네트워크 & 클라우드 (55) 썸네일형 리스트형 [AWS-12] EventBridge - 2 다른 실습과 마찬가지로 메일을 수신하는 방법은 이제 식상하다 그래서 다시 테스트 해본다. 서버 없이 코드를 실행할 수 있는 Lambda 함수를 생성해보자! index.js에 코드에 아래 내용으로 대체한다. 'use strict'; exports.handler = (event, context, callback) => { console.log('LogEC2InstanceStateChange'); console.log('Received event:', JSON.stringify(event, null, 2)); callback(null, 'Finished'); }; 이벤트를 받아서 Cloudwatch에 로그를 남기는 코드이다. Deploy 해보자. EventBridge를 생성해보자. 전에 실습과 같이 Ec2의 .. [AWS-12] EventBridge EventBridge를 알아보자 EventBridge는 이벤트 기반 애플리케이션을 대규모로 손쉽게 구축할 수 있는 서버리스 서비스로, 이벤트 소스의 실시간 스트림을 원하는 대상으로 전송하는 역할을 합니다. 뭐라고 하는지 이해가 잘 되지 않는다면, 아래의 예시를 자세히 봐보자! 의미는 없지만 간단하게 ec2가 Running 상태일 때 메일을 받아 보려고 한다 주제를 생성해보자 주제를 생성해서 ec2가 러닝 상태일 때, 메일로 알람을 받아보자 EventBridge로 ec2의 변화를 감지해보즈앗 EventBridge에 규칙을 생성해 보자. 규칙 이름을 입력하라고 해서 입력을 해줬다. 다음을 누르고 신나게 휠을 내린다. 끝까지 내린다. 아래처럼 ec2의 running 상태를 패턴 지정해보았다. 3단계로 가보면 .. [AWS-11] AWS Certificate Manager SSL/TLS X.509 인증서 및 키 생성, 인증서 갱신, 외부 인증서 저장 서비스를 제공 인증서는 왜 필요할까? SSL/TLS로 암호화된 트래픽을 복호화하여 페이로드 단까지 확인할 때 필요. 보안 솔루션에서 악성코드를 검출하거나, LB에서 L7 정보를 보고 Path기반으로 경로 분배를 하기 위해서 또는 웹서비스에서 신뢰할 수 있는 사이트임을 증명하기 위해 필요함 ACM 인증서 특징 ACM 인증서는 유효 기간이 13개월(395일) 자동 갱신을 통해 인증서 갱신에 대한 압박이 없음. 온프렘에선 1년마다 인증서 갱신중 ㅠㅠ 크롬, 엣지, 파폭, 사파리 등 다양한 브라우저에서 ACM 인증서를 신뢰함 여러개의 FQDN을 추가할 수 있으며, 와일드카드 인증서 발급도 가능함 실습 이라고 하긴 그렇지만, 내가 지난.. [AWS-10] AWS Security Hub AWS 내의 보안 상태에 대해 보안 업계 표준 및 모범 사례를 준수하는지 가시화하여 보여줌 (활성화된 멀티 리전 정보를 통합하여 보여줌) - AWS 보안 서비스/3rd party 솔루션의 다양한 탐지 내역을 정형화된 포맷으로 통합하여 모니터링 (Insights) - 규정 준수 검사 자동화 제공 (CIS AWS Foundation Benchmark, PCI DSS 자동화 점검) - AWS config 활성화 필요 - GuardDuty, Macie, IAM, Inspector 등등 Findings 통합 집계 통합 집계란? 활성화된 멀티 리전/멀티 어카운트 정보를 통합해서 보여주는 서비스 집계된 정보를 보여줄 리전을 지정함, 비활성화된 리전은 통합 집계 리전으로 지정 불가.(그림 1) 통합 집계 결과를 SIE.. [AWS-09] SNS vs SQS (작성 중) SNS는 SQS와 네이밍이 비슷하여 헷갈릴 수 있어 함께 정리해본다 SNS란 무엇인가?? Simple Notification Service의 약자로, 서비스 간 혹은 서비스와 사용자 간의 메시징 서비스다. 주제를 여러 주체가 구독 FIFO 방식 : 단 한 번만 메시지를 처리한다. 표준 방식 : 다양한 프로토콜로 메시지 전달(PUSH) 가능 어떻게 사용해야 하는가?? SNS SNS에서 주제를 생성해보자 주제는 FIFO와 표준 유형으로 생성이 가능하다. FIFO 주제는 한번만 처리된다. 그래서 프로토콜은 SQS만 선택 가능. 표준을 선택하면, 다양한 프로토콜 선택이 가능하다. 구독 수만큼 1:N으로 Push 할 수 있다. 나는 표준 방식으로 이메일을 통한 메시지 수신으로 설정했다. 구독 확인 메일이 왔다. .. [AWS-08] Flowlog VPC/서브넷/네트워크 인터페이스의 송수신 트래픽 정보를 수집하는 서비스 왜 필요하지?? 통신 여부 확인 접근 규칙(NACL/SG)이 정상 세팅 되어있는지 확인 어케 세팅함?? VPC에서 플로우 로그 생성을 누른다!! (서브넷/네트워크 인터페이스에서도 생성 할 수 있다) 플로우 로그 설정 화면! 그런데 CloudWatch 로그 그룹에 플로우 로그를 넣으려면 IAM 역할이 필요하다! AWS IAM에 들어가서 Role을 생성해보자 생성된 역할에 인라인 정책을 생성한다 (권한 추가 > 인라인 정책 생성 ) 정책은 JSON으로 아래처럼 입력한다. CloudWatch에 로그 그룹과 로그 스트림 생성하고, 이벤트를 밀어 넣어 줄 수 있다. 다시 역할로 돌아와서, 생성한 역할에서 신뢰정책 편집 드가서 Service의.. [AWS 기초 이론 - 02] AWS VPC, Subnet, Security Group 생성하기 AWS 학습을 위한 기본 구성을 진행 해본다. 최종 목표 구성은 아래와 같다. 아시아 태평양 (서울) Region 내에 VPC-A, VPC-B를 생성 후 각 AZ-1 ~ AZ-3 에 각각 서브넷을 생성을 진행 한다. 1. VPC 생성 AWS 콘솔 -> VPC 메뉴로 이동. VPC 생성 버튼을 눌러 준다 VPC 이름과 IPv4 CIDR을 지정 해준다. 동일한 방법으로 VPC-B도 생성 해준다. 여기 까지 진행 하였다면, 아래와 같은 구성도 까지 완성된 셈이다. 2. 서브넷 생성 VPC 메뉴 중 서브넷으로 이동한다. 오른쪽 상단의 서브넷 생성을 눌러준다. 아래 처럼 서브넷 정보를 입력 해준다. 서브넷 이름 : net-a_172.31.1.0 가용 영역 (AZ) : 아시아 태평양 (서울) / ap-northea.. [AWS 기초 이론 - 01] AWS 네트워크 기본 용어 정리 - 1 리전 Region : 복수 개의 AZ(Availability zone : 가용영역)로 구성 된 리전을 운영 중, 전 세계적으로 새로운 위치에 확장 중, 리전은 다른 리전과 완전히 격리되 있고, 네트워크 구성 요소를 생성 하기 위해서는 1개의 리전을 선택 해야한다. (ex. 서울, 도쿄 등 국가단위) AZ : Availability Zone (가용영역) : AWS 클라우드의 각 리전은 AZ 라는 물리적으로 격리, 분리 되어 있는 복수 개의 데이터 센터 보유 중. 가용 영역마다 지원되는 서비스가 다를 수 있음. (ex. ap-northeast-2a, 2b, 2c, 2d 등 DC 개념. 실제 위치는 비밀로 한다. 근데..얼추 소문이 다 나있음) VPC : Virtual Private Cloud (가상 사설 클.. [AWS-07] Organizations 기초 AWS Organizations는 여러 Acount를 중앙 관리하기 위한 서비스. (무료다!!!) AWS Organization이란?? AWS 계정을 통합하여 관리하는 서비스. OU(Organization Units) 최상단엔 조직의 Root가 자리하고, 그 밑에 트리 형태로 OU가 존재함. OU는 중첩이 가능. 메가존, GS네오텍과 같은 업체가 Root가 되고, 서비스를 받는 고객사들이 OU가 될 수 있다. 계정은 하나의 OU에만 속할 수 있음. Root나 상위 OU에 정책이 적용되면, 하위 OU 또는 멤버 계정은 정책을 적용받는다! (상속 개념!) AWS Organizations의 기능! 모든 기능 : 통합결제 기능 + 조직 멤버 계정의 리소스, 서비스 등의 액세스를 제한함(SCP를 통해). 모든 기.. [AWS-06] 자격증명 무언가를 하려고 할 때 내가 자격이 있다고 증명하는 것을 자격증명이라고 함 장기 자격증명 vs 임시 자격증명 장기 자격증명 IAM 유저가 생성 (최대 2개) 삭제하지 않으면 계속 사용 가능 (반영구적) Access Key(유저 ID/PASS의 암호화)가 탈취될 경우 해당 유저의 모든 권한을 행사할 수 있어 보안에 취약함 config를 통한 하드코딩 시 취약(~/. aws/credentials) --> 평문 형태로 저장됨으로 취약 수많은 인스턴스에 자격증명을 적용하거나 교체할 때 번거로움. 관리가 어려움. (IAM 사용자에 권한 부여 후 인스턴스에 Acceskey 페어 등록) 임시 자격증명 역할(Role)을 Assume 하여 생성. ("sts:AssumeRole") * STS : Security Token.. 이전 1 2 3 4 5 6 다음
