2022/12/27 14

IAM Policy Simulator란?

AWS 계정의 IAM 사용자, 사용자 그룹 또는 역할에 연결된 정책을 테스트하는 것이다. https://policysim.aws.amazon.com/home/index.jsp? policysim.aws.amazon.com 접속한다. USER로 접속하여 미리 설정해둔 정책으로 EC2 이미지, 태크 생성을 진행해본다. IAM 계정을 좌측에서 선택해주고 오른쪽에 EC2를 선택하고 [CreateImage], [CreateTags]를 선택하고 [Run Simulation]을 돌린다. 이 계정은 AmazonEC2FullAccess라는 권한을 가지고 있으므로 CreateTags와 CreateImage 부분은 allowed 된 것을 확인할 수 있다. User로 접속하여 기본 만들어진 정책으로 S3부분을 시뮬레이션을 돌..

IAM 보안 도구 (IAM Security Tools)

IAM 보안 도구에는 2가지가 있다. 1. IAM 자격증명 보고서 (Credentials Report) 계정의 모든 사용자와 암호, 액세스 키, MFA 디바이스 등의 자격 증명 상태에 대한 보고서를 다운로드할 수 있다. 이런 CSV 파일을 받아 감사에 사용할 수 있다. 2. IAM 액세스 관리자 (Access Advisor) 사용자 또는 역할이 허용된 서비스에 마지막으로 액세스 하려고 시도한 시간을 표시 이 정보를 사용해 필요이상으로 부여된 권한을 재정의 하는데 참고할 수 있다. IAM 자격증명 보고서 확인 IAM 서비스에 들어가 좌측을 보면 자격 증명 보고서가 있다. CSV 파일로 다운로드가 가능하다. 이름, 아이디, 비밀번호, 만들어진 날짜 등등 확인할 수 있는 보고서를 CSV 파일로 볼 수 있다. ..

IAM 역할 (이론 및 실습)

IAM 역할은? AWS 리소스에서 사용하는 자격증명으로 특정 AWS 서비스가 다른 AWS 서비스에 엑세스 하여 작업을 수행할 때 필요한 권한 정책을 연결하여 IAM 역할에 작업 수행에 필요한 권한을 부여 EC2에서 실행되는 애플리케이션이 AWS S3와 AWS RDS 액세스 권한이 필요할 때 역할 사용 직접 엑세스는 불가능하다. 하지만 IAM Roll(IAM 정책)을 연결하여 작업 수행에 필요한 권한을 부여할 수 있다. 위 그림처럼 EC2에서 실행되는 어플이 S3나 RDS에 직접 접근하는 엑세스 권한이 필요할 때 IAM 역할을 사용한다!! IAM - 역할 (신뢰정책) IAM 역할을 이용하여 AWS 계정간 액세스 권한 위임을 하는 기능 신뢰 정책 (Trust Policy)을 사용하여 다른 AWS 계정에 역할..

IAM - Policy(정책)이란? (이론 및 실습)

IAM 정책이란? AWS 리소스에 대한 액세스 권한을 정의한 것 사용자, 그룹, 역할에 이 정책을 연결하여 사용 정책외에 요청은 모두 거부(Deny)된다. JSON 형태로 이루어져 있음 JSON 구조 자세히 살펴보기 1. Effect Statement에 대한 Access 또는 Deny Effect뒤에 Access 혹은 Deny를 적어서 사용 2. Action 정책에 대한 작업 목록 EC2 생성 및 관련 허용 가능 3. Resource 권한이 적용되는 리소스 4. Condition 정책이 적용되는 세부조건 특정 ip 주소 및 리전에서만 적용되도록 할 수 있는 옵션사항 JSON 정책 구문 Version은 Language에 대한 날짜이고 Statement문으로 하나로 묶여있다. lambda 서비스에 대한 모든..

AWS IAM (Identity and Access Management)란? (이론 및 실습)

IAM이란? AWS 계정 및 권한 관리 서비스 AWS 서비스와 리소스에 대한 액세스 관리 사용자, 그룹, 역할, 정책으로 구성 Region에 속하는 서비스가 아닌 글로벌 서비스 다양한 리전 관리 가능 계정 보안 가능 루트 계정 사용을 지양 IAM 계정으로 사용하며 최소한의 권한만을 부여 (최소권한의 원칙) 암호 정책 확인 및 의무 교체 필수 IAM 엑세스 관리 1. 사용자 (User) 사람, ID, 계정 2. 그룹 (Group) 사용자의 그룹별 모음 팀 단위의 모음 ex) 재무팀 3. 역할 (Role) AWS 리소스에서 제공하거나 사용하는 자격증명 S3, RDS EC2 등등에 대한 권한 부여 4. 정책 (Policy) 어떤 사용자에게 어떤 것을 부여하고 어떤 역할만 할 수 있는지 JSON형태로 되어 있음..

백업 종류 및 특징

RTO / RPO 백업을 하루에 한 번 매일 자정에 받는다. 근데 어느날 운 없게도 23시에 데이터가 날라갔다... 그럼 복구할 수 있는건 23시간 전꺼!! 이건 RTO 얼마나 빨리 복구하여 쓸 수 있는가 !! 요곤 RPO 전체/증분 백업 백업 방식 구분 전체 백업 (FB) 차등 증분 백업(DIB) 누적 증분 백업(CIB) 개념 변경 사항 유무에 관계 없이 전체 데이터를 백업받는 형식 전체 백업 또는 증분 백업이 수행된 후 변경된 사항을 백업하는 방식 전체 백업 이후에 변경된 데이터를 백업 받는 형식 장점 가장 간단하게 복구 가능 백업 데이터량이 적고 백업 소요시간이 짧음 차등 증분 백업에 비해 더 빠른 시간안에 복구 가능 단점 백업에 필요한 시간과 용량이 가장 많이 소요 증분 백업이 많을수록 복구에 오..

Windows Server란? 종류 및 특징

윈도우 서버들 간단하게 읽어보자.... Windows Server 라이센스 운영 체제 라이센스 특징 Datacenter 가상화 구성 시(Hyper-V), 무제한 사용 가능하며 가상화 구축 시 적합 가상화를 막 올릴 수 있다! Standard 단독서버 운영에 적합(가상화는 제한적으로 가능) Essential 20 ~ 50명의 사용자 대상 서비스에 적합, 가상화는 불가능 클라이언트 접근 라이센스 특징 Server User CAL 서버에 접속하는 사용자 수 기준(같은 사용자가 회사 / 집에서 접속 가능) Server Device CAL 서버에 접속하는 Device 수 기준(다른 사용자가 같은 컴퓨터로 접속 가능) EX(External Connector) 불특정 다수의 외부 사용자 접속을 위한 라이센스 Wind..

데스크탑 가상화란?(4)

데스크탑 가상화 vdi 구성 방식 Pooled 방식과 Dedicate Assigned 방식으로 구성한다!! 사용자를 각각 관리 vs 풀로 관리 스토리지 가상화 가상화 기능을 제공하는 소프트웨어 또는 별도의 하드웨어 장비를 통하여 물리적인 스토로지 장치를 하나의 논리적인 가상화 스토리지 풀로 통합하여 관리하는 기술 이기종 스토리지를 가상화하여 단일한 LUN으로 제공 동일한 스토리지에 LUN처럼 보인다. thin provisioning 스토리지 할당 시 가상의 LUN을 제공하고 실제 파일이 디스크에 저장될 때 물리적인 용량 제공 서버에는 용량을 준것처럼 보이지만 껍데기만 그렇게 보인다. 실제 사용한 데이터만큼만 용량을 할당하는 개념이다. 데이터센터 인프라 발전 방향 SDx(Software Defined An..

가상화(3) 쿠버네틱스란?(Kubernetes)

Kubernetes 다수의 노드에서 대량의 컨테이너를 관리하기 위한 Orchestration 도구 관리용 Master Node와 실제 컨테이너가 생성되는 쿠버네틱스 노드로 구분 마스터 노드에서 kubectl을 이용하여 쿠버네틱스를 제어 마스터 노드에서는 작업, 스케쥴을 정의하고 실제 처리는 쿠버네틱스 노드에서 담당 사용자는 쿠버네틱스 노드의 Proxy를 통해 서비스 접속 레플리카 셋을 통해 포드가 생성, 재생성, 롤링 업데이트 수행 쿠버네틱스 구조 -Pod 배포의 가장 작은 단위 포드안에는 컨테이너가 한개, 여러개가 있을 수 있다. 컨테이너 안에도 내부 ip가 있는데 Pod안의 컨테이너는 동일한 ip, 서비스이다. -서비스(Service) 동일 기능의 Pod를 외부로 앤드포인트 하는 것 -디플로이먼트(D..

가상화(2) 도커란?(Docker)

Hypervisor vs Docker Docker 컨테이너 기반이 오픈소스 가상화 플랫폼 Hypervisor Docker Container안에 OS가 없다!!! (리눅스 파일시세틈, 쉘은 사용가능.... 오..?) (통상적으로 Docker 컨테이너 안에는 없다라고 생각!) Docker의 특징 하나의 컨테이너 안에 하나의 서비스만 올리는 것이 일반적이다. 즉, 활용효과를 극대화할 수 있다. 소스 코드 자체를 배포 ㄴㄴ, 이미지를 만들어서 배포 ㅇㅇ 장점 단점 H/W, O/S 환경에 상관 없이 동일한 이미지 배포 가능 모든 컨테이너가 커널을 공유하므로 Host의 영향이 전체에 미침 대규모 서비스 운영 시, H/W, O/S의 차이에 무관하게 동일환 환경이 서비스 배포 가능 VM당 독립된 운영환경을 제공해야 하..