AWS40 [AWS] Security Group vs NACL Security GroupNACL인스턴스 레벨에서 동작서브넷 레벨에서 동작Allow 규칙만 지원Allow 및 Deny 규칙을 모두 지원상태 저장: 반환 트래픽은 규칙과 상관없이 자동 허용상태 비저장: 반환 트래픽은 명시적으로 허용해야 함 (에페메럴 포트 고려)모든 규칙이 평가된 후 트래픽 허용 여부 결정규칙이 순서대로 평가됨 (낮은 번호 우선, 첫 일치 규칙 적용)지정된 경우 EC2 인스턴스에 적용연결된 서브넷의 모든 EC2 인스턴스에 자동 적용 일반적으로 Security Group으로 Allow를 관리하되,정말 명시적으로 Deny가 필요한 경우에만 NACL을 쓰는게 관리포인트를 준일원화하여 리소스를 줄이는 길이 아닐까 판단된다. (개인적인 생각) 2024. 12. 20. [AWS] VPC Subnet의 할당 불가능한 IP에 대해 VPC의 서브넷에는 5개의 IP 주소가 자동으로 할당되는데, CIDR 블록에 정의된 IP 주소 중 일부는 예역되어 있어서 사용자 리소스에 할당할 수 없다. 이러한 할당 불가능한 IP는 AWS가 네트워크 인프라의 정상 동작을 위해 예약한 IP 주소들이다. 예약된 IP 주소서브넷의 첫 번째~네 번째 IP와 마지막 IP는 할당 불가능하다.첫 번째 IP (x.x.x.0)서브넷 네트워크 주소로 사용된다. 네트워크의 식별자 역할을 한다.두 번째 IP (x.x.x.1)VPC 라우터의 IP 주소로 사용된다. 라우팅 테이블에 따라 트래픽을 다른 서브넷이나 인터넷으로 전달한다.세 번째 IP (x.x.x.2)AWS에서 예약한 DNS 서버 주소이다. DNS 쿼리를 처리할 때 사용된다.네 번째 IP (x.x.x.3)미래 사용을.. 2024. 12. 20. [AWS] SSH(port 22) 없이 EC2에 접근하기 EC2에 접근하는 방법은 총 3가지가 있다.터미널 SSHEC2 Instance ConnectSession Manager1, 2번 접근 방식: SSH 필요포트 22를 열어야 SSH를 통해 접근할 수 있다.보안 그룹에 포트 22 허용이 필요하다. 3번 접근 방식: Session Manager포트를 열지 않고도 EC2에 접근할 수 있다.AWS Systems Manager의 Session Manager 기능을 사용한다. 설정 방법1. EC2 인스턴스에 부여할 IAM RoleAmazonSSMManagedInstanceCore 정책을 부여해야 한다.이 정책에는 다음 권한이 포함되어 있다:ssm:GetCommandInvocationssm:SendCommandssm:StartSession2. 사용자에게 부여할 IAM .. 2024. 12. 16. [AWS] CloudWatch vs CloudTrail vs Config 서비스기능CloudWatch- 성능 모니터링 및 대시보드- 이벤트 및 알림- 로그 집계 및 분석CloudTrail- 계정 내에서 발생하는 모든 API 호출 기록- 특정 리소스를 위한 트레일 설정 가능- 글로벌 서비스Config- 리소스 설정 변경 사항 기록- 리소스를 규정 준수 기준과 비교 평가- 변경 이력 및 규정 준수 상태 타임라인 제공 2024. 12. 15. [AWS] CloudTrail AWS CloudTrailAWS CloudTrail은 AWS 계정에서 발생한 모든 API 호출과 이벤트를 기록하고 감사(Audit) 및 분석할 수 있도록 제공하는 서비스.주요 기능API 호출 기록AWS 계정에서 수행된 모든 API 요청 (AWS Management Console, AWS CLI, SDK, 서비스 간 호출 등)을 자동으로 기록.기록된 정보:호출한 사용자 또는 서비스API 요청 및 응답의 세부 정보호출 시간, 리전, 소스 IP 주소 등이벤트 히스토리최근 90일간의 이벤트 기록을 AWS Management Console에서 조회 가능.추가로 S3 버킷이나 CloudWatch Logs로 이벤트를 저장해 장기 보관 및 분석 가능.보안 감사 및 규정 준수누가, 언제, 어떤 리소스에 접근했는지 추적할.. 2024. 12. 15. 이전 1 2 3 4 5 ··· 8 다음 728x90
