My StudySpace

참고 사이트 https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/application/enable-access-logging.html https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/network/load-balancer-access-logs.html 여러 Account 및 VPC에서 S3 공유(로그 중앙화) 여러 Account 및 VPC에서 각 AWS Config 및 CloudTrail, VPC FlowLog, ELB Log가 수집한 로그를 중앙 계정의 S3에 쌓도록 로그 중앙화 하는 과정이다. S3는 같은 리전 내 고유한 버킷명을 가지고 있어서 환경별 계정의 IAM Role을 주지..

여러 Account 및 VPC에서 온프레미스 간 연결(VGW ↔ DX) 사전 조건: AWS DX 신청(네트워크 대역폭) 및 확보 1. Direct Connect Gateway 생성 2. 가상 인터페이스(VIF) 연결 사전 조건으로 AWS DX 신청(네트워크 대역폭) 및 확보가 되었을 경우, 가상 인터페이스 유형(Public/Private/Transit) 선택 새 가상 인터페이스가 프로비저닝될 물리적 연결 기타 설정 값들을 입력하여 VIF를 생성할 수 있을 것이다. 1. 가상 프라이빗 게이트웨이(VGW) 생성 Direct Connect > 가상 프라이빗 게이트웨이(vgw) > 가상 프라이빗 게이트웨이 생성 생성 후 VGW 붙이고자하는 대상 vpc와 연결한다. 2. Direct Connect Gateway ..

EBS를 생성할 때, 인스턴스 종료시 비활성화를 yes로 해두었다면 CLI를 통해 No로 설정 수정이 가능하다. 굳이 해당 인스턴스에 접속하지 않아도 설정이 가능하다. 필자는 Cloudshell에서 진행하였다. 1. mapping.json 파일 생성 후 아래 내용 추가 [ { "DeviceName": "/dev/sdg", "Ebs": { "DeleteOnTermination": false } } ] 2. Access Key 및 Region 정보 설정 Access Key 발급을 위해 IAM 사용자를 생성한다. IAM 사용자 > 보안자격 증명 > 액세스 키 생성 AWS 컴퓨팅 서비스에서 실행되는 애플리케이션을 클릭하고 액세스 키를 발급받는다. $ aws configure > 발급받은 User의 Access ..

목표 cross account 환경에서의 nlb → alb → nlb 가능 작성중 NLB 인터넷 경계용 보안그룹 80 open 리스너의 프로토콜:포트 TCP:80 타겟그룹 ALB 지정 타겟그룹의 프로토콜:포트 TCP:80 ALB 인터넷 경계용 보안그룹 리스너의 프로토콜:포트 HTTPS:80 타겟그룹 NLB 지정 (NLB의 eni를 지정) 타겟그룹의 프로토콜:포트 HTTP:80 NLB 내부용 보안그룹 80 open 리스너의 프로토콜:포트 TCP:80 타겟그룹 ALB 지정 타겟그룹의 프로토콜:포트 TCP:80 SSL 적용 url창에 바로 NLB 도메인을 입력할 경우, ACM 적용 X Route53 퍼블릭 호스팅 영역에서 A 레코드로 NLB를 추가하여, 해당 서브 도메인을 url창에 입력해야 ACM 적용 O ..

상황 A Account: 프라이빗 호스팅 영역 존재 B Account: VPC 존재 필자는 각 계정마다 존재하는 CloudShell을 활용하여 설정했다. A Account 접속 aws route53 create-vpc-association-authorization \ --hosted-zone-id \ --vpc VPCRegion=ap-northeast-2,VPCId= \ --region ap-northeast-2 B Account 접속 aws route53 associate-vpc-with-hosted-zone \ --hosted-zone-id \ --vpc VPCRegion=ap-northeast-2,VPCId= \ --region ap-northeast-2 CLI로만 설정 가능하다. (AWS는 자주 ..

서로 다른 Account 및 VPC 간의 GWLB 공유 Endpoint Service 보안주체에 다른 계정 추가 Endpoint Service 선택하여 보안주체로 공유하고자 하는 계정을 추가한다. AWS 계정(계정의 모든 보안 주체 포함) arn:aws:iam::[account_id]:root 참고 블로그 https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/configure-endpoint-service.html

업로드 다운로드 구분하여 막는 방법 파일 읽기: HTTP 사용 S3 버킷 정책 수정 1. HTTP 요청에만 Action S3:GetObject 액세스 제한 https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html#example-bucket-policies-HTTP-HTTPS ※ CloudFront 지나면 모두 http 통신함 2. IP대역 제한 https://repost.aws/knowledge-center/block-s3-traffic-vpc-ip S3 수명 주기(라이프사이클) 버킷 참고 문서: https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-l..

로그 종류 시스템 로그 ➣ OS 사용자 계정별 모든 작업에 대해 모니터링 실시 및 감사 로그. → 서버접근제어 ➣ 접속 이력 및 쿼리에 대한 실시간 모니터링 및 대시보드. → DB접근제어 AWS 계정 로그 AWS CloudTrail ➣ AWS 계정 내에서 수행한 모든 API 호출에 대한 로깅 ➣ 어떤 계정이, 언제, 무엇을 작업(호출)했는지에 대한 AWS 계정 로그 AWS 서비스 로그 CloudWatch Logs ➣ EC2, ELB, VPC Flow Logs, CloudTrail에서 생성된 서비스 로그 VPC Flow 로그 ➣ VPC 내에서의 트래픽 흐름에 대한 세부 정보. 보안 분석, 문제 해결, 규정 준수, 성능 모니터링 목적. ➣ 트래픽의 출발지 및 목적지 IP와 포트번호, 프로토콜, 트래픽 양(패..

참고블로그: https://open-infra.tistory.com/58 온프레미스에서 S3로 파일 전송 온프레미스 정보 업데이트 온프레미스 >>>> FTP 서버 >>>> S3 (Transfer Family) 1. AWS Transfer Family 사용 온프레미스 ---파일---> TF ---텍스트-->S3 1. 온프레미스에서 ssh key 생성 2. S3 버킷 생성 3. AWS Transfer Family(SFTP, FTPS, FTP 지원) SFTP - SSH 파일 전송 프로토콜 - 보안 셸을 통한 파일 전송 엔드포인트 유형 1) 공개적 액세스 : 인터넷을 통해 액세스 2) VPC 호스팅: 보안그룹 통해 액세스 제어 4. IAM 역할 생성 S3 Full Access 정책 추가 5. AWS Transf..

DocumentDB https://aws.amazon.com/ko/documentdb/features/?pg=ln&sec=hs JSON 도큐먼트 데이터베이스 - Amazon DocumentDB(MongoDB 호환) 기능- Amazon Web Services aws.amazon.com 인스턴스 수동 제거로 비용 절약 고객은 AWS Management Console에서 몇 번의 클릭만으로 원하는 크기의 복제본 인스턴스를 새로 만들거나 인스턴스를 제거하여 컴퓨팅 및 메모리 리소스의 규모를 조정하고 확장 또는 축소를 지원할 수 있다. 컴퓨팅 크기 조정 작업은 일반적으로 몇 분이면 완료된다. mongodb replica set 1. Primary: write, Read 수행 2. Secondary: Read 수행..