1탄-30분 만에 AWS 네트워크, 보안 4/5
<1> VPC = 가상네트워크
<2> VPC 보안
<3> ELB (Elastic Load Balancing)
<4> Route 53 = 네임서버
<5> 공동 책임 모델
<6> IAM (Identity and Access Management)
<7> IAM의 정책 유형 2가지
<8> EC2에 role을 주어 S3를 조회되는지 실습하자.
<9> 트러스트 어드바이저로 관리해 보자
<1> VPC = 가상네트워크
Virtual Private Cloud
<2> VPC 보안
1
VPC가 첫 번째 보안.
2
네트워크 ACL을 통한 서비넷 단위 보안 설정.
3
EC2 서버 단윈 보안 = 보안 그룹
4
서드파트 호스팅 기반 보안 제품 (선택)
출처 aws
<3> ELB (Elastic Load Balancing)
4개의 로드밸런서가 있음.
NLB - L4
ALB - L7
GWLB -게이트웨이 로드밸런서, 주로 방화벽 구축 시 사용
CLB (클래식) - 사용하지 않음.
빠름?
폴더에 따라 분리되는 기능 /A /B?
고정 ip 제공은?
ALB 고정 IP 제공하려면?
<4> Route 53 = 네임서버
네임서버 = 도메인을 관리하는 서버
일반적으로 웹서버의 VIP를 도메인으로 등록한다.
사용자가 해당 네임서버의 정보로 사이트에 접속한다.
통신 흐름?
사용자 데이터 유입
인터넷 게이트웨이를 통해 통신한다.
ELB에 도메인이 매칭되어 있어 ELB 접속.
ELB아래의 서버에 접속한다.
출처 aws
DNS 등록할 때는 서버 IP를 등록하는 게 아니라, ROUTE53에 ELB VIP를 등록한다.
서버 IP가 아니다,
<5> 공동 책임 모델
1
AWS 기초 서비스와 글로벌 인프라는 AWS 책임이다.
2
고객의 데이터는 고객의 책임이다.
출처 aws
<6> IAM (Identity and Access Management)
1
IAM은 AWS 리소스에 대해 액세스를 안전하게 제어
사용자, 그룹, 역할에 맞는 권한 할당을 한다.
인증과 권한 부여를 한다.
인증은 로그인 계정
권한부여(인가)는 리소스 사용(생성, 삭제, 변경)할 수 있는 권한부여 한다.
2
정책
권한이다.
계속 제공되는 권한이다.
디비를 생성하는 권한, 삭제하는 권한
S3를 생성하는 권한
3
역할
AWS리소스에도 할당 가능하다.
EC2등에 할당 가능하다. 사용자가 해당 EC2에 들어가면 해당 역할을 가지게 된다.
정책을 역할에 할당한다.
임시로 자격증명이 제공된다.
예를 들어 람다 사용의 경우, 사용자 ---S3--- 람다(이미지 변환 코딩)----S3(변환된 이미지) 구성에서
람다는 S3에 데이터를 올릴 수 있는 권한이 있어야 한다. 그래서 잠시 S3 사용 역할을 가진다.
<7> IAM의 정책 유형 2가지
1
자격증명 기반
IAM 사용자, 그룹, 역할과 같은 자격증명 기반.
2
리소스 기반 정책
S3와 같이 리소스 잘게 권한을 부여해 제어하는 리소스 기반 정책.
<8> EC2에 role을 주어 S3를 조회되는지 실습하자.
1
EC2 하나 생성하자.
EC2 시큐리티 텝에서 role 이 없는지 확인
2
서버에서 aws s3 ls
조회 안됨
3
role을 만들어 EC2에 부여
4
다시
서버에서 aws s3 ls
조회됨
<8> 서비스 추적 AWS CloudTrail
AWS 계정의 사용자 활동과 API 사용 추적이 된다.
모든 API 사용 로그가 남는다.
S3 버킷에 로그가 남는다.
감사 자료로 활용 가능하다.
<9> 트러스트 어드바이저로 관리해 보자
아래 5가지 점검 기능을 제공한다!
비용 최적화
성능
보안
내결함성 기능
서비스 한도
다음
https://brunch.co.kr/@topasvga/2503
감사합니다.
