AWS 아키텍처 파악과 보안 이해

1. AWS 아키텍처 파악

구분	내용
리전 (Region)	사용자가 서비스를 배포할 위치를 선택하는 데 사용 각 리전은 전 세계에 운영중이며, 여러 개의 가용 영역으로 구성
가용 영역 (Availability Zone)	하나 이상의 데이터 센터로 구성된 물리적인 위치 각 가용 영역은 격리되어 있어, 장애가 발생해도 다른 가용 영역으로 서비스를 전환하여 높은 가용성과 내결함성을 제공
VPC (Virtual Private Cloud)	가상 네트워크의 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이 등을 정의하여 고유한 네트워크 환경을 구축
서브넷 (Subnet)	IP 주소 범위를 지정하여 분할된 네트워크 영역 표현 VPC 내에서 리소스를 그룹화하고 네트워크를 세분화하여 보안 및 네트워크 트래픽을 관리
EC2 (Elastic Compute Cloud)	가상 서버를 호스팅하는 서비스 사용자는 필요에 따라 가상 서버를 프로비저닝하고 구성하여 애플리케이션을 실행
S3 (Simple Storage Service)	데이터를 저장하고 검색할 수 있는 객체 스토리지 서비스 웹 사이트 호스팅, 백업 및 복구, 자료 저장 등 다양한 용도로 사용
라우팅 테이블 (Routing Table)	VPC 내에서 라우팅 결정을 지정하는 주요 매커니즘 목적지 IP 주소 및 대상 네트워크 및 해당 대상에 대한 전송 대상을 지정하는 라우팅 엔트리로 구성
인터넷 게이트웨이 (Internet Gate Way)	IGW가 연결된 VPC는 공인 IP 주소를 할당받고, 인터넷 통신 가능
NACL (Network Access Control List)	서브넷 단위에서 네트워크 트래픽을 제어하여 트래픽 흐름을 조정 포트번호 및 프로토콜에 대한 액세스 규칙을 정의(허용 및 거부)
보안 그룹 (Security Group)	인스턴스 단위에서 인바운드 및 아웃바운드 트래픽을 제어 포트번호 및 프로토콜에 대한 액세스 규칙을 정의(허용)

 

2. VPC 구성 실습

1. VPC 내에 Public subnet과 Private subnet 각각 생성
2. Public subnet에 EC2 Instance, Private subnet에 S3 Instance 생성
3. 보안그룹을 생성하여 Instance 수준에서 보안 정책 설정 가능(Stateful)
4. NACL을 생성하여 Subnet 수준에서 보안 정책 설정 가능(Stateless)
5. IGW를 구성하여 Public subnet과 인터넷 통신 연결

 

3. IAM(Identity and Access Management)

AWS 리소스에 대한 보안을 관리하기 위한 서비스로 AWS 계정 내에서 사용자 및 그룹을 생성하고, 이들에게 필요한 권한을 부여하거나 제한할 수 있습니다.

구분	내용
사용자	AWS 계정에 로그인할 수 있는 개별 사용자를 생성 및 삭제
그룹	여러 사용자를 하나의 그룹으로 그룹화하여 해당 그룹에 대해 권한을 부여하거나 제한
정책	IAM 정책을 사용하여 사용자 또는 그룹에 대한 권한을 정의  JSON(JavaScript Object Notation)형식으로 정의
역할	AWS 리소스에 부여하여 무엇을 할 수 있는지를 정의 혹은 사용자에게 역할 부여 역할을 바꾸어 가며 서비스를 사용 가능

 

4. IAM 실습

1. 사용자(user-1,user-2), 사용자 그룹(test-group) 생성
2. 사용자(user-1)을 사용자 그룹(test-group)에 추가
3. 정책(test-EC2, test-S3) 생성
4. 사용자 그룹(aws-test)에 정책(test-EC2) 부여, 사용자(user-2)에 정책(test-S3) 부여
5. 정책 시뮬레이터를 활용하여 테스트