SAA-C03 Q681 · Networking

Question

한 회사가 프라이빗 서브넷에 Amazon Linux AMI 를 사용하여 비프로덕션 Amazon EC2 인스턴스를 배포했습니다. 이 회사는 EC2 인스턴스를 인터넷에 노출하지 않고 개발자 그룹이 SSH 를 사용하여 원격으로 EC2 인스턴스에 연결할 수 있도록 하려고 합니다. 개발자는 AWS Management Console 을 통해 EC2 인스턴스에 연결할 수 있어야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

문제의 핵심 요구사항을 하나씩 확인하면:

**1. 프라이빗 서브넷의 EC2 인스턴스** → 인터넷 게이트웨이/NAT 없이 접근 가능한 방법 필요
**2. 인터넷에 노출하지 않고 SSH 접속** → 퍼블릭 IP 불필요, 프라이빗 연결 경로 필요
**3. AWS Management Console을 통해 연결** → 콘솔 기반 SSH 브라우저 셸 지원 필요

**EC2 Instance Connect Endpoint (EIC Endpoint)**가 이 모든 요구사항을 충족합니다:

- EIC Endpoint를 프라이빗 서브넷에 생성하면, AWS 내부 네트워크를 통해 프라이빗 인스턴스에 SSH 터널을 만듦
- 인스턴스에 퍼블릭 IP가 필요 없고, 인터넷에 노출되지 않음
- AWS Console에서 'Connect' 버튼으로 바로 SSH 세션을 열 수 있음

**보안 그룹 포트 443 설정 이유:**
- EIC Endpoint는 클라이언트(개발자)로부터 **HTTPS(443)** 를 통해 WebSocket 연결을 수신함
- 개발자 → (443) → EIC Endpoint → (22) → EC2 인스턴스 흐름
- EIC Endpoint의 인바운드는 443, EC2 인스턴스의 인바운드는 22가 필요

**IAM 정책:**
- 개발자 그룹에 `AmazonEC2InstanceConnect` IAM 관리형 정책을 할당하여 EIC Endpoint를 통한 연결 권한 부여

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁