728x90 [AWS 기타]16 AWS-Vault AWS Vault란? AWS 계정에는 accesskey, secret access key 가 존재한다. 이는 노출이 되면 안된다. 그래서 하드코딩으로 적어놓지 않고 별도의 환경파일로 만들어서 적용하는 방식으로 사용한다. 하지만 이 방법 역시 보안적으로 안전한게 아니다. AWS vault는 AWS 명령줄을 사용하기위한 보안 키를 각 환경의 보안공간에 안전하게 보관해 주는 도구이다.Mac의 경우 키체인, 윈도우의 경우 자격증명 관리자 등을 통해서 키를 사용할 때에도 직접 사용하지 않고 임시 세션키를 발급받아서 사용한다. 이 임시 세션키를 발급받아 사용하기에 유출사고가 있더라도 세션의 유효기간만 동작하기에 비교적으로 안전하다. https://www.youtube.com/watch?v=waFOnh8oIE.. 2024. 7. 28. VPN이란 무엇인가? VPN이란 무엇인가? VPN은 Virtual Private Network의 약자로 가설 사설망을 뜻한다. 인터넷 프라이버시를 지키기 위한 도구로 널리 사용되기 전에는 멀리 떨어진 네트워크 환경을 하나의 안전한 네트워크로 만드는 역할을 했다. 예를 들어 회사 내부 네트워크에서만 접속 가능한 서버를 집에서 접속하기 위해서 VPN을 이용해 마치 회사 내부 네트워크에 있는것처럼 만드는 역할을 했다. VPN을 사용하는 이유 인터넷에 연결된 모든 장치는 브라우저, 명령줄 또는 기타 방법을 사용해 장치를 식별하며 연결하는데 사용하는 공인 IP 주소가 있다. 이 작업을 수행하기 위해 데이터는 인터넷을 통해 전송되며 IP 주소같은 정보를 포함하는데 이 정보를 안전하지 않은 네트워크를 통해 전송한다면 차단될 수 있다. 인.. 2023. 2. 8. [참고] AWS 인프라 구축 실습 9회 - AutoScaling AWS 인프라 구축 실습 9회 - AutoScaling AWS 오토스케일링 아키텍처 구성도 사전준비사항 1. 대상그룹 : "new-tg-asg" /var/www/html/index.html * 사전준비사항과 탄력적IP(EIP)설정은 이전강의에서도 나와 있으므로의 시연과정에서는 생략합니다. 설정 절차 1. ALB : "new-Asg-ALB" 생성 2. AMI 생성(EC2 이미지) : "new-ami" 3. AutoScaling 시작구성 생성 : "new-LC" 4. AutoScaling 그룹 생성 "new-ASG" 5. Route53 등록 6. ACM 등록 7. AutoScaling 조정정책 설정 8. 부하테스트 실습내용 - HTTPS 인증서 발급 - 오토스케일링 시연 - Autoscale Out : CP.. 2023. 1. 25. [AWS] Nitro system 이란?(AWS 5세대 인스턴스) 지난해 2018년 3월 이후 Amazon EC2 5세대 인스턴스가 서울리전에 출시되었습니다. 정확한 출시일은 M5 인스턴스는 2018년3월13일, C5 인스턴스는 2018년 4월10일, R5 인스턴스는 2018년9월20일 입니다. 벌써출시된지 1년 이상 되었네요. 세대가 바뀌면서 가격도 저렴해지고, 성능은 증가했기 때문에 막 출시되었을 당시 M4에서 M5으로 변경하고자하는 고객의 요구가 많았습니다. 요구에 맞게 M4 -> M5으로 타입을 변경을 시작했을때 참 이슈가 많았습니다. 바로 NVMe 와, ENA 때문이었죠. EC2가 5세대로 접어들면서 AWS는 Nitro 시스템을 도입하였습니다. Nitro 시스템은 NVMe와 ENA을 도입하였고 이에 필요한 드라이버가 기존 4세대에 포함되지 않아서 문제였습니다... 2023. 1. 22. Squid로 NAT 인스턴스에 DNS 필터링을 추가하는 방법 고객이 아웃바운드 통신을 제어하고 싶다는 요구사항이 있다. 이럴때의 해결 방법에대하여 검색하니 Squid라는 proxy를 이용하여 NAT Instance처럼 사용하는 방법이 있었다. Amazon VPC (Virtual Private Cloud)를 사용하면 사용자가 정의한 가상 사설 망에서 AWS 리소스를 시작할 수 있다. Amazon VPC에서 NAT 인스턴스와 NAT 게이트웨이를 이용하여 아웃바운드 트래픽을 허용한다. 보안 및 컴플라이언스를 위해 이러한 인스턴스에서 시작한 요청을 필터링해야 할 수 있다. iptables 규칙을 사용하면 사전 정의 된 대상 포트 또는 IP 주소를 기반으로 NAT 인스턴스로 아웃 바운드 트래픽을 제한 할 수 있다. 그러나 iptables 규칙을 사용하여 쉽게 달성 할 수없.. 2023. 1. 19. AWS - Route53 Route53 DNS(Domain Name System) 서비스(도메인 네임을 IP주소로 변환) Route53의 기능 Route53의 주요 레코드 유형 Route53 라우팅 정책 단순(Simple) 라우팅 도메인 네임을 도메인 네임 or IP주소로 라우팅 라우팅 대상(IP 주소)이 여러개일 경우 랜덤하게 라우팅됨 가중치 기반(Weighted) 라우팅 접속자가 요청하는 횟수의 가중치(%)를 기준으로 라우팅하는 방법 트래픽을 분산하거나 버전이 다른 애플리케이션을 테스트 하는 경우 유용 지연시간(Latency) 라우팅 가장 짧은 지연시간을 제공하는 리전으로 라우팅하는 기반 장애조치(Failover) 라우팅 기본 라우팅이 실패하면 보조 라우팅으로 자동 변경되는 방식 * 보조 라우팅은 상태검사가 없음 지리적위치(.. 2023. 1. 19. AWS API Gateway Private Rest 만들기 VPC Endpoint 생성 → Private Rest API 생성→ 프록시 Lambda 생성 → Private Rest API 서비스 및 메소드 생성 → VPC 권한 정책 수정 → Rest API 배포 [ Private Rest API 생성하기 ] AWS VPC Endpoint 생성 [ VPC Endpoint 생성 ] API Gateway 용 VPC 엔드포인드 생성이 필요 통신 하고자 하는 VPC 와 연결 필요 [ Execute api 서비스 엔드포인트 생성 ] 서비스 이름을 execute로 검색후 execute-api 선택 VPC 항목에 연결하고자 하는 VPC ID 선택 AWS 콘솔에서 API Gateway 검색 후 신규 API 생성 [ API 생성 클릭 ][ Rest Api Private - 구축 .. 2023. 1. 19. Amazon API Gateway 기반 VPC Link 활용 방법 Amazon API Gateway는 어떤 규모에서든 개발자가 API를 손쉽게 생성, 게시, 유지 관리, 모니터링 및 보호할 수 있도록 지원하는 완전관리형 서비스입니다. 백엔드 서비스의 데이터, 비즈니스 로직 또는 기능에 액세스할 수 있도록 “현관문” 역할을 하는 API를 클릭 몇번으로 생성할 수 있습니다. API Gateway에서 액세스하는 백엔드가 프라이빗 VPC 안에 있는 EC2와 같은 리소스일 때 어떻게 안전하고 빠르게 액세스할 수 있을까요? 이전에는 API Gateway가 인터넷을 경유해서 백엔드에 액세스했어야 했기 때문에 경로가 복잡해지면서 Latency도 추가적으로 늘어가는 단점이 있었지만, 이제는 VPC Link라고 하는 프라이빗 VPC와의 엔트포인트를 통합하는 기능을 활용하여 API Gat.. 2023. 1. 19. [AWS] VPC Peering과 Transit Gateway 비교 AWS에는 VPC(Virtual Private Cloud)라는 가상의 사설 네트워크망을 구축할 수 있는 서비스가 있습니다. VPC를 이용하면 기존 온프레미스 형태와 마찬가지로 외부에서 접근할 수 없는 사설(Private) 네트워크망을 구축할 수 있습니다. 이 사설 네트워크 망은 다양한 방법으로 구분하여 사용하는데 일반적으로 개발, 운영, 검증 과 같이 시스템 환경에 따라 구분하는 방법이 있으며 경우에 따라 서비스 별로 구분하여 설계하기도 합니다. 각각의 VPC에 구축되어있는 VM서버들은 기본적으로 통신이 불가하며, VPC간 통신을 가능하게 하려면 오늘의 주인공인 2가지 방법을 이용해야합니다. 바로 오늘의 주인공인 VPC Peering 과 Trasit Gateway 입니다. 오늘은 이 두가지 방법의 사전적.. 2023. 1. 18. [추천] Set Up a Multi-Account AWS Environment that Uses Best Practices for AWS Organizations https://www.youtube.com/watch?v=uOrq8ZUuaAQ 2023. 1. 18. 랜딩 존 as a Service 왜 필요하고 어떻게 마이그레이션 하나? https://www.youtube.com/watch?v=VW3Asl0SB0M 2023. 1. 17. [추천] AWS Organization - 교차계정 확인 조직의 마스터 계정을 생성하고, 조직 내 계정을 추가하고, 조직 단위로 그룹화한 다음 조직 수준 및 계정 수준에서 서비스 제어 정책의 도움으로 액세스를 제한합니다. 타임스탬프: 00:00 소개 00:57 AWS 조직 이해 04:23 AWS 조직 생성 05:07 AWS Organization에서 계정 생성 07:35 AWS Organization의 기존 계정 초대 08:55 교차 계정 액세스를 위한 IAM 역할 10:22 AWS Organization의 멤버 계정으로 역할 전환 12:27 SCP(서비스 제어 정책) 이해 15:08 조직 단위(OU) 만들기 16:53 서비스 제어 정책(SCP) 생성 및 연결 20:42 SCP 제한 시뮬레이션 https://www.youtube.com/watch?v=suuA_.. 2023. 1. 17. AWS Lambda (queryStringParameters 란!!) AWS Lambda에 대해서 간단하게 설명 하고 넘어 가자면, PaaS (Platform As A Service)의 일종으로, 우리가 AWS Lambda에 우리가 구현한 API Code를 등록 하고, 이에 대한 컴퓨팅 비용을 사용한 만큼만 지불 하는 서비스 입니다. 우리가 따로 운영체제, 런타임 등의 관리를 할 필요 없이 사용자가 Python, Node.js 등의 언어로 만들어진 Lambda Handler Function을 구현 하여 이를 AWS Lambda에 등록하고, 이를 AWS API Gateway에 연결 하면, 외부에서 해당 API를 이용 할 수 있습니다. AWS Lambda Lambda 함수 일단 만들기 먼저, 사용 하기 전에, 일단 Lambda 함수를 만들어 보는 시간을 가져 보도록 하겠습니다.. 2023. 1. 15. [AWS] AWS Microservice 란 (1/2) ? 2022. 12. 6. [AWS 기타] AWS KMS란 무엇인가? AWS KMS란 무엇인가? AWS KMS는 암호화 작업에 사용되는 키를 쉽게 생성하고 제어할 수 있도록 지원하는 관리형 서비스이다. 이 서비스는 고가용성 키 생성, 스토리지, 관리 및 감사 솔루션을 제공하므로, 이를 통해 자체 애플리케이션 내 데이터를 암호화 또는 디지털 방식으로 서명하거나, AWS 서비스 전체에서 데이터의 암호화를 제어할 수 있다. KMS는 크게 세가지 방식으로 key 관리 서비스를 제공한다. AWS managed key AWS 서비스들이 KMS를 통해 Key를 서비스 받는 것으로 내부적으로 자동으로 일어나며 사용자의 직접적인 제어는 불가능하다. Customer managed key 사용자가 직접 Key를 생성하고 관리하는 것이다. 우리가 흔히 말하는 CMK가 여기에 해당된다. Cust.. 2022. 11. 27. [AWS 기타] 꼭 알아야 하는 IAM 정책 IAM Policy란 무엇인가? IAM Policy의 종류와 사용 목적 AWS Organizations (Service Contorl Policies SCPs) AWS의 무료 서비스이며 멀티 계정을 관리하는 서비스이다. 두개 이상의 AWS 계정을 운영한다면 Organizaitions을 고려하는 경우가 많다. 그럴 경우 Organizations 안에 있는 SCPs 서비스를 고려할 수 있다. AWS Identity and Access Management(IAM)(Permission Policies, Permission Boundaries) 가장 많이 사용하는 Permission Policies, Permission Boundaries이다. 한번이라도 IAM을 써봤다면 Permission Policies를 써.. 2022. 11. 26. 이전 1 다음 728x90
