AWS ElastiCache에 Bastion 호스트와 SSM을 사용하여 로컬호스트에서 액세스하기

사설 서브넷의 Redis (ElastiCache)와 같은 서비스에 안전하게 접근하려면, SSM (Session Manager)을 사용하는 배스천 호스트를 설정하여 공용 인터넷에 아무것도 노출하지 않고 localhost에서 요청을 터널링할 수 있습니다. 이 인프라 설정에는 공용 서브넷의 배스천 EC2 인스턴스, 사설 서브넷의 Redis ElastiCache 클러스터, 제한된 접근을 허용하는 보안 그룹이 포함됩니다. Terraform 리소스를 사용하여 배스천 호스트, SSM용 IAM 역할, 배스천 호스트 보안 그룹, ElastiCache Redis 클러스터 및 Redis 보안 그룹을 생성합니다. 배스천 호스트 보안 그룹은 필요한 포트로만 이그레스(송신)를 허용하고, Redis 보안 그룹은 배스천 호스트로부터의 인그레스(수신)만 허용합니다. ElastiCache Redis 클러스터는 특정 노드 유형, 포트 및 서브넷 그룹으로 생성됩니다. Localhost에서 Redis에 접근하려면 AWS CLI를 사용하여 SSM 세션을 시작한 다음, 배스천 호스트를 사용하여 Redis에 연결합니다. 이 설정을 통해 공용 인터넷에 Redis를 노출하지 않고 안전하게 접근할 수 있습니다. 보안 모범 사례에는 IP 또는 CIDR 제한, 사설 서브넷 사용, 이그레스/인그레스 트래픽 제한, SSH보다 SSM 선호, VPC 피어링 또는 VPN을 통해 연결된 후 공용 IP 제거 등이 있습니다. 이 설정은 안전하며 Redis 클러스터 테스트 및 검사를 허용합니다. 이러한 단계를 따르면 사설 서브넷에서 Redis 클러스터에 안전하게 접근할 수 있습니다.