Shared network storage( EFS )

아키텍쳐 1

좋아요 👍 내용은 그대로 유지하면서 구조만 정리 + 가독성 개선해서 깔끔하게 다시 정리해드릴게요.

---

📌 아키텍처 설명

이 아키텍처는 IAM 권한을 이용하여 EC2 3대 중 2대만 EFS를 공유하고, 나머지 1대는 접근을 제한하는 구조입니다.

🔐 IAM 권한 분리 전략

• EC2 2대
  • ClientMount + ClientWrite → 마운트 + 읽기/쓰기 가능
    
• EC2 1대
  • 선택 1: 마운트 권한 없음 → 접근 불가
  • 선택 2: ClientMount만 → 읽기만 가능
  • 선택 3: 둘 다 없음 → 완전 차단

---

📌 아키텍처 시나리오 (EFS 기반)

1. 고가용성 웹 서버 공유 저장소

• 구성
  • 2~3대 EC2 (각기 다른 AZ)
• EFS
  • /var/www/html 등에 마운트하여 동일 콘텐츠 제공

🔐 보안 정책

✔ Security Group

1. EC2 Security Group

• Inbound
  • SSH (22)
  • HTTP / HTTPS (80 / 443)
• Outbound
  • 80 / 443 → 0.0.0.0/0 허용 → 패키지 설치 및 AWS API 통신 필요
    

---

2. EFS Security Group

• Inbound
  • NFS (2049)
  • Source: EC2 Security Group ❗ 절대 0.0.0.0/0 금지
    
• Outbound
  • All Traffic 허용 (기본값 유지)

---

📌 사용자 데이터 (User Data)

🔹 읽기 전용 EC2

#!/bin/bash
yum update -y
yum install -y amazon-efs-utils

mkdir -p /mnt/efs_readonly

# Read-Only 마운트
mount -t efs -o tls,ro <EFS_ID>:/ /mnt/efs_readonly

# 자동 마운트 설정
echo "<EFS_ID>:/ /mnt/efs_readonly efs _netdev,tls,ro 0 0" >> /etc/fstab

---

🔹 읽기 + 쓰기 EC2

#!/bin/bash
yum update -y
yum install -y amazon-efs-utils

mkdir -p /mnt/efs_fullaccess

# 기본 (Read/Write)
mount -t efs -o tls <EFS_ID>:/ /mnt/efs_fullaccess

# 자동 마운트
echo "<EFS_ID>:/ /mnt/efs_fullaccess efs _netdev,tls 0 0" >> /etc/fstab

# 권한 설정
chown ec2-user:ec2-user /mnt/efs_fullaccess
chmod 775 /mnt/efs_fullaccess

---

📌 IAM Policy

🔹 읽기 전용

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["elasticfilesystem:ClientMount"],
      "Resource": "arn:aws:elasticfilesystem:<리전>:<계정ID>:file-system/<EFS_ID>"
    }
  ]
}

---

🔹 읽기 + 쓰기

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "elasticfilesystem:ClientMount",
        "elasticfilesystem:ClientWrite"
      ],
      "Resource": "arn:aws:elasticfilesystem:<리전>:<계정ID>:file-system/<EFS_ID>"
    }
  ]
}

---

📌 EFS 파일 시스템 정책

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowRWAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<계정ID>:role/<RW_ROLE_NAME>"
      },
      "Action": [
        "elasticfilesystem:ClientMount",
        "elasticfilesystem:ClientWrite"
      ],
      "Resource": "arn:aws:elasticfilesystem:<리전>:<계정ID>:file-system/<EFS_ID>",
      "Condition": {
        "Bool": {
          "elasticfilesystem:AccessedViaMountTarget": "true"
        }
      }
    },
    {
      "Sid": "AllowROAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<계정ID>:role/<RO_ROLE_NAME>"
      },
      "Action": "elasticfilesystem:ClientMount",
      "Resource": "arn:aws:elasticfilesystem:<리전>:<계정ID>:file-system/<EFS_ID>",
      "Condition": {
        "Bool": {
          "elasticfilesystem:AccessedViaMountTarget": "true"
        }
      }
    }
  ]
}

---

📌 EFS 마운트 명령어 정리

1. 설치 및 디렉토리 생성

sudo yum install -y amazon-efs-utils
sudo mkdir -p /mnt/efs

---

2. 기본 마운트

sudo mount -t efs -o tls,iam fs-00816bdd3d0cbdaec /mnt/efs

---

3. 권한 문제 해결

✔ 방법 A: IAM 정책 수정

{
  "Effect": "Allow",
  "Action": [
    "elasticfilesystem:ClientMount",
    "elasticfilesystem:ClientWrite",
    "elasticfilesystem:ClientRootAccess"
  ],
  "Resource": "arn:aws:elasticfilesystem:리전:781729906178:file-system/fs-00816bdd3d0cbdaec"
}

---

✔ 방법 B: Access Point 사용

# 기존 마운트 해제
sudo umount /mnt/efs

# Access Point 포함 마운트
sudo mount -t efs -o tls,iam,accesspoint=fsap-xxxxxxxxxxxxxxxxx fs-00816bdd3d0cbdaec /mnt/efs

---

4. 테스트

# 파일 생성
echo "admin success" | sudo tee /mnt/efs/test.txt

# 파일 확인
ls -la /mnt/efs/

---

✅ 핵심 정리 (시험 포인트)

• IAM으로 EC2별 접근 권한 분리
• EFS SG는 반드시 EC2 SG만 허용
• ClientMount vs ClientWrite 차이 이해
• 읽기 전용은 ro 옵션
• 권한 오류 → ClientRootAccess 또는 Access Point

---

원하면 👉 “시험에 나올 포인트만 1페이지 요약”도 만들어줄게 👍