[AWS] Amazon VPC IPAM - 중앙 정책 기능 설정 방법

AWS는 VPC IPAM에 대해 IP 할당 전략을 중앙에서 정책으로 강제(enforce) 하는 기능을 정식 출시했습니다. 이를 통해 NAT Gateway, Elastic IP(EIP) 등 퍼블릭 IPv4 주소가 반드시 지정한 IPAM 풀에서만 할당되도록 보장할 수 있게 되었습니다.

기존에는 애플리케이션 팀이나 운영자가 IP 할당 방식을 “준수 약속” 형태로 의존해야 했지만, 이번 업데이트로 정책이 기술적으로 강제되므로 실수, 누락, 규칙 위반 등의 리스크가 줄어듭니다.

 

개념

먼저 IPAM이 무엇이고, 어떻게 동작하는지 간단히 정리합니다.

• IPAM은 조직 전체의 IP 주소 공간(CIDR)을 풀(pool) 단위로 계층 구조를 구성하여 관리합니다. 풀은 최상위 풀(top-level pool), 리전 풀(region pool), 그리고 필요시 환경별 하위 풀(dev, prod 등)으로 나눌 수 있습니다.
• 새 VPC 생성, EIP 할당, NAT Gateway 생성 등 IP를 요구하는 리소스는 이 풀에서 할당된 IP를 사용하게 할 수 있으며, 이를 통해 주소 충돌을 방지하고 IP 자산을 중앙에서 추적할 수 있습니다.
• IPAM은 IP 사용 현황, 남은 주소 공간, 할당 이력 등을 대시보드와 로그로 보여주기 때문에, 운영자 입장에서 네트워크 관리 및 감사(audit)에 유리합니다.

이번에 추가된 정책(policy) 기능은 위 구조 위에 “공용 IPv4 주소를 할당할 때 어떤 풀을 쓸지, 그리고 어떤 리소스에 정책을 적용할지”를 강제하는 수단을 제공합니다.

적용 가능 리소스

이번 업데이트로 정책을 이용해 퍼블릭 IPv4 주소를 할당할 수 있는 리소스는 다음과 같습니다.

• Elastic IP (EIP)
• Regional 모드의 NAT Gateway

즉, 퍼블릭 IP가 필요한 중요한 리소스를 대상으로 정책을 적용할 수 있습니다. 만약 IPAM 정책이 적용된 계정이라면, 리소스 생성 시 AWS가 자동으로 정책을 체크하고 지정된 풀에서 주소를 할당합니다.

정책은 AWS 계정 단위, 또는 조직 전체(여러 계정 및 리전 포함)에 적용할 수 있으며, 특히 AWS Organizations 과 연동하면 멀티 계정/멀티 리전 환경에서도 일관된 IP 전략을 유지할 수 있습니다.

설정 절차

아래는 IPAM 정책을 생성하고 공용 IPv4 할당을 중앙에서 통제하도록 설정하는 기본 흐름입니다.

1. IPAM + IPAM 풀 준비

먼저 IPAM이 존재해야 하며, 퍼블릭 IPv4 풀(public IPv4 pool)이 설정되어 있어야 합니다. 이미 IPAM을 사용하고 있다면 이 단계는 건너뛸 수 있습니다.

풀 구성 예시:

• 최상위(pool) → 리전별 풀 → (필요 시) 환경별 하위 풀
• 퍼블릭 IPv4 풀은 NAT Gateway, EIP 등 공용 리소스에 할당할 용도
• 프라이빗 풀은 내부 VPC / 사설 네트워크 용도

필요한 경우, BYOIP(Bring Your Own IP) 블록이나 AWS가 제공하는 연속 IPv4 CIDR 블록을 풀에 프로비저닝할 수 있습니다.

2. IPAM 정책(IPAM Policy) 생성

IPAM 정책은 하나 이상의 규칙(rule) 집합으로 구성되며, 각 규칙은 특정 리소스 유형 → 특정 IPAM 풀 매핑을 정의합니다.

콘솔 기준 절차:

1. AWS Management Console → VPC → IPAM → Policies 메뉴
2. “Create policy” 클릭
3. 이름 입력, 대상 IPAM 선택, (선택 사항) 태그 추가
4. 생성

CLI 예시:

aws ec2 create-ipam-policy --description "Enforce public IPv4 allocation" --ipam-id ipam-0abc1234

 

3. 할당 규칙(Allocation Rule) 정의

정책을 생성한 후, 어떤 리소스에 어떤 풀을 쓸지 규칙을 정의합니다. 예를 들어:

• Resource type: ElasticIp → IPAM 풀 public-ipam-pool-prod-1
• Resource type: NatGateway (Regional) → 동일 또는 다른 풀

콘솔 예시 흐름:

• Policies → 해당 정책 선택 → Allocation rules 탭 → Create allocation rule
• Region(리전) 선택, Resource type 선택, IPAM pool 선택 → 저장

한 정책에 여러 규칙(rule)을 둘 수 있고, 여러 리전이나 리소스 타입에 적용할 수 있습니다.

4. 정책 적용 대상 지정

정책은 특정 AWS 계정 또는 AWS Organizations 내 OU / 계정 그룹 전체에 적용할 수 있습니다. 멀티 계정 환경이라면 Advanced Tier + Organizations 통합을 통해 조직 전체에 걸쳐 정책을 강제하는 것이 좋습니다.

5. 리소스 생성 & 정책 동작 확인

정책이 설정된 후, EIP 할당 또는 NAT Gateway 생성 시 자동으로 정책이 적용됩니다. 만약 IPAM 풀의 주소가 고갈되었고 overflow 허용이 설정되었다면, Amazon 관리형 IP 주소로 fallback 됩니다.

이 동작을 통해 다음을 기대할 수 있습니다:

• 공용 IPv4 주소가 항상 지정한 풀에서 할당됨 → IP 전략 일관성 보장
• 보안 그룹, ACL, 라우팅, 방화벽 룰 등에 IP 기반 필터를 안정적으로 적용 가능
• 누락·오발급·인적 실수 위험 감소

고려사항

• 풀의 IP 용량 관리
  IPAM 풀의 남은 주소 공간을 주기적으로 모니터링해야 합니다. 풀 고갈 시 fallback 동작이 발생할 수 있으므로, 계획적으로 풀을 확장하거나 새로운 풀을 프로비저닝하는 것이 좋습니다.
• BYOIP 또는 연속 IPv4 CIDR 활용
  퍼블릭 IP를 많이 사용하는 조직이라면, BYOIP나 AWS 연속 IPv4 블록을 풀로 가져와 사용하면 비용 및 관리 측면에서 유리합니다.
• 멀티 계정 / 멀티 리전 환경 고려
  조직에서 여러 AWS 계정이나 리전을 사용한다면, IPAM + Organizations + 정책 조합으로 전체 네트워크를 통일된 방식으로 관리하는 것이 효과적입니다. 특히 Advanced Tier 사용 시 권장됩니다.
• 인프라 자동화 및 IaC 대응
  IPAM 정책 및 풀 설정을 Infrastructure as Code(IaC) — Terraform, CloudFormation, CDK 등 — 으로 관리하면, 팀 간 일관성 확보 및 재현 가능한 네트워크 환경 구축에 도움이 됩니다.

요약

• IPAM 정책 기능을 통해 공용 IPv4 주소 할당을 중앙에서 통제할 수 있게 되었습니다.
• Elastic IP, Regional NAT Gateway 같은 퍼블릭 리소스를 대상으로 정책을 정의하고, 지정된 IPAM 풀에서만 주소를 할당하도록 설정할 수 있습니다.
• 멀티 계정/멀티 리전 환경에서도 정책 강제가 가능하며, 네트워크 보안과 거버넌스 측면에서 유리합니다.
• 설정 절차는 비교적 간단하며, 풀 준비 → 정책 생성 → 규칙 정의 → 리소스 생성 흐름으로 진행됩니다.
• 운영 시에는 IP 풀 용량 모니터링, BYOIP 활용, IaC 적용 등을 병행하면 효과가 큽니다.