0. IMDS(Instance Metadata Service) EC2 인스턴스의 메타데이터에 접근할 수 있는 서비스로 인스턴스 자체 혹은 내부에서 실행되는 애플리케이션과 AWS 또는 모니터링 도구간의 상호작용을 돕는 역할을 합니다. IMDS를 통해 다음과 같은 정보를 얻을 수 있습니다. - 인스턴스 메타데이터: 인스턴스 유형, IP 주소, 보안그룹 등 - IAM 역할 및 권한: 인스턴스에 할당된 IAM 역할 및 권한 - 보안 정보: 암호화된 볼륨 사용 여부, 키 페어 사용 여부 등 IMDS v1의 가장 큰 위험은 공격자가 EC2에 할당된 IAM 권한을 취득해 활용할 수 있다는 점입니다. 설령 IAM이 할당되어 있지 않다 하더라도 상술한 것과 같이 상당히 많은 유용한 정보를 획득하여 이를 공격에 활용할 수..
1. 구성도 2. 대상 그룹(Target Group) 생성 EC2 > 대상 그룹 > 대상 그룹 생성 유형 인스턴스 대상(Private 인스턴스) 선택 3. ALB 생성 EC2 > 로드밸런서 > 로드밸런서 생성 기본구성 네트워크 맵핑 리스너 4. 참고 https://www.inflearn.com/course/aws-%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EC%9D%B8%ED%94%84%EB%9D%BC-%EA%B8%B0%EB%B3%B8
1. 구성도 2. Private subnet EC2 생성 EC2 > 인스턴스 > 인스턴스 생성 Bastion Host 접속용 키페어 생성 Private subnet 설정 및 퍼블릭 IP 비활성화 3. Private subnet EC2 접속 Public EC2 접속 후 Bastion Host 접속용 키페어를 .pem 확장자로 복사 pem 파일 권한 수정 chmod 400 key.pem Private EC2 접속 ssh -i key.pem [user_name]@[private_ec2_ip] 4. NAT Gateway 구성 VPC > NAT 게이트웨이 > NAT 게이트웨이 생성 이름, 서브넷, EIP 등 설정 라우팅 테이블 설정 Private subnet 라우팅 테이블에 NAT GW 추가 NAT GW 구성 후..
1. 구성도 2. Target Group 생성 EC2 > 대상그룹 > 대상그룹 생성 그룹 세부 정보 지정 대상 등록 3. ALB 구성 EC2 > 로드밸런서 > 로드밸런서 생성 ALB 생성 확인 ALB 작동 확인 4. 참고 https://www.inflearn.com/course/aws-%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EC%9D%B8%ED%94%84%EB%9D%BC-%EA%B8%B0%EB%B3%B8
1. 구성도 2. EFS 통신을 위한 SG 생성 EC2 > 보안 그룹 > EFS용 SG 생성(인스턴스에 적용된 SG를 인바운드 SRC로 설정) 3. EFS 구성 EFS > 파일 시스템 생성 > 사용자 지정 파일 시스템 설정(사용 목적에 따라 옵션을 다르게 설정 가능) 네트워크 액세스(퍼블릭 서브넷과 EFS SG 설정) 4. 인스턴스에 EFS 마운트 인스턴스 설정 EFS 유틸 설치 yum install amazon-efs-utils -y EFS 마운트 경로에 디렉터리 생성 mkdir /var/www/html/efs EFS 연결 DNS를 통한 탑재 > EFS 탑재 핼퍼 복사 인스턴스에서 명령어 실행 EFS 작동 테스트 파일 다운 브라우저 접근 확인 5. EFS 작동 확인 다른 인스턴스에 동일한 EFS 마운트..
1. 커스텀 AMI 생성 EC2 > 인스턴스 > AMI를 생성할 인스턴스 선택 > 작업 > 이미지 및 템플릿 > 이미지 생성 이미지 정보 설정 2. 커스텀 AMI를 활용한 인스턴스 배포 인스턴스 생성 시 커스텀 AMI 선택
1. 구성도 2. 인스턴스 배포 EC2 > 인스턴스 > 인스턴스 시작 인스턴스 이름 설정 AMI 설정 인스턴스 유형 설정 키 페어 설정(기존에 사용하던 키 페어가 없을 경우 생성) 네트워크 설정 SG 설정 스토리지 설정 사용자 데이터 설정(아래 배시 입력) #!/bin/bash yum update -y amazon-linux-extras install -y lamp-mariadb10.2-php7.2 php7.2 yum install -y httpd mariadb-server systemctl start httpd systemctl enable httpd usermod -a -G apache ec2-user chown -R ec2-user:apache /var/www chmod 2775 /var/www f..
1. 구성도 2. VPC / Subnet / Internet Gateway / Route Table 생성 VPC > VPC 생성 > VPC 등 선택 VPC 설정 입력 AZ 설정 입력 서브넷 설정 입력 DNS 설정 설정 결과 확인 3. 참고 https://www.inflearn.com/course/aws-%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EC%9D%B8%ED%94%84%EB%9D%BC-%EA%B8%B0%EB%B3%B8
1. 구성도 1.1. S3를 활용한 구성 1.2. S3 + CloudFront를 활용한 구성 2. S3 정적 웹사이트 구성 S3 생성 S3 > 버킷 만들기 > 버킷 이름과 리전 설정 > 버킷 만들기(속도 테스트를 위해 대한민국과 지리적으로 먼 임의의 해외 리전 선택) 생성한 버킷에 파일 업로드 S3 호스팅 기능 활성화 S3 > 속성 > 정적 웹 사이트 호스팅 편집 > 활성화 > 인덱스 문서 설정 > 변경사항 저장 버킷 엔드포인트로 접근 시 403 확인 버킷 접근권한 설정 S3 > 권한 > 퍼블릭 액세스 차단(버킷 설정) 편집 > 모든 퍼블릭 액세스 차단 체크 해제 > 변경 사항 저장 오브젝트 접근권한 설정 S3 > 권한 > 버킷 정책 편집 > 아래 정책 붙여넣기 > 변경 사항 저장 { "Id": "Pol..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 다양한 서비스에 대한 백업 수행 및 백업 정책 적용을 중앙에서 관리할 수 있는 Backup 서비스를 설정하여 리소스에 대한 보호 필요 [주의] Backup 서비스는 백업이 저장되는 용량에 따라 요금이 발생하므로, 설정 전 백업 대상과 주기에 대해 면밀히 검토 필요 비용 산정 기준 2. 취약점 판단 기준 AWS Backup을 설정하지 않은 경우 취약 AWS Backup을 설정한 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [Backup] 검색 → [백업 계획] 메뉴 → Prod 환경에 대한 백업 계획 생성 여부 확인 4. 취약점 조치 방법 [백업 볼트] 메뉴 ..
