1. Security Groups 네트워크 보안을 실행하는데 핵심이며, EC2 인스턴스에 들어오고 나가는 트래픽을 제어합니다. 간단하게 allow 만 가능하며, 출입 허용 된것을 무엇인지 확인이 가능하며, IP 주소를 참조해 규칙을 만들수 있습니다. 포트로 엑세스를 통제합니다. 2. Security Groups에 알아야할 점은? 여러 인스턴스에 연결이 가능하다. 보안 그룹은 지역과 VPC 결합으로 통제 되어있기에 지역을 전환하면 새보안 그룹을 생성하거나, 다른 VPC를 생성해야합니다. 보안그룹은 EC2 밖에 있기에 트래픽이 차단되면 EC2 인스턴스는 확인 할수가 없습니다. 외부 방화벽이라 생각하면됨.. 기본적으로 모든 인바운드 트래픽은 차단되어 있고 모든 아웃바운드 트래픽은 허용되어있습니다. 같은 보안그..

1. EC2 AWS에서 제공하는 서비스형 인프라스트럭처 Elastic Compute Cloud의 약자 가상머신을 사용할때는 EC2 Instance라고 함 2. EC2의 Size & Configuration OS를 선택가능 : Linux, Window, MacOS CPU,RAM,Storage,Network 등 선택가능 방화벽 규칙을 사용가능 인스턴스를 구성하기 위한 부트스트랩 스크립트가 있음 3. EC2의 User Data EC2의 User Data Script를 사용하여 부트스트랩이 가능 ( 부트스트랩이란 머신이 작동 될 때 명령을 시작하는것을 말함 한마디로 부팅작어블 자동화하기에 부트스트래핑이라 함) 스크립트는 처음시작 할때 한번만 실행후 다시는 실행하지 않음

IAM 간단 요약 1) Root계정은 AWS계정을 설정할 때 제외하고는 사용하지말기! 2) 누군가 사용을 원하면 계정을 만들어주고 그룹에 넣어주기 3) 강력한 비밀번호와 MFA를 사용하기 4) AWS 서비스에 권한을 부여할때마다 Role을 만들어주고 사용하기 5) 계정의 권한을 감사할 때는 IAM 자격 증명보고서와 IAM 엑세스 분석기를 사용 할 수 있음 6) 절대로 IAM 사용자와 엑세스 키를 공유하지말기!!

1. IAM MFA MFA란 Multi Factor Aucthentication의 약자이다.무조건 설정해주는게 좋다.. 예전에 글을 본적이있는데 중국에서 해킹해서 AWS 계정을 마구마구 사용해서 비용청구가 엄청됬다는 이야기를 본적이 있습니다.. - 루트뿐만아니라 IAM 모든 사용자들도 사용해야합니다. - Password 와 보안장치를 같이 사용하여 로그인 하도록 합니다. 2. IAM MFA Device - Virtual MFA device : google Authenticator, Authy 등이 있습니다. 가상장치에는 계정 및 사용자 등록이 원하는 수만큼 등록 가능 - U2F : Yubico 제 3회사의 장치이며 전자 열쇠임.. - HardWare Key Fob MFA Device 등등..

IAM 정책 IAM 정책은 마디로 그룹에 대해 어떠한 허용조건을 줄건지에 대한 정책이다.. kubernetes을 안다면 RBAC같은 느낌이랄까.. (같은지는 모르겠습니다..) 아래는 JSON으로 표현된 예시입니다. - version: 정책 언어버전 - Id: 정책을 위한 Id 지정 ( 옵션 ) - statement : 내부의 상태들을 정의 ( 필수요소 ) - Sid : statement의 id ( 옵션 ) - Effect : statement가 특정 API 에 접근을 허용할지, 거부할지에 대한 내용 - Principal : 특정 정책이 적용될 사용자, 계정, 역활로 구성 ( 예시는 root로 구성 ) - Action: Effect를 기반한 허용 or 거부되는 API 호출 목록 - Resource : 적용..

2022년 1월에.. 자격증을 CKA를 따고 난 이후 자격증공부를 굳이 해서는 뭐하나 싶었지만... 그래도 남은 시간 공부해봄 언젠가 도움될까하여 자격증 공부 기록을 남기고자 합니다.. 모든 노는 것보단 하는게 열심히 하진않아도 시작하는게 반이라고 했으니.. 그냥 끄적해봅니다..첫시간엔 IAM에서 배웠습니다. 1. IAM: Users & Groups IAM이란? identity and Access Management의 약자 - 그룹에 배치하기 때문에 글로벌 서비스에 해당함 - Root 계정은 Default이며, 공유또는 사용해서는 안되며, 사용자를 생성해야 함 - 사용자를 생성해서 그룹으로 묶는 것이 중요함. ( 개발자는 개발자, 운영자는 운영자끼리 묶는 것처럼 .. ) ※ 계정을 생성하는 이유 곧 IA..