NOW OR NEVER

EC2 Instance configure 터미널이나 웹브라우저 터미널로 EC2 인스턴스에 연결한 다음 aws --version 명령어 입력 : 현재 사용 중인 Amazon Linux AMI가 AWS CLI를 포함하고 있는 지 확인 aws configure 명령어로 절대 절대 Access key 랑 Secret access key 입력 하지 않기. 해킹 당할 위험 있음 IAM Role로 configure 하기 : EC2 Dashboard/Instances/Instances - 자격 증명(aws configure)할 인스턴스 선택 - Actions/Security/Modify IAM role - IAM role 지정 후 save 다시 터미널로 돌아가서 aws iam list-users 명령어 입력하여 자격증..

SSH 연결 방법 Mac/Linux 터미널에서 명령어 실행 ssh -i 보안그룹키페어.pem ec2-user@publicIPv4주소 중요! : unprotected private key file이라는 경고 뜨면서 permissions 0644 라며 bad permission 나오면 chmod 0400 보안그룹키페어.pem 명령어로 해결 --> 윈도우에서 pem파일 속성 - 보안 - 고급 - 소유자는 본인으로 변경, 사용권한에서 본인 빼고 나머지 계정은 지우기(상속 사용안함 누르고 지우기) window 10 이상(구형 window는 PuTTy 사용) powershell 혹은 터미널 통해 명령어 실행 ssh 입력했을 때 옵션 나오면 ssh 명령어 사용 가능 ssh -i 보안그룹키페어주소\보안그룹키페어.pem..

Security Group EC2 Dashboard - Network&Security - Security Groups개요 Security group은 EC2 인스턴스의 방화벽 방화벽의 기본 원리 : 보안그룹의 기본 값 아웃바운드 규칙은 모든 보안 그룹의 EC2 인스턴스는 기본적으로 모든 트래픽을 허용하여 EC2 인스턴스가 웹사이트에 접근하여 연결을 시도하면 보안그룹에서 허용한다. 보안 그룹은 EC2 외부의 방화벽이므로 보안 그룹은 EC2 외부에 있어 트래픽이 차단되면 EC2 인스턴스를 확인 할 수 없다. AWS 클라우드에서 네트워크 보안을 실행하는 데 핵심 EC2 인스턴스에 들어오고 나가는 트래픽 제어 허용 규칙만 포함하며 출입이 허용된 것이 무언인지 확인할 수 있고 IP 주소를 참조해 규칙을 만들 수 ..

Instance 생성 방법 1. EC2 Dashboard - Instances - Launch instances 2. tag 설정 3. AMI(Amazon Machine Image) 선택 : AMI Linux 2 4. Instance type 선택 : t2 micro 5. key pair : ssh를 통해 인스턴스에 로그인 할 때 사용됨 ,rsa 타입으로 선택, 다운받은 키페어 파일은 절대 잃어버리면 안됨 6. 네트워크 세팅 add security rules 아래와 같이 추가(아래 사진의 규칙 의미는 어디에서나 가능하다는 뜻) 7. Storage (volumes) - Delete on Termination : 인스턴스를 종료할 때 디스크 또한 비움 v 8. Advanced Details - user da..

EC2(Elastic Compute Cloud) EC2 개요 아마존에서 가장 인기 있는 서비스 AWS에서 제공하는 서비스형 Infrastructure AWS에서 임대하는 가상 서버 하나의 서비스가 아니고 많은 것을 포함 EC2 인스턴스 : EC2에서 임대하는 virtual machines 데이터를 virtucal drives 혹은 EBS 볼륨에 저장 가능 ELB(Elastic Load Balancer)로 load 분산 가능 ASG(Auto-Scaling Group)을 통해 서비스 확장 가능 클라우드는 언제든지 컴퓨팅을 대여할 수 있는 데 EC2가 바로 그 예시 이다. EC2 설정 옵션 운영체제(OS : Operating System) : 리눅스(인기多) , 윈도우, 맥OS CPU의 개수 : 컴퓨팅 성능과..

Billing Dashboard 계정 클릭 - Billing Dashboard 루트 계정에서 권한 설정 후 IAM 관리자 계정에서 접근 가능: 루트 계정으로 로그인 - 계정 클릭 - Account - IAM User and Role Access to Billing Information - edit- Active IAM Access 체크 - update Billing Bills : 어느 Resource 에서 요금이 부과됐는 지, 어느 지역에서 요금이 부과됐는 지 등의 요금 상세 내역 확인 가능 Free tier : 아마존 S3의 Free tier( ex) CloudWatch)의 어디에 속하는 지 확인 가능 Cost Management Budgets - create a Budget 클릭 - customize..

AWS 가이드 라인 root 계정은 AWS 계정을 설정할 때 제외하고 사용하지 않기 하나의 AWS 사용자는 한 명의 실제 사용자를 의미 동료가 나의 aws를 이용하고 싶을 시 자격 증명을 주지 않고 새로운 사용자를 만들어 주기 사용자를 그룹에 넣어 해당 그룹에 권한을 부여할 수 있다. 즉 그룹 수준에서도 보안을 관리할 수 있다. 비밀번호 정책을 강력하게 설정해야 한다. --> MFA를 사용하면 보안 강화 AWS 서비스에 권한 부여 시 가상 서버인 EC2 인스턴스를 포함하여 역할을 만들고 사용해야 한다. AWS 프로그래밍 시 CLI나 SDK 사용하는 경우 반드시 Access Key를 만들어야 한다. 이때 Access Key는 비밀번호와 같으므로 절대 공유 금지(IAM 사용자와도 공유 금지) 계정의 권한이 ..

그룹과 사용자들의 정보 보호하는 방법 루트 계정 뿐만 아니라 IAM 사용자 모두 보호해야 함 비밀번호 정책의 정의 비밀번호가 강력할 수록 계정 보안 철저 예시 비밀번호 형식 지정 ex) 특수문자, 대문자 포함 등 사용자들의 비밀번호 변경 허용 또는 금지 일정 기간이 지나면 비밀번호 만료 후 새비밀번호 설정 요구 비밀번호 재사용 금지 : 비밀번호 변경 시 동일한 비밀번호나 이전 사용 비밀번호 사용하지 못하게 함 MFA (Multi Factor Authentication) MFA(Multi Factor Authentication) 다요소 인증 : 비밀번호와 보안장치 함께 사용하는 방식 AWS에서 해당 메커니즘을 필수적으로 사용하도록 권장함 MFA 장점 해킹을 당해 비밀번호가 누출된 상황이여도 해커에게 로그인..

IAM Policies 그룹 내 정책으로 사용자는 권한을 승계받는다 인라인 정책을 생성하여 사용자가 그룹에 속해있든 아니든 원하는 사용자에게 적용 가능 policies 구조 Version : 정책 언어 버전 ex) "2012-10-17" Id : 정책을 식별하는 ID으로 선택 사항 Statement :[] --> 하나일 수도 여러 개일 수도 있다. [] 안에 {}로 구별하여 문장 작성 Sid : 문장 ID로 문장 식별자로 선택 사항 Effect : 문장이 특정 API에 접근하는 것을 허용(Allow)할지 거부할지(Deny)에 대한 내용 Principal : 특정 정책이 적용 될 사용자, 계정 혹은 역할로 구성됨, {}안에 작성 Action : Effect에 기반해 허용 및 거부되는 API 호출 목록 Re..

IAM(Identidy and Access Management) 사용자를 생성하고 그룹에 배치해서 글로벌 서비스라 할 수 있다 사용자와 그룹 계정 생성시 루트 계정 만드는 것도 IAM이라 할 수 있음 루트 계정은 더 이상 생성할 수 없음 사용자 생성 시 하나의 사용자는 조직 내 한 사람에 해당 사용자들을 하나의 그룹으로 묶을 수도 있음 그룹에는 사용자만 배치 할 수 있으며 다른 그룹을 포함할 수는 없다 그룹에 포함되지 않은 사용자가 존재할 수 있다(추천하지 않음) 한 사용자가 여러 그룹에 속할 수 있다 사용자와 그룹을 생성하는 이유 : AWS 계정을 사용하도록 허용하기 위해서이다. 허용을 위해서는 권한을 부여해야 하는 데 이를 위해 사용자 또는 그룹에게 정책 또는 IAM 정책이라고 불리는 JSON 문서를..