Respect One step

퍼블릭 클라우드 환경에서 계정 간 리소스 접근은 필수적이다.해당 글에서는 Cross Accont Role을 학습하고자 두 개의 AWS 계정(A, B) 사이에서 B 계정이 A 계정의 리소스에 접근할 수 있도록 Cross-Account Role을 구성하고, sts:AssumeRole 을 통해 접근하는 과정을 실습하겠다. STS와 AssumeRole AWS STS(Security Token Service)의 AssumeRole은다른 IAM Role의 권한을 임시로 획득할 수 있도록 해주는 API 호출이다. IAM 사용자나 외부 자격 증명으로 AWS 리소스에 대한 액세스 권한을 부여하고 세밀하게 엑세스 권한을 조정할 수 있다.일시적인 자격 증명을 사용하기 때문에 보안성이 높다. STS가 발급하는 임시 자격 증명..

AWS VPC 보안의 핵심이자 가상 방화벽 기능을 하는 NACL과 보안그룹에 대해 정리해볼려고 한다. Network ACL (NACL): 서브넷 레벨에서 네트워크 접근을 제어하는 Stateless 방화벽=> inbound에서 허용된 트래픽도 outbound는 별도로 허용해야 한다. Security Group (보안 그룹): 인스턴스(ENI) 단위로 적용되는 Stateful 방화벽=> inbound에서 허용된 트래픽은 outbound도 자동으로 허용된다. 항목NACLSecurity Group적용 범위서브넷 단위인스턴스 (ENI) 단위상태 저장 여부Stateless (상태 비저장)Stateful (상태 저장)인바운드/아웃바운드둘 다 명시적으로 설정해야 함인바운드만 설정=>아웃바운드는 자동 허용규칙 평가 ..

terraform을 실습해보기 위해 S3 버킷과 간단한 보안 설정을 진행해보았다.  S3 버킷을 생성 및 보안 설정 적용결과  terraform show를 통해 상태 파일 내용을 확인해볼 수 있다.     (1) S3 목록   (2) Cloudtrail    (3) 파일 업로드 등 테스트 후 log 디렉토리 상태     아래는 사용한 코드의 일부와 실행결과를 조합하여 나열해보았다. - 버킷에 퍼블릭 액세스를 완전히 차단resource "aws_s3_bucket_public_access_block" "nog" { bucket = aws_s3_bucket.nog.id block_public_acls = true block_public_policy = true ignore_public..

Terraform은 IaC (Infrastructure as Code) 를 구현하는 도구로 코드로 서버와 같은 IT 인프라를 쉽게 배포하고 관리할 수 있다.IaC는 인프라를 코드로 정의하고 관리하는 방식으로  예를 들어, 서버나 데이터베이스를 직접 생성하고 설정하는 대신, 코드로 작성할 수 있다. => 버전 관리가 가능하고, 일관된 환경을 반복적으로 재사용할 수 있다. - AWS, Azure, GCP 같은 클라우드 서비스뿐만 아니라 다양한 플랫폼에서도 사용 가능하며, 여러 클라우드를 동시에 관리할 수 있다.- 기존에 수동으로 만든 리소스도 Terraform을 사용하면 코드로 관리할 수 있다.- Terraform은 명령형 방식이 아니라 선언형 방식의 IaC 도구로 사용자가 최종적으로 원하는 상태를 코드로 ..

지금까지 학습한 것을 통해서 만들어볼 것을 생각해보다가 IAM 정책을 모니터링하는 프로젝트를 진행해보기로 하였다.Lambda가 실행되었을 때 IAM 정책을 돌면서 admin 권한을 가진 유저를 찾아내고 로깅 및 이메일로 전달해주는 시스템을 만들어 볼 것이다.추가적으로 공부 목적으로  RDS(mysql), SNS, CloudWatch, EventBridge 를 전부 얕게 실습해 볼 것이다. 중간중간 정말 별 것도 아닌 것에 굉장히 오랫동안 시간이 끌렸지만 이런 것들도 시간을 버렸다고 생각하지 않기로 했다. 간단하게 한 과정들을 적어보겠다.   RDS 생성 및 설정 -RDS는 관계형 데이터베이스를 제공하는 서비스이며 EC2 인스턴스 타입과 스토리지 EBS 타입을 내부적으로 활용한다.사용자가 데이터베이스의 운..

※ 개인적으로 공부하면서 정리한 글이며 틀린 내용 있다면 알려주시면 감사합니다.  KMS (Key Management Service) 그림출처 : https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/overview.html 테이터를 암호화할 때 쓰이는 암호화 키 A 를 보호해야 한다.A 키를 암호화하는 경우 A키를 암호화한 키 B 를 보호해야 한다.KMS는 최상위 레벨의 암호화 키(루트키)를 보호한다. KMS는 데이터를 암호화할때 사용되는 Key에 대한 전체적인 관리 (생성, 활용, 보관, 무효화, 삭제 등)를 담당한다.암호화 Key의 클라우드 서비스를 통해 중앙 집중식으로 관리  KMS 특징  -중앙집중식 제어KMS 키의 수명 주기와 권한을 중앙집..

AWS WAF (Web Application Firewall)  그림출처 : https://medium.com/@nuatmochoi/aws-waf-%EC%A0%81%EC%9A%A9-%EC%A0%84-%EC%98%81%ED%96%A5%EB%8F%84-%EC%8B%9D%EB%B3%84%ED%95%98%EA%B8%B0-b89aa6b2499b -웹 어플리케이션 방화벽으로 웹 공격으로부터 보호하고, 트래픽 가시성을 제공하며,서비스별 보안 정책에 따라 비인가적 행위를 탐지하거나 차단하는 역할을 담당한다.- SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 다양한 웹 기반 공격으로부터 보호하며, 사용자 정의 규칙을 설정하여 트래픽을 제어할 수 있다. - 공식 문서에는 AWS WAF에 보호된 리소스가 HTTP(S) ..

블록 스토리지 (Block storage) 데이터를 일정한 크기의 블록으로 나누어 저장하는 방식블록은 고유한 주소가 있고 이를 통해 블록을 재구성하여 데이터를 불러올 수 있다. -파일을 저장 시 블록 단위의 작업을 지원하기 때문에 변경된 데이터만 최신화해주면 된다.낮은 I/O 레이턴시 와 Read/Write 작업이 빠르다.즉 자주 파일이 업데이트 되고 Read/Write 작업이 빈번한 경우에 적합하다.   EBS ( Elastic Block Store) - EC2 인스턴스와 네트워크로 연결- 물리적 머신의 로컬 디스크 드라이브와 유사하게 EC2 인스턴스에 연결된 프로비저닝 된 크기의 볼륨에 데이터를 저장( EC2와 함께 사용, 독립형 스토리지가 아니다.)- EC2  인스턴스가 종료되어도 별개로 작동하여 ..

참고(1)https://www.youtube.com/watch?v=r84IuPv_4TI(2)https://www.youtube.com/@AWSClassroom(3)https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-VPC-%EA%B0%9C%EB%85%90-%EC%82%AC%EC%9A%A9-%EC%82%AC%EC%84%A4-IP-%ED%86%B5%EC%8B%A0%EB%A7%9D-NAT-Gateway-Bastion-Host(4)https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-VPC-%EC%82%AC%EC%9A%A9-%EC%84%9C%EB%B8%8C%EB%84%B7-%EC%9D%B8%ED%84%B0%EB%84%B7-%EA%B2%8C%EC%..

참고(1)https://www.youtube.com/@AWSClassroom(2)https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-EC2-%EC%98%A4%ED%86%A0-%EC%8A%A4%EC%BC%80%EC%9D%BC%EB%A7%81-ELB-%EB%A1%9C%EB%93%9C-%EB%B0%B8%EB%9F%B0%EC%84%9C-%EA%B0%9C%EB%85%90-%EA%B5%AC%EC%B6%95-%EC%84%B8%ED%8C%85-%F0%9F%92%AF-%EC%A0%95%EB%A6%AC(3)https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-ELB-Elastic-Load-Balancer-%EA%B0%9C%EB%85%90-%EC%9B%90%..