 *Amazon CloudWatch Logs 사용 설명서*의 [필터 패턴을 사용하여 로그 데이터 검색](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html)을 참조하세요.
# AWS Client VPN 연결 로깅 끄기
콘솔 또는 명령줄을 사용하여 Client VPN 엔드포인트에 대한 연결 로깅을 끌 수 있습니다. 연결 로깅을 꺼도 CloudWatch Logs의 기존 연결 로그는 삭제되지 않습니다.
**콘솔을 사용하여 연결 로깅을 끄려면**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
1. **연결 로깅(Connection logging)**에서 **클라이언트 연결에 대한 로그 세부 정보 활성화(Enable log details on client connections)**를 끕니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**AWS CLI를 사용하여 연결 로깅을 끄려면**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용하고 `--connection-log-options` 파라미터를 지정합니다. `Enabled`가 `false`로 설정되어 있는지 확인합니다.
# AWS Client VPN 엔드포인트 구성 파일 내보내기
AWS Client VPN 엔드포인트 구성 파일은 클라이언트(사용자)가 Client VPN 엔드포인트와의 VPN 연결을 설정하는 데 사용하는 파일입니다. 이 파일을 다운로드(내보내기)하여 VPN에 액세스해야 하는 모든 클라이언트에게 배포해야 합니다. 또는 Client VPN 엔드포인트에 대해 셀프 서비스 포털을 활성화한 경우 클라이언트가 포털에 로그인하여 구성 파일을 직접 다운로드할 수 있습니다. 자세한 내용은 [셀프 서비스 포털에 대한 AWS Client VPN 액세스](cvpn-self-service-portal.md) 단원을 참조하십시오.
Client VPN 엔드포인트가 상호 인증을 사용하는 경우 다운로드한 [.ovpn 구성 파일에 클라이언트 인증서와 클라이언트 프라이빗 키를 추가](add-config-file-cert-key.md)해야 합니다. 정보를 추가한 다음, 클라이언트는 .ovpn 파일을 OpenVPN 클라이언트 소프트웨어로 가져올 수 있습니다.
**중요**
클라이언트 인증서 및 클라이언트 프라이빗 키 정보를 파일에 추가하지 않으면 상호 인증을 사용하여 인증하는 클라이언트가 Client VPN 엔드포인트에 연결할 수 없습니다.
기본적으로 OpenVPN 클라이언트 구성의 "remote-random-hostname" 옵션은 와일드 카드 DNS를 활성화합니다. 와일드 카드 DNS가 활성화되므로 클라이언트가 엔드포인트의 IP 주소를 캐싱하지 않으며 엔드포인트의 DNS 이름을 ping할 수 없습니다.
Client VPN 엔드포인트가 Active Directory 인증을 사용하고 클라이언트 구성 파일을 배포한 후 디렉터리에서 Multi-Factor Authentication(MFA)을 활성화한 경우 새 파일을 다운로드하여 클라이언트에 다시 배포해야 합니다. 클라이언트는 이전 구성 파일을 사용하여 Client VPN 엔드포인트에 연결할 수 없습니다.
**Topics**
+ [클라이언트 구성 파일 내보내기](export-client-config-file.md)
+ [상호 인증을 위한 클라이언트 인증서 및 키 정보 추가](add-config-file-cert-key.md)
# AWS Client VPN 클라이언트 구성 파일 내보내기
콘솔 또는 AWS CLI를 사용하여 Client VPN 클라이언트 구성을 내보낼 수 있습니다.
**클라이언트 구성을 내보내는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 클라이언트 구성을 다운로드할 Client VPN 엔드포인트를 선택하고 **Download Client Configuration(클라이언트 구성 다운로드)**을 선택합니다.
**클라이언트 구성을 내보내려면(AWS CLI)**
[export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) 명령을 사용하고 출력 파일 이름을 지정합니다.
```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```
# 상호 인증을 위한 AWS Client VPN 클라이언트 인증서 및 키 정보 추가
Client VPN 엔드포인트가 상호 인증을 사용하는 경우 다운로드한 .ovpn 구성 파일에 클라이언트 인증서와 클라이언트 프라이빗 키를 추가해야 합니다.
상호 인증을 사용할 때는 클라이언트 인증서를 수정할 수 없습니다.
**클라이언트 인증서 및 키 정보를 추가하려면(상호 인증)**
다음 옵션 중 하나를 사용할 수 있습니다.
(옵션 1) 클라이언트 인증서 및 키를 Client VPN 엔드포인트 구성 파일과 함께 클라이언트에 배포합니다. 이 경우 구성 파일에 인증서 및 키의 경로를 지정합니다. 선호하는 텍스트 편집기를 사용하여 구성 파일을 열고 파일 끝부분에 다음을 추가합니다. */path/*를 클라이언트 인증서 및 키의 위치로 바꿉니다(위치는 엔드포인트에 연결하는 클라이언트를 기준으로 함).
```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```
(옵션 2) 구성 파일에 ```` 태그 사이에 클라이언트 인증서의 내용을 추가하고 ```` 태그 사이에 프라이빗 키의 내용을 추가합니다. 이 옵션을 선택하면 구성 파일만 클라이언트에 배포됩니다.
Client VPN 엔드포인트에 연결할 각 사용자에 대해 별도의 클라이언트 인증서 및 키를 생성한 경우 각 사용자에 대해 이 단계를 반복합니다.
다음은 클라이언트 인증서 및 키를 포함하는 Client VPN 구성 파일 형식의 예입니다.
```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3
Contents of CA
Contents of client certificate (.crt) file
Contents of private key (.key) file
reneg-sec 0
```
# AWS Client VPN 경로
각 AWS Client VPN 엔드포인트에는 사용 가능한 대상 네트워크 경로를 설명하는 라우팅 테이블이 있습니다. 라우팅 테이블의 각 라우팅은 네트워크 트래픽이 전달되는 위치를 결정합니다. 각 Client VPN 엔드포인트 라우팅의 권한 부여 규칙을 구성하여 대상 네트워크에 액세스할 수 있는 클라이언트를 지정해야 합니다.
Client VPN 엔드포인트에 VPC의 서브넷을 연결하면 해당 VPC에 대한 라우팅이 자동으로 Client VPN 엔드포인트의 라우팅 테이블에 추가됩니다. 피어링된 VPC, 온프레미스 네트워크, 로컬 네트워크(클라이언트가 서로 통신할 수 있도록) 또는 인터넷과 같은 추가 네트워크에 대한 액세스를 활성화하려면 Client VPN 엔드포인트의 라우팅 테이블에 경로를 수동으로 추가해야 합니다.
**참고**
여러 서브넷을 Client VPN 엔드포인트에 연결 중인 경우 여기 [문제 해결 AWS Client VPN: 피어링된 VPC, Amazon S3 또는 인터넷에 대한 액세스가 간헐적임](intermittent-access.md)에 설명된 대로 각 서브넷에 대한 경로를 생성해야 합니다. 연결된 각 서브넷에는 동일한 경로 집합이 있어야 합니다.
## Client VPN 엔드포인트에서 분할 터널을 사용하기 위한 고려 사항
Client VPN 엔드포인트에서 분할 터널을 사용하면 VPN이 설정될 때 Client VPN 라우팅 테이블에 있는 모든 경로가 클라이언트 라우팅 테이블에 추가됩니다. VPN을 설정한 후 라우팅을 추가하는 경우 새 라우팅이 클라이언트로 전송되도록 연결을 재설정해야 합니다.
Client VPN 엔드포인트 라우팅 테이블을 수정하기 전에 클라이언트 디바이스가 처리할 수 있는 라우팅 수를 고려하는 것이 좋습니다.
**Topics**
+ [Client VPN 엔드포인트에서 분할 터널을 사용하기 위한 고려 사항](#split-tunnel-routes)
+ [엔드포인트 라우팅 생성](cvpn-working-routes-create.md)
+ [엔드포인트 라우팅 보기](cvpn-working-routes-view.md)
+ [엔드포인트 라우팅 삭제](cvpn-working-routes-delete.md)
# AWS Client VPN 엔드포인트 라우팅 생성
Client VPN 엔드포인트 라우팅을 생성할 때 대상 네트워크의 트래픽이 어떻게 전달될지 지정합니다.
클라이언트에게 인터넷 액세스를 허용하려면 대상 `0.0.0.0/0` 라우팅을 추가합니다.
콘솔과 를 사용하여 Client VPN 엔드포인트에 경로를 추가할 수 있습니다AWS CLI
**Client VPN 엔드포인트 라우팅을 생성하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 라우팅을 추가할 Client VPN 엔드포인트를 선택하고 **라우팅 테이블(Route table)**을 선택한 다음 **경로 생성(Create route)**을 선택합니다.
1. **Route destination(라우팅 대상 주소)**에 대상 네트워크의 IPv4 CIDR 범위를 지정합니다. 예:
+ Client VPN 엔드포인트의 VPC에 대한 경로를 추가하려면 VPC의 IPv4 CIDR 범위를 입력합니다.
+ 인터넷 액세스용 라우팅을 추가하려면 `0.0.0.0/0`을 입력합니다.
+ 피어링된 VPC에 대한 라우팅을 추가하려면 피어링된 VPC의 IPv4 CIDR 범위를 입력합니다.
+ 온프레미스 네트워크에 대한 경로를 추가하려면 AWS Site-to-Site VPN 연결의 IPv4 CIDR 범위를 입력합니다.
1. **대상 네트워크 연결용 서브넷 ID(Subnet ID for target network association)**에서 Client VPN 엔드포인트에 연결된 서브넷을 선택합니다.
또는 로컬 Client VPN 엔드포인트 네트워크에 대한 경로를 추가하려는 경우 `local`을 선택합니다.
1. (선택 사항) **설명(Description)**에 스냅샷에 대한 간략한 설명을 입력합니다.
1. **경로 생성**(Create route)을 선택합니다.
**Client VPN 엔드포인트 경로를 생성하려면(AWS CLI)**
[create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트 라우팅 보기
콘솔 또는 를 사용하여 특정 Client VPN 엔드포인트의 경로를 볼 수 있습니다AWS CLI
**Client VPN 엔드포인트 라우팅을 보려면(콘솔)**
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 라우팅을 보려는 Client VPN 엔드포인트를 선택하고 **라우팅 테이블(Route table)**을 선택합니다.
**Client VPN 엔드포인트 경로를 보려면(AWS CLI)**
[describe-client-vpn-routes](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-routes.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트 라우팅 삭제
수동으로 추가한 Client VPN 라우팅만 삭제할 수 있습니다. 서브넷을 Client VPN 엔드포인트에 연결할 때 자동으로 추가된 라우팅은 삭제할 수 없습니다. 자동으로 추가된 라우팅을 삭제하려면 해당 라우팅을 생성한 서브넷을 Client VPN 엔드포인트에서 연결 해제해야 합니다.
콘솔 또는 를 사용하여 Client VPN 엔드포인트에서 경로를 삭제할 수 있습니다AWS CLI
**Client VPN 엔드포인트 라우팅을 삭제하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 라우팅을 삭제할 Client VPN 엔드포인트를 선택하고 **라우팅 테이블(Route table)**을 선택합니다.
1. 삭제할 경로를 선택하고 **Delete route(경로 삭제)**, **Delete route(경로 삭제)**를 선택합니다.
**Client VPN 엔드포인트 경로를 삭제하려면(AWS CLI)**
[delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html) 명령을 사용합니다.
# AWS Client VPN 대상 네트워크
대상 네트워크는 VPC 안의 서브넷입니다. 클라이언트가 연결하여 VPN 연결을 설정할 수 있도록 AWS Client VPN 엔드포인트에 하나 이상의 대상 네트워크가 있어야 합니다.
구성할 수 있는 액세스 종류(예: 클라이언트가 인터넷에 액세스할 수 있도록 설정)에 대한 자세한 내용은 [ Client VPN의 시나리오 및 예제](how-it-works.md#scenario) 섹션을 참조하세요.
## Client VPN 대상 네트워크 요구 사항
대상 네트워크를 생성할 때 다음 규칙이 적용됩니다.
+ 서브넷에는 /27 비트마스크(예: 10.0.0.0/27)가 있는 CIDR 블록이 있어야 합니다. 또한 서브넷에는 항상 최소 20개의 사용 가능한 IP 주소가 있어야 합니다.
+ 서브넷의 CIDR 블록은 Client VPN 엔드포인트의 클라이언트 CIDR 범위와 겹칠 수 없습니다.
+ 하나 이상의 서브넷을 Client VPN 엔드포인트에 연결하는 경우 각 서브넷은 서로 다른 가용 영역에 있어야 합니다. 서브넷을 2개 이상 연결하여 가용 영역 중복성을 제공하는 것이 좋습니다.
+ Client VPN 엔드포인트를 생성할 때 VPC를 지정한 경우 서브넷은 동일한 VPC에 있어야 합니다. 아직 VPC를 Client VPN 엔드포인트에 연결하지 않은 경우 모든 VPC에서 서브넷을 선택할 수 있습니다.
이후의 모든 서브넷 연결은 동일한 VPC에서 이루어져야 합니다. 다른 VPC의 서브넷을 연결하려면 먼저 Client VPN 엔드포인트를 수정하고 연결된 VPC를 변경해야 합니다. 자세한 내용은 [AWS Client VPN 엔드포인트 수정](cvpn-working-endpoint-modify.md) 섹션을 참조하세요.
Client VPN 엔드포인트에 서브넷을 연결하면 연결된 서브넷이 프로비저닝되는 VPC의 로컬 경로가 자동으로 Client VPN 엔드포인트의 라우팅 테이블에 추가됩니다.
**참고**
대상 네트워크가 연결된 후 연결된 VPC에 CIDR을 추가하거나 제거할 때 다음 작업 중 하나를 수행하여 Client VPN 엔드포인트 라우팅 테이블의 로컬 경로를 업데이트해야 합니다.
대상 네트워크에서 Client VPN 엔드포인트를 분리한 다음 Client VPN 엔드포인트를 대상 네트워크에 연결합니다.
수동으로 경로를 추가하거나 Client VPN 엔드포인트 라우팅 테이블에서 경로를 제거합니다.
Client VPN 엔드포인트에 첫 번째 서브넷을 연결하면 Client VPN 엔드포인트의 상태가 `pending-associate`에서 `available`로 전환되고 클라이언트가 VPN 연결을 설정할 수 있게 됩니다.
**Topics**
+ [대상 네트워크 생성 요구 사항](#cvpn-create-target-reqs)
+ [엔드포인트에 대상 네트워크 연결](cvpn-working-target-associate.md)
+ [대상 네트워크에 보안 그룹 적용](cvpn-working-target-apply.md)
+ [대상 네트워크 보기](cvpn-working-target-view.md)
+ [엔드포인트에서 대상 네트워크 연결 해제](cvpn-working-target-disassociate.md)
# 대상 네트워크를 AWS Client VPN 엔드포인트와 연결
Amazon VPC 콘솔 또는 AWS CLI를 사용하여 하나 이상의 대상 네트워크(서브넷)를 Client VPN 엔드포인트와 연결할 수 있습니다. 대상 네트워크를 Client VPN 엔드포인트에 연결하기 전에 요구 사항을 숙지하세요. [대상 네트워크 생성 요구 사항](cvpn-working-target.md#cvpn-create-target-reqs)을(를) 참조하세요.
**Client VPN 엔드포인트에 대상 네트워크를 연결하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 대상 네트워크를 연결할 Client VPN 엔드포인트를 선택하고 **대상 네트워크 연결(Target network associations)**, **대상 네트워크 연결(Associate target network)**을 차례로 선택합니다.
1. **VPC**에서 서브넷이 있는 VPC를 선택합니다. Client VPN 엔드포인트를 생성할 때 VPC를 지정했거나 이전 서브넷 연결이 있는 경우 동일한 VPC여야 합니다.
1. **연결할 서브넷 선택(Choose a subnet to associate)**에서 Client VPN 엔드포인트에 연결할 서브넷을 선택합니다.
1. **대상 네트워크 연결(Associate target network)**을 선택합니다.
**대상 네트워크를 Client VPN 엔드포인트에 연결하려면(AWS CLI)**
[associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) 명령을 사용합니다.
# 의 대상 네트워크에 보안 그룹 적용 AWS Client VPN
Client VPN 엔드포인트를 만들 때 대상 네트워크에 적용할 보안 그룹을 지정할 수 있습니다. 첫 번째 대상 네트워크를 Client VPN 엔드포인트에 연결하면 연결된 서브넷이 위치하는 VPC의 기본 보안 그룹이 자동으로 적용됩니다. 자세한 내용은 [보안 그룹](client-authorization.md#security-groups) 단원을 참조하십시오.
Client VPN 엔드포인트의 보안 그룹을 변경할 수 있습니다. 필요한 보안 그룹 규칙은 구성하려는 VPN 액세스의 종류에 따라 다릅니다. 자세한 내용은 [ Client VPN의 시나리오 및 예제](how-it-works.md#scenario) 단원을 참조하십시오.
**대상 네트워크에 보안 그룹을 적용하는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 보안 그룹을 적용할 Client VPN 엔드포인트를 선택합니다.
1. **보안 그룹(Security Groups)**을 선택한 다음, **보안 그룹 적용(Apply Security Groups)**을 선택합니다.
1. **보안 그룹 ID(Security group IDs)**에서 해당 보안 그룹을 선택합니다.
1. **보안 그룹 적용(Apply Security Groups)**을 선택합니다.
**대상 네트워크에 보안 그룹을 적용하려면(AWS CLI)**
[apply-security-groups-to-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html) 명령을 사용합니다.
# AWS Client VPN 대상 네트워크 보기
콘솔 또는 를 사용하여 Client VPN 엔드포인트에 연결된 대상을 볼 수 있습니다AWS CLI
**대상 네트워크를 보는 방법(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 해당 Client VPN 엔드포인트를 선택하고 **대상 네트워크 연결(Target network associations)**을 선택합니다.
**를 사용하여 대상 네트워크를 보려면AWS CLI**
[describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) 명령을 사용합니다.
# AWS Client VPN 엔드포인트에서 대상 네트워크 연결 해제
대상 네트워크의 연결을 해제하면 대상 네트워크 연결 시 자동으로 생성된 경로(VPC의 로컬 경로)뿐만 아니라 Client VPN 엔드포인트의 라우팅 테이블에 수동으로 추가된 모든 경로가 삭제됩니다. Client VPN 엔드포인트에서 모든 대상 네트워크를 연결 해제하면 클라이언트가 더 이상 VPN 연결을 설정할 수 없습니다.
**Client VPN 엔드포인트에서 대상 네트워크를 연결 해제하려면(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 대상 네트워크가 연결된 Client VPN 엔드포인트를 선택하고 **대상 네트워크 연결(Target network associations)**을 선택합니다.
1. 연결 해제할 대상 네트워크를 선택하고 **연결 해제(Disassociate)**를 선택한 다음 **대상 네트워크 연결 해제(Disassociate target network)**를 선택합니다.
**Client VPN 엔드포인트에서 대상 네트워크를 연결 해제하려면(AWS CLI)**
[disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) 명령을 선택합니다.
# AWS Client VPN 최대 VPN 세션 기간 제한 시간
AWS Client VPN 는 Client VPN 엔드포인트에 대한 클라이언트 연결에 허용되는 최대 시간인 최대 VPN 세션 기간에 대한 몇 가지 옵션을 제공합니다. 보안 및 규정 준수 요구 사항을 충족하도록 지원하기 위해 더 짧은 최대 VPN 세션 기간을 구성할 수 있습니다. 기본적으로 최대 VPN 세션 기간은 24시간입니다. 최대 세션 기간을 설정하면 해당 제한 시간에 도달했을 때 해당 세션에서 무엇을 할지 제어할 수 있습니다. 세션 제한 시간 도달 시 연결 해제 옵션을 사용하면 세션을 종료하거나 엔드포인트에 대한 재연결을 자동으로 시도할 수 있습니다. 세션을 종료하면 최대 VPN 세션 기간을 적용하여 엔드포인트 보안을 더 잘 제어할 수 있습니다. 최대 시간에 도달했을 때 세션이 종료되도록 설정된 경우 VPN 연결을 다시 설정하려면 사용자가 다시 연결하고 인증 자격 증명을 제공해야 합니다.
세션 제한 시간 도달 시 연결 해제 설정이 자동 재연결로 설정된 경우, 최대 세션 시간에 도달하면
+ 캐시된 사용자 자격 증명(Active Directory) 또는 인증서 기반 인증(상호 인증) 시 새로운 세션이 자동으로 설정됩니다. 연결을 완전히 해제하고 자동으로 다시 연결하지 않으려면 이러한 사용자는 수동으로 연결을 해제해야 합니다.
+ 연동 인증(SAML)의 경우 새 세션이 자동으로 설정되지 않습니다. 이러한 사용자는 세션 제한 시간이 만료된 후 다시 인증하여 VPN 연결을 다시 설정해야 합니다.
**참고**
최대 VPN 세션 지속 시간 값이 현재 값에서 감소하면 새로 설정된 지속 시간보다 긴 기간 동안 엔드포인트에 연결된 모든 활성 VPN 세션이 연결 해제됩니다.
세션 제한 시간 도달 시 연결 해제 옵션을 변경하면 현재 열려 있는 모든 세션에 새 설정이 적용됩니다.
## AWS Client VPN 엔드포인트 생성 중 최대 VPN 세션 구성
VPN 세션 기간은 Client VPN 엔드포인트를 생성하는 동안 구성됩니다. Client VPN 엔드포인트를 생성하고 최대 세션 기간을 설정하는 단계는 [AWS Client VPN엔드포인트 생성](cvpn-working-endpoint-create.md) 섹션을 참조하세요.
**Topics**
+ [엔드포인트 생성 중 최대 VPN 세션 구성](#configure-max-duration-endpoint-creation)
+ [현재 최대 VPN 세션 기간 보기](display-max-duration.md)
+ [최대 VPN 세션 기간 수정](modify-max-timeout.md)
# AWS Client VPN 현재 최대 VPN 세션 기간 보기
현재 Client VPN 최대 VPN 세션 기간을 보려면 다음 단계를 사용합니다.
**Client VPN 엔드포인트에 대한 현재 최대 VPN 세션 기간 보기(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **Client VPN 엔드포인트(Client VPN Endpoints)**를 선택합니다.
1. 보려는 Client VPN 엔드포인트를 선택합니다.
1. **세부 정보(Details)** 탭이 선택되어 있는지 확인합니다.
1. **세션 제한 시간** 옆의 현재 최대 VPN 세션 기간과 **제한 시간 연결 해제**가 활성화 또는 비활성화되어 있는지 확인합니다.
**Client VPN 엔드포인트에 대한 현재 최대 VPN 세션 기간 보기(AWS CLI)**
[describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html) 명령을 사용합니다.
# 최대 AWS Client VPN 세션 기간 및 제한 시간 동작 수정
기존 클라이언트 VPN의 최대 VPN 세션 기간을 수정하고 세션 시간 초과 시 연결 해제 동작을 변경하려면 다음 단계를 따릅니다.
**Client VPN 엔드포인트에 대한 기존 최대 VPN 세션 기간 수정(콘솔)**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창에서 **클라이언트 VPN 엔드포인트(Client VPN endpoints)**를 선택합니다.
1. 수정할 Client VPN 엔드포인트를 선택하고 **작업(Actions)**을 선택한 다음 **Client VPN 엔드포인트 수정(Modify Client VPN Endpoint)**을 선택합니다.
1. **세션 제한 시간(Session timeout hours)**에서 원하는 최대 VPN 세션 기간(시간)을 선택합니다.
1. **세션 제한 시간 도달 시 연결 해제**에서 최대 세션 제한 시간에 도달했을 때 세션 연결을 해제할지 여부를 선택합니다. 기본적으로 엔드포인트를 처음 수정할 때 이 기능이 해제됩니다.
1. **클라이언트 VPN 엔드포인트 수정(Modify Client VPN endpoint)**을 선택합니다.
**Client VPN 엔드포인트에 대한 기존 최대 VPN 세션 기간 수정(AWS CLI)**
[modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 명령을 사용합니다.