IAM의 보안 모범 사례 AWS에서는 IAM 보안을 위해 구성해야 할 여러가지 권장 요소를 보안 모범 사례로 제공하고 있다. 임시 보안 인증을 사용하여 AWS에 액세스하려면 인간 사용자가 ID 공급자와의 페더레이션을 사용하도록 요구합니다. AWS에 액세스하려면 워크로드에 IAM 역할이 있는 임시 자격 증명을 사용하도록 요구합니다. 다중 인증(MFA) 필요 장기 보안 인증이 필요한 사용 사례의 경우 정기적으로 액세스 키 교체 루트 사용자 보안 인증을 보호하고 일상적인 작업에 사용하지 마세요. 최소 권한 적용 AWS 관리형 정책으로 시작하고 최소 권한을 향해 나아갑니다. IAM 액세스 분석기를 사용하여 액세스 활동을 기반으로 최소 권한 정책 생성 사용하지 않는 사용자, 역할, 권한, 정책 및 보안 인증은 정..
AWS IAM 보안 AWS Identity and Access Management(IAM)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스로, AWS 리소스를 제어하는 권한을 중앙에서 관리할 수 있다. AWS 계정을 생성하면 최초 root 계정으로 로그인하게 되고, root계정으로 각 역할에 맞는 IAM계정을 생성해 AWS 작업을 수행한다. AWS를 처음 사용하거나 상대적으로 보안에 관심이 적은 회사, 스타트업 등에서 root 계정을 사용해 직접 작업을 하기도 하는데, AWS에서도 root계정 권한이 필요한 작업이 아니라면 별도의 IAM을 생성해 작업할 것을 강력히 권고하고 있다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자 보안 인증 정보를 보..
AWS S3 보안 Amazon S3(Simple Storage Service)는 클라우드 기반의 데이터 스토리지 서비스로, AWS를 사용하는 수많은 기업에서 중요한 데이터를 저장하고 관리하는 데 사용하고 있다. 데이터 보관소가 S3인 것을 기본으로 한 파생 서비스들도 상당히 많기 때문에 S3의 사용 사례는 굉장히 많고 다양한데, 이처럼 많이 사용하고 편리한 만큼 다양한 보안 사고도 발생한다. S3 데이터 유출 사례 https://m.boannews.com/html/detail.html?mtype=1&idx=112737 미국의 대형 교육 플랫폼에서 22TB 데이터 유출돼 보안 외신 핵리드에 의하면 미국 내에서 세 손가락에 꼽히는 교육 출판사이자 플랫폼인 맥그로힐(McGraw Hill)에서 22TB의 데이터..
AWS 환경의 보안 범주 AWS 환경을 쓰면 On-Premise 환경과 다르게 AWS에서 관리하기 때문에 사용자가 접근할 수 없는 부분에 대한 보안 걱정과 궁금증이 생길 수 있다. AWS는 이와 관련해 아래와 같이 AWS에서 관리하는 부분과 사용자가 관리해야 하는 부분을 명시하고 있으며, AWS가 관리하는 서비스에 대해 다양한 인증과 보안 패치 등을 수행하고 공시하고 있다. 172개 가량의 서비스에 대한 인증을 확인할 수 있으며, 해당 사이트에서 관련 자료를 확인할 수 있다. 국가 및 서비스 별 AWS 사용 규정 참고자료 각 국가 별로 보안에 대한 세부 규정과 인증 등이 다르고, 각 국가 내부에서도 서비스 (금융, 규모 등) 종류에 따라 다른 인증과 규제를 부여한다. (규제가 심한 중국의 경우 데이터의 ..
EKS Autoscaling EKS Cluster의 Node 수와 Pod 수를 자동으로 조정하여 서비스에 사용되는 자원을 최적화하는 기능이다. 개인적으로 이런 기능이 클라우드와 Kubernetes를 쓰는 주된 이유라고 생각한다. 서비스의 요청에 따라 성능과 비용을 최적화 할 수 있다. Node나 Pod에 장애가 발생한 경우 자동으로 복구해 서비스 가용성을 높일 수 있다. 이런 작업들이 자동으로 이루어지기 때문에 관리와 운영 편의성을 높일 수 있다. 다양한 방법을 통해서 Autoscaling을 제공하는데 대표적인 방법은 아래와 같다. HPA(Horizontal Pod Autoscaler)와 VPA(Vertical Pod Autoscaler) HPA는 Pod의 CPU 사용량, 메모리 사용량 또는 요청 수와 ..
EKS 기초 EKS란? Amazon Elastic Kubernetes Service(Amazon EKS)는 자체 Kubernetes 컨트롤 플레인 또는 노드를 설치, 운영 및 유지 관리할 필요 없이 AWS의 Kubernetes 실행에 사용할 수 있는 관리형 서비스 일반적인 Kubernetes의 마스터노드에 구성되는 컨트롤 플레인 영역을 AWS에서 관리해주며, 해당 컨트롤 플레인을 사용할 수 있게 해주는 서비스이다. EKS 구축 방법 EKS를 생성하는 방법은 크게 3가지가 있는데, 어떤 방법을 사용해도 결과물은 큰 차이가 없기에 구축에 편하거나 유지보수가 용이한 쪽으로 진행하면 된다. AWS CLI를 사용해 구축하는 방법 # EKS 생성 aws eks create-cluster \ --region \ --..
Terraform으로 EKS 구성해보기 -1 Terraform 스터디를 마무리하면서 간단한 프로젝트를 진행하려고 한다. 진행할 주제에 대해서 고민을 많이 했는데, 개인적으로 EKS를 공부해야할 일이 생겼다. 기존 가이드문서를 따라서 AWS Console로 하나하나 생성했던 EKS를 Terraform으로 간단하게 생성&삭제하는 실습을 해보고자 한다. 검색해보니 https://github.com/hashicorp/terraform-provider-aws 사이트에 굉장히 좋은 예시가 있어서 코드를 그대로 따라해서 EKS 생성을 실습해보고, 해당 구성을 토대로 내 입맞에 맞도록 하나씩 Terraform 코드를 변경해보고 수정해보고려고 한다. 해당 예시를 바탕으로 간단한 Application을 배포하는 블로그 글..
