기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Site-to-Site VPN 터널 인증 옵션
<a name="vpn-tunnel-authentication-options"></a>

사전 공유 키 또는 인증서를 사용하여 Site-to-Site VPN 터널 엔드포인트를 인증할 수 있습니다.

## 사전 공유 키
<a name="pre-shared-keys"></a>

사전 공유 키(PSK)는 Site-to-Site VPN 터널의 기본 인증 옵션입니다. 터널을 생성할 때 자체 PSK를 지정하거나 AWS가 자동으로 생성하도록 허용할 수 있습니다. PSK는 다음 방법 중 하나를 사용하여 저장됩니다.
+ Site-to-Site VPN 서비스에 직접. 자세한 내용은 [AWS Site-to-Site VPN 고객 게이트웨이 디바이스](your-cgw.md) 섹션을 참조하세요.
+ 보안 강화를 위해 AWS Secrets Manager에. Secrets Manager를 사용한 PSK 저장에 대한 자세한 내용은 [Secrets Manager를 사용하여 보안 기능 향상](enhanced-security.md) 섹션을 참조하세요.

그런 다음 고객 게이트웨이 디바이스를 구성할 때 PSK 문자열이 사용됩니다.

## 의 프라이빗 인증서AWS Private Certificate Authority
<a name="certificate"></a>

사전 공유 키를 사용하지 않으려면 AWS Private Certificate Authority의 사설인증서를 사용하여 VPN을 인증할 수 있습니다.

하위 CA에서 AWS Private Certificate Authority(AWS Private CA)를 사용하여 사설 인증서를 만들어야 합니다. ACM 하위 CA에 서명하려면 ACM 루트 CA 또는 외부 CA를 사용할 수 있습니다. 프라이빗 인증서 생성에 대한 자세한 내용은 *AWS Private Certificate Authority 사용 설명서*의 [프라이빗 CA 생성 및 관리](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)를 참조하세요.

Site-to-Site VPN 터널 엔드포인트의 AWS 측에 대한 인증서를 생성하고 사용하려면 서비스 연결 역할을 만들어야 합니다. 자세한 내용은 [Site-to-Site VPN 서비스 연결 역할](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked) 섹션을 참조하세요.

**참고**  
원활한 인증 교체를 용이하게 하기 위해 `CreateCustomerGateway` API 직접 호출에 원래 지정된 것과 동일한 인증 기관 체인을 가진 모든 인증서는 VPN 연결을 설정하기에 충분합니다.

고객 게이트웨이 디바이스의 IP 주소를 지정하지 않으면 IP 주소가 확인되지 않습니다. 이 작업을 통해 VPN 연결을 다시 구성할 필요 없이 고객 게이트웨이 디바이스를 다른 IP 주소로 이동할 수 있습니다.

Site-to-Site VPN은 인증서 VPN을 생성할 때 고객 게이트웨이 인증서에 대한 인증서 체인 확인을 수행합니다. 기본 CA 및 유효성 확인 외에도 Site-to-Site VPN은 권한 키 식별자, 주체 키 식별자 및 기본 제약 조건을 포함하여 X.509 확장이 있는지 확인합니다.