brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Jun 09. 2022

1탄-30분 만에  AWS 네트워크, 보안  4/5

<1> VPC

<2> VPC  보안

<3> ELB (Elastic Load Balancing)

<4> Route 53 =  네임서버

<5> 공동 책임 모델

<6>  IAM  (Identity and Access Management)

<7>  IAM의 정책 유형  2가지

<8> EC2에  role을 주어   S3를 조회되는지 실습하자.

<9> 트러스트 어드바이저로 관리해 보자




<1>  VPC


Virtual Private Cloud



<2> VPC  보안



1

VPC가 첫 번째 보안.


2

네트워크 ACL을 통한 서비넷 단위 보안 설정.


3

EC2 서버 단윈 보안 =  보안 그룹


4

서드파트 호스팅 기반 보안 제품 (선택)



출처 aws





<3> ELB (Elastic Load Balancing)


4개의 로드밸런서가 있음.

NLB - L4

ALB - L7

GWLB -게이트웨이 로드밸런서, 주로 방화벽 구축 시 사용

CLB (클래식) - 사용하지 않음.


빠름?

폴더에 따라 분리 되는 기능  /A  /B ?

고정 ip 제공은?

ALB 고정 IP 제공 하려면?   



<4> Route 53 =  네임서버


네임서버 = 도메인을 관리하는 서버

일반적으로 웹서버의  VIP를 도메인으로 등록한다.

사용자가 해당 네임서버의 정보로 사이트에 접속한다.


통신 흐름?

사용자 데이터 유입

인터넷 게이트웨이를 통해 통신한다.

ELB에 도메인이 매칭되어 있어  ELB 접속.

ELB아래의 서버에 접속한다.



출처 aws


DNS 등록 할떄는 서버 IP를 등록하는게 아니라, ROUTE53에 ELB VIP를 등록 한다. 

서버 IP가 아니다,



<5>  공동 책임 모델


1

AWS 기초 서비스와 글로벌 인프라는 AWS 책임이다.


2

고객의 데이터는 고객의 책임이다.


출처 aws





<6>  IAM  (Identity and Access Management)


1

IAM은 AWS 리소스에 대해 액세스를 안전하게 제어

사용자, 그룹, 역할에 맞는 권한 할당을 한다.

인증과 권한 부여를 한다.

인증은 로그인 계정

권한부여(인가)는 리소스 사용(생성, 삭제, 변경)할 수 있는 권한부여 한다.


2

정책

권한이다.

계속 제공되는 권한이다.

디비를 생성하는 권한, 삭제하는 권한

S3를 생성하는 권한


3

역할

AWS리소스에도 할당 가능하다.

EC2등에 할당 가능하다. 사용자가 해당 EC2에 들어가면 해당 역할을 가지게 된다.

정책을 역할에 할당한다.

임시로 자격증명이 제공된다.

예를 들어 람다 사용의 경우,  사용자 ---S3--- 람다(이미지 변환 코딩)----S3(변환된 이미지) 구성에서

람다는 S3에 데이터를 올릴 수 있는 권한이 있어야 한다.  그래서 잠시 S3 사용 역할을 가진다.



<7>  IAM의 정책 유형  2가지


1

자격증명 기반

IAM 사용자, 그룹, 역할과 같은 자격증명 기반.


2

리소스 기반 정책

S3와 같이 리소스 잘게 권한을 부여해  제어하는 리소스 기반 정책.




<8> EC2에  role을 주어   S3를 조회되는지 실습하자.



1

EC2  하나 생성하자.

EC2  시큐리티 텝에서  role 이 없는지 확인


2

서버에서  aws s3  ls    

조회 안됨


3

role을 만들어   EC2에 부여


4

다시

서버에서  aws s3  ls    

조회됨




<8>  서비스 추적   AWS CloudTrail


AWS  계정의 사용자 활동과 API 사용 추적이 된다. 

모든 API 사용 로그가 남는다.

S3 버킷에 로그가 남는다.

감사 자료로 활용 가능하다.




<9> 트러스트 어드바이저로 관리해 보자


아래 5가지 점검 기능을 제공한다!


비용 최적화

성능

보안

내결함성 기능

서비스 한도



다음

https://brunch.co.kr/@topasvga/2503



감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari