성덕이의 개발공간

AMI 계정 공유 전 주의 사항EBS 암호화 여부 설명방법XEBS 암호화가 안되어 있을 경우가능O (Default KMS Key)EBS 암호화가 Default KMS Key를 사용했을 경우불가능 (하지만 비암호화 볼륨 작업 필요)O (KMS Key)EBS 암호화가 임의로 만든 KMS Key일 경우KMS Key 까지 이전 필요해당 게시글은 EBS 암호화가 Default KMS Key를 사용했을 경우 방법에 대해 소개합니다.AWS Document상 Default KMS Key로 암호화된 EBS는 AMI 공유가 "불가능"하지만 비암호화된 EBS로 변경 후에 AMI 계정 공유는 "가능"합니다. 진행 시나리오 아키텍처 전환 단계 요약단계설명1암호화된 OS와 동일한 크기 EBS 생성 (비암호화)2비암호화 전환용 E..

시나리오요청 IP가 xxx.xxxx.xxx.xxx/24에 포함되지 않을 경우 요청 차단요청이 AWS Servcie에서 발생한 것이 아닐 경우 차단요청 VPC가 vpc-123456789, vpc-0987654321에 포함되지 않을 경우 요청 차단하나의 Sid에 포함되어 있으므로 AND 조건 (OR 조건은 별도로 Sid 분리하여 작성)요청이 허용한 IP 대역이 아니고요청이 AWS Service에서 발생한 것이 아니며요청이 원본 VPC가 허용된 VPC 목록에 포함되지 않는다면요청은 Deny즉, 모두 아니여야 Deny이므로, 위의 3가지 조건 중 1개를 만족하면 요청이 차단되지 않음{ "Version": "2012-10-17", // 정책 버전. AWS IAM 정책의 최신 버전은 "2012-10-17"입니다..

시나리오ap-northeast-2 리전에서만 S3 Servcie만 접근 허용그 외의 모든 서비스 및 다른 리전은 접근 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowOnlyS3Access", // 특정 AWS 서비스(S3)만 허용하는 정책 "Effect": "Deny", // 매칭되는 모든 요청을 차단 "Action": "*", // 모든 AWS API 요청에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condi..

시나리오특정 시간대에만 접근 및 조작 허용오전 9시부터 오후 5시 외의 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyOutsideBusinessHours", // 특정 시간대 외에는 모든 요청을 차단 "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringNotEqualsIfExists": { "aws:CurrentTime": [ ..

시나리오EC2, S3, RDS 생성시, Environment 태그가 없는 경우 요청 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreateResourceWithoutTags", // 리소스 생성 요청에서 태그가 없는 경우 차단 "Effect": "Deny", "Action": [ "ec2:RunInstances", // EC2 인스턴스 생성 요청 "s3:CreateBucket", // S3 버킷 생성 요청 "rd..

시나리오특정 IAM Role에 대한 AssumeRole 요청을 제한{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAssumeRoleFromUnauthorizedPrincipals", // 특정 주체 외에는 AssumeRole 요청을 차단 "Effect": "Deny", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::11111111:role/ExternalRole", // 제한할 IAM 역할 "Condition": { ..

시나리오MFA를 사용하지 않은 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyWithoutMFA", // MFA가 없는 요청을 차단하는 정책 "Effect": "Deny", "Action": "*", // 모든 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "f..

시나리오vpc-123123123의 VPC에서만 리소스에 접근 허용해당 VPC ID가 아닐 경우 모든 요청 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccesVPC", // 특정 VPC 외부에서의 요청을 차단하는 정책 "Effect": "Deny", "Action": "*", // 모든 AWS API 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "StringNotEquals": {..

시나리오특정 AWS 계정(11111111)에서의 요청만 허용그 외의 요청은 차단{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessAccounts", // 특정 계정 외부에서의 요청을 차단하는 정책 명 "Effect": "Deny", "Action": "*", // 모든 AWS API 작업에 대해 적용 "Resource": "*", // 모든 리소스에 대해 적용 "Condition": { "StringNotEquals": { ..

AWS Transit Gateway (TGW)를 사용해서 VPC간 통신(Traffic)을 하려면 아래 게시글을 참고해주세요. AWS TGW (Transit Gateway)를 통해 VPC간 연결하는 방법다음과 같은 과정으로 진행하면 된다.1) TGW 생성2) VPC A, VPC B에 TGW Attachment 생성 후 부착3) VPC A의 라우팅 테이블에서 VPC B의 라우팅 테이블 IP 추가4) VPC B의 라우팅 테이블에서 VPC A의 라우팅 테이블seongduck.tistory.com시나리오- VPC PRD, VPC DEV, VPC STG 환경이 존재- TGW를 통해 각각의 VPC는 통신이 되고 있지만, DEV와 STG 간의 통신은 막고자한다.- 하지만 VPC Peering이 아니라, TGW를 사용하..