AWS 클라우드 개요 - 리전 및 AZ
How to choose an AWS Region?
- 새로운 애플리케이션을 출시하는 경우 어디 리전을 선택해야 할까?
=> 정답은 상황에 따라 다르다 !
- AWS Availability Zones
가용 영역은 리전 내에 존재한다.
만약 ap-southeast-2a에 문제가 생기게 되면 ap-southeast-2b, 2c에는 영향을 미치지 않도록 설계되어 있다. (high bandwidth, ultra-low latency networking)
IAM 및 AWS CLI
IAM 소개 : 사용자, 그룹, 정책
IAM : Identity and Access Management, Global service
- Root Account created by default
- Groups only contain users, not other groups
- Users don't have to belong to a group, and user can belong to multiple groups
각각의 그룹을 나누는 이유 ?
AWS 계정을 사용하도록 허용하기 위함, 허용을 위해선 권한을 부여해야 한다.
- Users or Group JSON : IAM 권한을 JSON 방식으로 표현
AWS 는 유저에게 최소권한의 원칙(least privilege principle) 을 적용한다
IAM 정책
IAM Policies inheritance
Developers, Operations, individual user 모두 각각의 정책을 설정할 수 있다.
IAM Policies Structure
IAM 정책 설정은 JSON 으로 표현되는데 버젼정보, ID, Statement가 존재한다.
Statement : Sid, Effect, Principal, Action, Resource, Condition
- SID: 식별자
- Effect : 특정API에 접근하는 걸 허용할지, 거부할지
- Principal : 특정 정책이 허용될 사용자, 계정, 역할 (root)
- Action : effect에 기반해 거부되는 API의 목록
- Resource : 적용 될 Action의 리소스 목록
- Condition : Statement가 언제 적용될지 선택 옵션(필수 아님)
IAM MFA 개요
IAM - Password Policy
사용자의 그룹을 생성 하였으면, 이 그룹과 사용자들의 정보가 침해당하지 않도록 보호해야 한다.
두가지 방어 매커니즘이 존재한다
(1) 비밀번호 정책 정의
- 비밀번호가 강력할수록 계정 보안이 철저해진다.
- 비밀번호의 최소길이 설정
- 특정 유형을 설정
- IAM 사용자들의 비밀번호 변경을 허용, 비 허용
- IAM 사용자들의 비밀번호를 만료시켜 새 비밀번호 설정을 요구
- 비밀번호 재 사용을 막아 동일 비밀번호 사용 못하게 막음
(2) 다요소 인증, MFA(Multi Factor Authentication)
사용자들이 AWS에서 많은 작업을 할 수 있는데 관리자 같은 경우 구성을 변경하거나 리소스를 삭제하는 등의 작업을 할 수 있다.
그래서 Root계정은 반드시 보호해야 한다.
-
MFA = password + security device you own
-
MFA 의 장점 : if a password is stolen or hacked, the account is not compromised
MFA devices options
-
virtual MFA device : Google Authenticator, Authy(multi-device) => multi token or single token 제공
-
Universal 2nd Factor Security Key : 3rd party Device(usb)
-
Hardware Key Fob MFA Device
-
Hardware Key Fob MFA Device for AWS GovCloud : Security 3rd Device(은행 보안 인증서 같은 것)
