1. 개요

Amazon EC2를 사용하면 다양한 방법으로 EC2에 접근이 가능합니다. EC2가 Public Subnet에 노출되어 있다면 Public IP로 바로 접근 하거나, 일반적으로는 Bastion Host를 별도로 구성하여 한 번 거쳐서 접근을 하게 됩니다. 최근에 들어서는 keypair 관리에 들어가는 Effort와 보안적인 Risk를 줄이기 위해 IAM 기반의 사용자 접근 제어를 통한 AWS System Manager Session Manager를 사용하기도 합니다. 하지만 폐쇄된 VPC(IGW, NGW 가 없는 Private Subnet만 존재하는) 환경일 경우 AWS System Manager Session Manager를 사용할 수 없는 상황이 발생할 수 있습니다.
Amazon EC2 Instance Connect Endpoint는 이러한 폐쇄된 VPC 환경에 존재하는 Amazon EC2 인스턴스로 접근 가능하도록 하는 서비스 입니다.
이번 블로그에서는 Amazon EC2 Instance Connect Endpoint 사용하여 Amazon EC2에 접근하는 방법과 장점을 알아보도록 하겠습니다.

2. 내용

2.1 Pain point
다음은 일반적으로 사용되는 대표적인 두 가지 EC2 접근 방식의 Pain point를 살펴 보도록 하겠습니다.
2.1.1 Bastion Host

위 아키텍처 다이어그램은 Bastion Host를 통해 Private 환경의 Amazon EC2에 접근하는 일반적인 아키텍처 입니다. Bastion Host를 사용하여 Private Subnet의 EC2에 접근한다면 keypair 기반의 접속을 동반하게 됩니다. 이러한 아키텍처에는 다음과 같은 Pain point를 가질 수 있습니다.

Pain point

• 지속적인 keypair 관리 이슈
  • 1인 1계정 사용 시 많은 기회비용 발생
  • 퇴사자 발생 시 keypair 관리 필요
• 폐쇄망에서 사용 불가능
  • VPN 등 다른 Workaround 방식 필요
• 추가 리소스 사용으로 인한 자원 비용 및 관리 에포트 추가 발생
• 일원화 된 접근 제어, 모니터링 불가
  • 추가적인 작업 혹은 솔루션이 필요