AWS41 [AWS] CloudWatch 기본 모니터링 vs 세부 모니터링 CloudWatch 기본 모니터링과 세부 모니터링의 주요 차이는 모니터링 간격과 금액 뿐이다. 기본 모니터링은 5분 간격으로 지표를 수집하고, 세부 모니터링은 1분 간격으로 지표를 수집한다. 기본 모니터링은 무료이고, 세부 모니터링은 유료인데, 금액이 부담될 경우 특별히 지표 수집을 자주해야하는 경우에만 세부 모니터링을 활성화하면 된다. 2024. 12. 22. [AWS] Amazon Inspector Amazon Inspector는 AWS에서 제공하는 자동 보안 평가 완전 관리형 서비스이다.EC2 인스턴스와 ECR 내 컨테이너 이미지들의 취약점과 비정상적인 동작을 자동으로 탐지하고 보고하는 데 사용돼. 이를 통해 보안 위험을 줄이고 규정 준수 요구사항을 충족할 수 있다. 주요 기능 및 목적취약성 스캐닝Amazon Inspector는 EC2 인스턴스와 컨테이너 이미지(ECR)를 스캔해 다음과 같은 취약점을 자동으로 감지:소프트웨어 취약점: 잘 알려진 CVE(Common Vulnerabilities and Exposures) 기반.잘못된 구성: 비밀번호 정책, 네트워크 설정, 권한 문제 등.자동화된 지속 스캐닝새 인스턴스 배포 또는 컨테이너 이미지 업데이트 시 자동으로 취약성을 검사해, 지속적인 보안 관.. 2024. 12. 21. [AWS] Security Group vs NACL Security GroupNACL인스턴스 레벨에서 동작서브넷 레벨에서 동작Allow 규칙만 지원Allow 및 Deny 규칙을 모두 지원상태 저장: 반환 트래픽은 규칙과 상관없이 자동 허용상태 비저장: 반환 트래픽은 명시적으로 허용해야 함 (에페메럴 포트 고려)모든 규칙이 평가된 후 트래픽 허용 여부 결정규칙이 순서대로 평가됨 (낮은 번호 우선, 첫 일치 규칙 적용)지정된 경우 EC2 인스턴스에 적용연결된 서브넷의 모든 EC2 인스턴스에 자동 적용 일반적으로 Security Group으로 Allow를 관리하되,정말 명시적으로 Deny가 필요한 경우에만 NACL을 쓰는게 관리포인트를 준일원화하여 리소스를 줄이는 길이 아닐까 판단된다. (개인적인 생각) 2024. 12. 20. [AWS] VPC Subnet의 할당 불가능한 IP에 대해 VPC의 서브넷에는 5개의 IP 주소가 자동으로 할당되는데, CIDR 블록에 정의된 IP 주소 중 일부는 예역되어 있어서 사용자 리소스에 할당할 수 없다. 이러한 할당 불가능한 IP는 AWS가 네트워크 인프라의 정상 동작을 위해 예약한 IP 주소들이다. 예약된 IP 주소서브넷의 첫 번째~네 번째 IP와 마지막 IP는 할당 불가능하다.첫 번째 IP (x.x.x.0)서브넷 네트워크 주소로 사용된다. 네트워크의 식별자 역할을 한다.두 번째 IP (x.x.x.1)VPC 라우터의 IP 주소로 사용된다. 라우팅 테이블에 따라 트래픽을 다른 서브넷이나 인터넷으로 전달한다.세 번째 IP (x.x.x.2)AWS에서 예약한 DNS 서버 주소이다. DNS 쿼리를 처리할 때 사용된다.네 번째 IP (x.x.x.3)미래 사용을.. 2024. 12. 20. [AWS] SSH(port 22) 없이 EC2에 접근하기 EC2에 접근하는 방법은 총 3가지가 있다.터미널 SSHEC2 Instance ConnectSession Manager1, 2번 접근 방식: SSH 필요포트 22를 열어야 SSH를 통해 접근할 수 있다.보안 그룹에 포트 22 허용이 필요하다. 3번 접근 방식: Session Manager포트를 열지 않고도 EC2에 접근할 수 있다.AWS Systems Manager의 Session Manager 기능을 사용한다. 설정 방법1. EC2 인스턴스에 부여할 IAM RoleAmazonSSMManagedInstanceCore 정책을 부여해야 한다.이 정책에는 다음 권한이 포함되어 있다:ssm:GetCommandInvocationssm:SendCommandssm:StartSession2. 사용자에게 부여할 IAM .. 2024. 12. 16. 이전 1 2 3 4 5 ··· 9 다음
