말라가시프랑의 세계

CloudFront 미리 준비된 정책 사용자가 접속할 수 없는 날짜, 시간을 설정 가능 각 문서마다 액세스 만료 날짜가 다르기 때문에 재사용 불가 서명된 URL 개별 파일, 문서의 다운로드나 액세스를 제한하고 싶을 때 사용 서명 쿠키 다수의 파일, 문서 현재의 URL을 바꾸고 싶지 않은데 사용자를 제한하고 싶을 때 사용 Simple AD Microsoft Exchange를 지원하지 않음 WAF 포괄적인 로깅 활성화 WAF, Firehose, S3 VPC VPC Flow log NAT는 인터넷 수신을 허용x, But 보안그룹, NACL에서 허용으로 설정되어있으면 허용으로 나타남 DX Public, Private, Transport 3가지의 가상 인터페이스 제공 Public: Public ip를 사용하여 모..

AMI AMI CVE평가를 진행하는 방법 람다를 사용하여 자동 승인규칙 작성, 승인된 AMI 목록을 파라미터 스토어에 저장, 이벤트 브릿지를 사용하여 일정 기간마다 EC2에서 AutoScaling IAM IAM 컨텍스트에서 비번 설정 모든 기본 라틴 문자(ASCII)를 포함할 수 있음 특정 계정에 대해서만 엑세스 허용 특정 계정에 대해서만 엑세스를 허용하는 태그 기반 IAM 정책 작성, 인스턴스에 적절한 태그를 부여하고 각 계정에 적용 CloudFormation CFn은 스택 생성을 해봐야지만 제대로 동작하는 지 확인 가능함 CloudWatch CloudWatch 제한 사항 매월 고객당 10개의 지표와 경보, 100만개의 API 요청, 1000개의 SNS 이메일 알람이 무료로 제공됨 DataSync Da..

DynamoDB의 Projection이란 - 테이블에서 보조 인덱스로 복사되는 속성 집합 CFn의 실제 리소스 이름은 스택과 논리적 리소스 이름의 조합 What is quiet push notification in Cognito 사용자가 볼 수 없는 사용자의 장치에서 귀하의 어플리케이션이 수신한 푸시 메시지 ElastiCache 기본 캐시 포트 - Memcached: 11211 - Redis: 6379 CFn은 Elastic Beanstalk application 지원 API 호출을 수행하기 위한 권한 위임에 관한 설명 Amazon EC2에 대한 IAM 역할의 맥락에서 바르지 못한 것은? - IAM 역할을 생성할 수 없습니다. I/O 속도가 내결함성 보다 중요한 경우 - RAID 0를 사용해야함 Clou..

CLI로 AMI의 자세한 속성을 알기 위해서 describe-image-attribute 명령어를 입력하는데 잘 되던 명령어가 갑자기 권한 에러가 뜨면서 안될 때가 있습니다. 분명히 aws credentials이나 프로필 설정 등을 제대로 했는데도 말입니다. An error occurred (UnauthorizedOperation) when calling the DescribeImages operation: You are not authorized to perform this operation. 뭐 대충 이런 에러입니다. 권한 에러가 발생하는 이유는 여러가지가 있겠지만 이 글에서는 프로필, IAM 설정 등 권한 관련 설정들이 정상이라고 가정하고 있지만 credentials, config 설정 등을 먼저 ..

얼마전 2022년 1월, 서울 리전에도 AWS Resilience Hub 서비스가 개시 되었습니다. AWS Resilience Hub는 AWS Securitiy Hub, AWS Trusted Advisor 와 같이 다른 AWS 서비스들을 사용하여 애플리케이션의 복원력(복원성, 고가용성)을 평가하고 정의 및 테스트를 도와주는 서비스입니다. 클라우드 환경의 보안을 평가하기 위해서는 Securitiy Hub를, 전체적인 상태를 점검하기 위해서 Trusted Advisor를 사용하는 것 처럼 애플리케이션의 복원력을 평가하기 위해 Resilience Hub를 사용한다고 생각하면 편할 것 같습니다. 복원성과 고가용성이 있는 인프라를 구축하기 위해 멀티AZ, Auto Scailing, Read Replica 등의 환..

In-place 배포 배포 환경에 있는 각 인스턴스(어플리케이션)를 일시정지한 후, 배포가 성공하면 해당 배포 버전으로 어플리케이션을 다시 시작. 다시 시작 되면 유효성을 검사하게 됨. ELB를 사용 중이면 각 인스턴스가 배포 중이더라도 등록 해제 후, 배포가 끝나면 다시 등록 가능 배포 완료 후 이전 버전으로 롤백도 가능 ec2, 온프레미스 환경에서만 사용 가능 롤링 배포 구버전 -> 신버전으로 점진적으로 배포가 진행됨과 동시에 구버전의 인스턴스는 삭제됨 서버 수의 제약이 있을 경우 좋지만, 배포 중에는 실행 중인 서버 수가 줄어들기 때문에 서버 처리 용량을 미리 고려해야함.추가 배치 롤링 배포 Elastic Beanstalk에서 전체 용량을 줄이지 않는 롤링 배포 설정 가능

시작 구성 ASG에서 인스턴스를 시작하는 데 사용하는 인스턴스 구성 템플릿 특징 시작 구성은 한 번 생성하면 변경 불가능. 다시 만들고 해당 구성으로 ASG를 업데이트 해야함 하나의 ASG는 하나의 시작구성만을 가짐 ASG를 생성하기 위해서는 시작구성 / 시작 템플릿 / EC2 인스턴스 중 하나를 반드시 지정해야함 (EC2 인스턴스를 사용하여 ASG 시작시 AS가 자동으로 시작 구성 구성 후 ASG에 연결함) 시작 템플릿 시작 구성이랑 별 차이 없음. 용도는 같음 특징 버전 관리를 통해 전체 파라미터 세트의 하위 파라미터 세트 작성 가능 해당 세트를 재사용하여 다른 시작 템플릿 생성 가능 시작 구성을 사용 중일 경우 콘솔에서 시작 구성의 내용을 복사하여 시작 템플릿으로 마이그레이션 가능 그 다음 시작 구..

[CodeDeploy ] 내부 배포(in-place)에 대한 후크(hooks)의 실행 순서는? Application Stop -> Download Bundle -> Before install -> Insatall -> After install -> Application Start -> Validate Service [SQS] VisibilityTimeout: 다른 소비자가 메시지를 다시 처리하지 못하게 하기 위한 장치 VisibilityTimeout의 기본 설정 값 - 기본 제한 시간: 30초 / 최소값 0초 / 최대값 12시간 메시지의 기본 상태 1.생산자가 대기열로 전송 2. 소비자가 대기열에서 수신 3. 대기열에서 삭제 저장된 상태(stored messages): 전송했지만 수신하지 않은 상태(1과..

교차 계정 액세스란? (Cross-Accounts Access) - 한 AWS 계정의 IAM 사용자가 다른 AWS 계정의 IAM 사용자의 AWS 리소스에 액세스하는 것. 교차 계정 액세스 권한을 부여하는 방법 1. 리소스 기반 정책 및 IAM 정책 (프로그래밍 방식 전용) 버킷 정책을 사용하여 교차 계정 제어를 관리하고 S3 객체의 권한을 감시 버킷 수준에서 버킷 정책을 적용하면, 버킷 내의 여러 객체에 대한 세분화된 액세스 제어 가능 버킷 수준에서 버킷 정책을 적용하면, 액세스 할 수 있는 사람(Principal), 객체(Resource), 방법(Action)을 정의할 수 있음 버킷 정책을 검토하여 S3 버킷에 액세스할 수 있는 사용자를 확인 가능 2. 리소스 기반 ACL 및 IAM 정책 (프로그래밍 ..

서명된 쿠키, url을 사용하는 이유 - 컨텐츠에 접속할 대상을 제어하기 위해 서명된 쿠키, url의 차이, 비교 서명된 쿠키 HLS 형식의 비디오 파일 전체 또는 웹 사이트의 구독자 영역에 있는 파일 전체 등 제한된 파일 여러 개에 대한 액세스 권한을 제공하려는 경우 사용 현재의 URL을 변경 하고 싶지 않을 때 사용 서명된 URL RTMP를 사용하여 배포하려는 경우(RTMP는 서명된 쿠키 사용이 불가) APP설치 파일의 다운 등, 개별 파일에 대한 액세스를 제한하고 싶을 때 쿠키를 지원하지 않는 클라이언트를 사용 중일 때(ex - 사용자 지정 HTTP)