create value with tech, not tool

안녕하세요. AWS 서비스와 3rd party SSO 솔루션 연동을 위해 AWS IAM SAML 자격 증명에 대해 좀 더 깊이 살펴보고자 내용을 작성했습니다. 외부에서 사용자 자격 증명을 관리하고 있다면 AWS 계정에서 IAM 사용자를 생성하는 대신 외부 ID 제공업체(IdP)를 사용하여 AWS 외부에서 사용자 ID를 관리할 수 있습니다. 아이덴티티 공급업체(IdP, Identity Provider)란 디지털 아이덴티티를 저장 및 관리해 주는 서비스 업체를 말합니다. Google이나 Facebook 로그인을 사용해 앱에 액세스한 경험이 있다면 IdP를 이미 사용해 본 셈입니다. 사용자 이름과 비밀번호를 입력하여 다른 리소스에 액세스할 뿐, 그 밖에 따로 해야 할 일은 없습니다. [참고 — Okta 아이덴..

안녕하세요. AWS AppStream 서비스를 이해하기 위해 AppStream 2.0 workshop을 진행하며 관련 내용을 정리했습니다. 환경 구성 CloudFormation 환경 구성 VPC 및 서브넷 서울 리전(ap-northeast-2)에 구성 [ Yaml 참고 , AppStream Github ] VPC 2 private subnets 1 public subnet Internet gateway, NAT gateway and related routes AppStream 2.0 Image builder AppStream 2.0 service role (if the CreateAS2Role parameter is set to true) AppStream 2.0이 제대로 작동하려면 VPC에 하나 이상의..

안녕하세요. 최근 Security Hands-On을 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 AWS 사용자그룹 security 소모임 내용을 기반으로 했습니다. 클라우드 보안에 대한 생각은? 무엇이 클라우드 보안인가? aws security is job zero AWS 규정 준수 프로그램 Shared Responsibility Model(공동 책임 모델) 벤더가 control 할 수 있는 영역과 고객이 control 할 수 있는 영역이 나뉘어있음 3rd party 경우도 구성 방법에 따라 공유 책임 모델이 달라짐 예)customer — EC2 Linux 인스턴스에서 열려있는 포트를 결정하는 SG 그룹 규칙 구성, 최신 보안 패치로 운영체제 패치, S3 버킷에 대한 서버측..

안녕하세요. Developing on AWS 실습 내용을 진행하며 aws 내 cli, sdk, api 사용 관련 주요 내용을 정리한 글입니다. 개발 환경 구성 # IDE 설치 확인 $ python --version# AWS CLI 설치 확인 $ aws --version$ aws configure $ aws sts get-caller-identity# IAM 권한 확인 $ aws s3 ls$ bucketToDelete=$(aws s3api list-buckets --output text --query 'Buckets[?contains(Name, `deletemebucket`) == `true`] | [0].Name')# s3 삭제 시도 $ aws s3 remove-bucket s3://$bucketToDe..

안녕하세요. AWS Blueprints Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://d2gp23xds933l5.cloudfront.net/ CLUSTER PROVISIONING AND MANAGEMENT WITH EKS-A BARE METAL DEPLOY WORKLOADS TO EKS-A BARE METAL COST MANAGEMENT WITH KUBECOST ON EKS-A BARE METAL Kubecost is a comprehensive cost monitoring & optimization solution for teams running Kubernetes and is a recommended cost monitoring tool for Amazon EKS an..

안녕하세요. AWS Blueprints Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://catalog.workshops.aws/eks-blueprints-for-cdk/en-US 1. Create multiple EKS clusters using Pipelines 2. Implement Blueprints add-ons 3. Deploy your teams’ workloads GitOps를 쓰는 이유 개발자에게 익숙한 절차 빠른 복구와 자동화 여러 배포 모드 작동 가능 확장성 및 안정성 실행 중인 환경에서 애플리케이션 분리됨 ArgoCD Argo CD is a declarative, GitOps continuous delivery tool for Kubernetes. The..

안녕하세요. AWS EKS Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://www.eksworkshop.com/ PREREQUISITES https://www.eksworkshop.com/020_prerequisites/ https://www.eksworkshop.com/030_eksctl/ Beginner DEPLOY THE EXAMPLE MICROSERVICES DEPLOY OUR SAMPLE APPLICATIONS apiVersion: apps/v1 kind: Deployment metadata: name: ecsdemo-nodejs labels: app: ecsdemo-nodejs namespace: default spec: replicas: 1 selector: m..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. Guardducy, Macie, Inspect는 aws security service 중 detect 기능을 담당하는 서비스로 보안 위협을 감지해줍니다. AWS security services GuardDuty Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다. 아래와 같은 기능을 제공합니다. AWS 계정, EC2 워크로드, 컨테이너 애플리케이션 및 S3 모니터..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. SNS(Simple Notification Service) SNS는 메시지 전송 서비스 입니다. 메시지를 게시할 때 암호화 하기 위해 KMS에서 제공하는고객마스터키(CMK)를 사용합니다. SNS 서비스 → 주제생성 유형 : 표준 이름 : yhshimsec 표시이름 : yhshimsec SNS 서비스 → 구독생성 주제 : yhshimsec 선택 프로토콜 : 이메일 선택 엔드포인트 : SNS 알림을 수신할 이메일 주소 작성 SNS 서비스 → 주제 → yhshimsec → 구독자상..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. ELB ELB를 통해 트래픽을 부하분산합니다. 아래 그림과 같이 ELB Owner/IAM User가 console, api, cli 등으로 ELB를 생성하게 되고 사용자 트래픽에 따라 ALB, NLB 등이 서버 앞단에 배치되어 트래픽을 부하분산해줍니다. Overview of AWS Elastic Load Balancer (ELB) 여기에 도메인을 붙이기 위해 AWS route53 서비스를 사용하거나 인증서 발행을 위해 ACM 서비스를 사용해서 TLS 설정으로 보안을 강화해줄 ..