성덕이의 개발공간

시나리오요청 IP가 xxx.xxxx.xxx.xxx/24에 포함되지 않을 경우 요청 차단요청이 AWS Servcie에서 발생한 것이 아닐 경우 차단요청 VPC가 vpc-123456789, vpc-0987654321에 포함되지 않을 경우 요청 차단하나의 Sid에 포함되어 있으므로 AND 조건 (OR 조건은 별도로 Sid 분리하여 작성)요청이 허용한 IP 대역이 아니고요청이 AWS Service에서 발생한 것이 아니며요청이 원본 VPC가 허용된 VPC 목록에 포함되지 않는다면요청은 Deny즉, 모두 아니여야 Deny이므로, 위의 3가지 조건 중 1개를 만족하면 요청이 차단되지 않음{ "Version": "2012-10-17", // 정책 버전. AWS IAM 정책의 최신 버전은 "2012-10-17"입니다..

시나리오ap-northeast-2 리전에서만 S3 Servcie만 접근 허용그 외의 모든 서비스 및 다른 리전은 접근 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyS3Access", // 특정 AWS 서비스(S3)만 허용하는 정책 "Effect": "Deny", // 매칭되는 모든 요청을 차단 "Action": "*", // 모든 AWS API 요청에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condi..

시나리오특정 시간대에만 접근 및 조작 허용오전 9시부터 오후 5시 외의 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyOutsideBusinessHours", // 특정 시간대 외에는 모든 요청을 차단 "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:CurrentTime": [ ..

시나리오EC2, S3, RDS 생성시, Environment 태그가 없는 경우 요청 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateResourceWithoutTags", // 리소스 생성 요청에서 태그가 없는 경우 차단 "Effect": "Deny", "Action": [ "ec2:RunInstances", // EC2 인스턴스 생성 요청 "s3:CreateBucket", // S3 버킷 생성 요청 "rd..

시나리오특정 IAM Role에 대한 AssumeRole 요청을 제한{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAssumeRoleFromUnauthorizedPrincipals", // 특정 주체 외에는 AssumeRole 요청을 차단 "Effect": "Deny", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::11111111:role/ExternalRole", // 제한할 IAM 역할 "Condition": { ..

시나리오MFA를 사용하지 않은 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyWithoutMFA", // MFA가 없는 요청을 차단하는 정책 "Effect": "Deny", "Action": "*", // 모든 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "f..

시나리오vpc-123123123의 VPC에서만 리소스에 접근 허용해당 VPC ID가 아닐 경우 모든 요청 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccesVPC", // 특정 VPC 외부에서의 요청을 차단하는 정책 "Effect": "Deny", "Action": "*", // 모든 AWS API 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "StringNotEquals": {..

시나리오특정 AWS 계정(11111111)에서의 요청만 허용그 외의 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessAccounts", // 특정 계정 외부에서의 요청을 차단하는 정책 명 "Effect": "Deny", "Action": "*", // 모든 AWS API 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "StringNotEquals": { ..

AWS Transit Gateway (TGW)를 사용해서 VPC간 통신(Traffic)을 하려면 아래 게시글을 참고해주세요. AWS TGW (Transit Gateway)를 통해 VPC간 연결하는 방법다음과 같은 과정으로 진행하면 된다.1) TGW 생성2) VPC A, VPC B에 TGW Attachment 생성 후 부착3) VPC A의 라우팅 테이블에서 VPC B의 라우팅 테이블 IP 추가4) VPC B의 라우팅 테이블에서 VPC A의 라우팅 테이블seongduck.tistory.com시나리오- VPC PRD, VPC DEV, VPC STG 환경이 존재- TGW를 통해 각각의 VPC는 통신이 되고 있지만, DEV와 STG 간의 통신은 막고자한다.- 하지만 VPC Peering이 아니라, TGW를 사용하..

An error occurred (InvalidParameter) when calling the ImportSnapshot operation: The specified parameter must be an S3 bucket.해당 장애는 import-snapshot을 하거나, S3 Bucket 관련 명령어를 칠 때, S3Bucket 명이나 S3Key를 잘못 입력했을 때 발생합니다. 해결방안연관된 Json 혹은 사용할 파일을 수정합니다.vi 본인이 연관된, 혹은 사용할 파일명 혹은 json.json{ "Description": "My Raw OS", "Format": "RAW", "UserBucket": { "S3Bucket": "S3_버킷명", "S3Key": "S3_버킷명내에_있는_폴더명..