[AWS] IAM Role for SeviceAccount (IRSA) IAM과 RBACEKS 환경에서 사용자가 kubectl 명령어를 실행하면, 클러스터는 IAM을 통해 권한을 확인한다.EKS에서의 인증, 인가 구조는 다음과 같다.💡 자세히 알아보기요청이 들어오면 IAM Client에 요청을해서 bearer 토큰을 받게 된다.그 이후 Pre-signed URL이 생성되고 API 서버에서 Id Token을 확인한다 (AWS-IAM-Authenticator Server)토큰 값이 일치하면 ConfigMap(AWS-Auth)와 K8s RBAC이 Rolebinding을 하여 Role을 확인한다. IAM Roles for Service Accounts (IRSA)AWS IRSA는 AWS EKS의 클러스터에서 ..
[AWS] S3의 ACL 구성S3 버킷에 대한 액세스 권한을 관리할 때, ACL(액세스 제어 목록)을 사용할 수 있다.콘솔 ,aws cli, SDK를 사용하면 리소스에 대해 권한 부여를 추가할 수 있다. 버킷 및 객체 권한은 서로 독립적이며, 객체는 해당 버킷으로부터 권한을 상속하지 않는다. 최신의 대부분은 더 이상 ACL을 사용 할 필요가 없으며. 각 객체에 대해 액세스를 개별적으로 제어할 필요가 있는 드문 상황을 제외하고는 ACL을 비활성화 한 채로 두는 것이 좋다. 다만 버킷의 설정에 따라 sync나 cp 작업을 할 때, 대상 버킷에 복제가 되더라도 객체의 권한이 없어 다운로드/읽기가 안되는 경우가 있었다. 그때 사용할 수 있는 명령어를 알아보자. ACL 옵션AWS CLI 버전 2 부터는 소스에서..
[AWS] S3 수명 주기 정책 (Life Cycle Rule) S3 버킷에 저장된 객체가 일정 시간이 지나서, 액세스 할 필요가 없거나 삭제가 필요할 때 S3 수명 주기를 구성하면 효율적인 비용 절감이 가능하다. 전환 작업 객체가 다른 스토리지 클래스로 전환되는 시기를 정의한다. 예를 들어 30일이 지나면 STANDARD-IA 스토리지 클래스로 전환하고, 1년이 지나면 Glacier 클래스로 전환이 가능하다. 만료 작업 객체가 만료되는 시기를 정의한다. S3에서 만료된 객체를 자동으로 삭제한다. 수명주기 구성하기 수명주기 설정은 aws 콘솔에서 설정이 가능하다. 수명주기를 구성하고 싶은 버킷의 관리탭에서 수명 주기 규칙 생성을 클릭한다. 누르면 규칙 이름과 필터를 걸 수 있는데, 접두사로 제한하는 필터..
[AWS] ECR 로그인 & 빌드 및 푸쉬 ECR(Elastic Container Registry)은 AWS의 관리형 컨테이너 이미지 레지스트리 서비스다. 도커 허브와 비슷한 개념으로 보면 된다. ECR은 S3로 이미지를 관리하기 때문에 고가용성을 보장하고 IAM 인증을 통해 권한 관리가 가능하다. Docker CLI 및 AWS CLI를 통해 컨테이너 이미지를 ECR에 빌드 및 푸쉬가 가능하다. ECR에 이미지를 빌드 및 푸쉬하는 과정을 알아보자. 로그인 aws ecr get-login-password 프라이빗 ECR에 대한 권한이 있는 IAM 사용자로 위 명령어를 사용하면, 로그인이 된다. aws ecr get-login-password --region --profile mfa | docker logi..
[AWS] Lambda Connection Handler 앞선 포스팅에서 Client VPN을 구성하고 연결하는 과정을 진행해봤다. (https://heywantodo.tistory.com/304) AWS Client VPN은 Client VPN Endpoint를 통해 접속한 Clinet들의 목록을 확인하고, 정책의 업데이트 혹은 의도하지 않은 사용자의 접속이 감지 된 경우 강제 연결 종료를 시킬 수 있는 등의 다양한 관리 기능을 제공한다. Lambda Connection Handler Lambda Connection Handler를 이용하여 추가적인 보안 정책 및 VPN 운영 정책을 관리하고 적용할 수 있다. Handler는 AWS 람다 기능을 통해 구현되며, 사전에 정책들을 검토하고 정책이 통과되었을..
[AWS] Transit Gateway AWS Transit Gateway는 중앙 허브를 통해 VPC와 온프레미스 네트워크를 연결한다. 복잡한 피어링 관계를 제거하여 네트워크를 간소화한다. 클라우드 라우터 역할을 하므로 새로운 연결을 한 번만 추가하면 된다. 글로벌 확장 시 리전 간 피어링을 사용하면 AWS 글로벌 네트워크에서 AWS Transit Gateway를 하나로 연결 할 수 있다. 데이터는 자동으로 암호화되고 퍼블릭 인터넷을 통하지 않는다. AWS TGW 사용 이점 1. 간편한 연결 : AWS TGW는 클라우드 라우터 역할을 하므로 네트워크 아키텍처가 간소화된다. 네트워크 확장 시 증가하는 연결 관리로 인한 복잡성이 발생하지 않는다. 2. 가시성 및 제어 향상 : 중앙 콘솔에서 VPC 및 엣지 ..
[AWS] Client VPN (2) aws workshop studio의 [PRD] 2024 ConntectX for Partners - Hybrid Network using AWS VPN의 lab을 정리한 내용이다 https://heywantodo.tistory.com/304 앞선 포스팅에서 Client VPN을 생성하고, 생성한 Endpoint에 대한 VPC 연결을 완료했다. 생성한 Client Endpoint에 접속하기 위해선, 관리자가 배포한 인증서와 접속 프로그램이 필요하다. 접속 프로그램은 AWS Client VPN을 사용하며, 아래 링크에서 운영체제에 맞는 프로그램을 다운 받을 수 있다. https://aws.amazon.com/ko/vpn/client-vpn-download/ AWS Cl..
[AWS] Client VPN (1) aws workshop studio의 [PRD] 2024 ConntectX for Partners - Hybrid Network using AWS VPN의 lab을 정리한 내용이다 Client VPN AWS 리소스 및 온프레미스 네트워크의 리소스에 안전하게 액세스할 수 있도록 하는 관리형 클라이언트 기반 VPN 서비스다. Client VPN에서는 OpenVPN 기반 VPN 클라이언트를 사용하여 어떤 위치에서든 리소스에 액세스할 수 있다. AWS Client VPN은 완전 관리형의 탄력적 VPN 서비스로, 사용자 요구 사항에 맞추어 자동으로 확장하거나 축소가 가능하다. 시나리오는 다음과 같다 AnyCompany는 현재 서울에 본사(headquater, HQ)를 두고있으..
[AWS] On-Premises와 AWS간의 Hybrid DNS aws workshop studio의 [PRD] 2024 ConntectX for Partners - Hybrid Network using AWS VPN의 lab을 정리한 내용이다. 시나리오는 다음과 같다. Anycompany는 On-Premises사용자들을 위해 DNS서버(Domain : anycompany.corp)가 구성되어 있습니다. AWS에는 Route53을 이용하여 DNS(awsanycompany.corp)이 구성되어 있습니다. 1) On-Premises 및 AWS 시스템간의 도메인을 통한 접속을 하고자 합니다. 2) AWS시스템에 접속할 때, IPv4주소를 기억하지 않고 Domain(awsanycompany.corp)정보를 이용..
[AWS] Site-to-Site VPN 구성하기 aws workshop studio의 [PRD] 2024 ConntectX for Partners - Hybrid Network using AWS VPN의 lab을 정리한 내용이다. 시나리오는 다음과 같다. AnyCompany는 현재 서울에 본사(headquater, HQ)를 두고있으며 On-prem IDC 또한 서울에 위치하여 사용하고 있습니다. 1) 클라우드 워크로드의 도입으로 인하여 AWS로의 마이그레이션이 이루어지고 있지만 여전히 IDC의 몇몇 데이터 및 워크로드가 필요합니다. 2) 또한, 브라질 상파울루 오피스와의 안정적인 네트워크 연결이 필요하나, 물리적으로 매우 먼 거리와 현지 공인망의 불안정성으로 인하여 네트워크 상황이 불안정합니다. 3) ..
[AWS] Site-to-site VPN AWS Site-to-site VPN을 이용하면 on premise의 데이터 센터 혹은 지점과 AWS 클라우드 리소스 사이에서 안전한 네트워크 연결을 생성할 수 있다. AWS S2S VPN은 2개의 터널을 사용하여 고가용성을 지원하고, IPsec 및 TLS 터널과의 안전한 프라이빗 세션을 설정할 수 있다. Site-to-Site VPN 구성 요소 Site-to-Site VPN 연결은 AWS측의 가상 프라이빗 게이트웨이 또는 Transit Gateway와 on-prem측의 고객 게이트웨이 사이에 두 개의 VPN 터널을 제공한다. 1. 가상 프라이빗 게이트웨이 혹은 Transit Gateway AWS 환경을 VPN으로 연결 할 Endpoint 가상 프라이빗 게이트웨이..
[AWS] profile 확인 AWS 자격 증명을 구성할 때, role이나 access key같은 방법 등을 사용해서 자격 증명을 구성하게 되는데, 구성한 자격 증명은 .aws/credentials에서 프로필을 지정 후 --profile=프로필명으로 구성이 사용이 가능하다. 다만 어떤 자격 증명이 우선 순위에 있는지, 현재 어떤 자격증명이 default로 사용이 되는지 확인을 하고 싶을땐 아래 명령어로 확인이 가능하다 aws sts get-caller-identity 실행 결과 { "UserId": "AIDASAMPLEUSERID", "Account": "123456789012", "Arn": "arn:aws:iam::123456789012:user/DevAdmin" } 참고 https://passwd...