AWS IAM

IAM의 보안 모범 사례 I - 루트 계정

1. 루트 액세스 키 삭제
2. MFA 활성화
3. IAM 사용자 및 그룹 관리 (개별 IAM 사용자 생성, 그룹을 사용한 권한 할당)
4. IAM 비밀번호 정책 적용

루트 액세스 키 삭제

루트 계정에 해당하는 보안 항목

MFA 활성화

루트 계정과 사용자 계정 모두 적용되는 항목

MFA 호환 앱 확인

IAM 사용자 및 그룹 관리

결제 정보에 대해 IAM 사용자 접근 권한을 부여하는 설정 (루트 계정에서만 설정 가능)

사용자와 그룹을 직무 또는 역할따라 생성하고 그룹 단위로 정책을 할당하여 관리한다.

AWS에서는 루트 계정 사용을 최소화하고 IAM 사용자와 그룹을 이용하여 관리자 IAM 사용자 및 그룹을 생성하여 사용하는 것을 권장한다. (단, AdministratorAccess 정책은 관리자 사용자 및 그룹에게만 부여할 것을 주의한다)

IAM 비밀번호 정책 적용

Amazon VPC

VPC Flow Logs 구성

1. CloudWatch 로그 그룹 생성
2. IAM 역할 생성
3. Flow Logs 생성
   - VPC, 서브넷, 게이트웨이 등 네트워크 인터페이스

VPC Flow Logs란?

VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집하는 기능

로그 정보

1. 보안 그룹 및 NACL 규칙에 의해 허용 및 차단된 트래픽 정보
2. 소스&목적지 IP 주소, 포트, 프로토콜 번호 패킷 바이트 모니터링 간격 시간
3. ACCEPT 또는 REJECT 액션 정보

Flow Logs를 생성할 수 있는 다른 AWS 서비스

• Elastic Load Balancing
• Amazon RDS
• Amazon ElastiCache
• Amazon Redshift
• Amazon WorkSpaces
• NAT 게이트웨이
• 전송 게이트웨이

CloudWatch 로그 그룹 생성

CloudWatch Logs에 Flow Log를 게시하기 위한 IAM 역할 생성

Flow Logs 생성

Flow logs 확인

플로우 로그 작성 후 약 15분 후에 새로운 로그 그룹이 생성되고 로그를 확인할 수 있음

Amazon Route 53

가비아에서 구입한 도메인 AWS에서 사용하기

1. Route 53에서 호스팅 영역 생성
2. 가비아에서 도메인 정보 변경
3. 네임 서버 변경 적용

Route 53에서 호스팅 영역 생성

AWS Certificate Manager

인증서 등록

1. 인증서 요청
2. DNS 또는 이메일 검증
3. 발급 완료

인증서 요청

DNS 또는 이메일 검증

발급 완료

Amazon RDS

DB 인스턴스의 서브넷 변경

Overview

퍼블릭 서브넷에 있는 RDS DB 인스턴스를 동일한 VPC내의 프라이빗 서브넷으로 이동하는 방법

1. DB 인스턴스에서 다중 AZ 배포 및 퍼블릭 액세스 가능 여부 비활성화
2. DB 인스턴스의 IP 주소 검색
3. 퍼블릭 서브넷 제거 및 DB 인스턴스에 프라이빗 서브넷 추가
4. DB 인스턴스에서 다중 AZ 활성화
5. 장애 조치를 통한 DB 인스턴스 재부팅 및 다중 AZ 배포 비활성화
6. 퍼블릭 서브넷 제거

해당 방법의 이점

• 새 DB 인스턴스 생성 필요 X
• 스냅샷 복원 프로세스 사용 필요 X
• 새 인스턴스 생성 및 트래픽 전환과 관련된 다운타임 최소화, 장애 조치 시에만 다운타임 발생

DB 인스턴스에서 다중 AZ 배포 및 퍼블릭 액세스 가능 여부 비활성화

DB 인스터스의 IP 주소 검색

퍼블릭 서브넷 제거 및 DB 인스턴스에 프라이빗 서브넷 추가

사전 작업

- DB 인스턴스에 할당할 프라이빗 서브넷 추가

- 프라이빗 라우팅 테이블 생성 후 서브넷 연결

- 해당 작업에서는 172.31.0.0/20, 172.31.16.0/20 서브넷에 연결

DB 인스턴스에서 다중 AZ 활성화

장애 조치로 DB 인스턴스 재부팅 및 다중 AZ 배포 비활성화

퍼블릭 서브넷 제거

Amazon EC2

시작 템플릿을 이용한 Auto Scaling 및 Application Load Balancer 구성

1. 인스턴스 이미지 생성
2. 인스턴스 시작 템플릿 생성
3. 시작 템플릿으로 Auto Scaling 및 Application Load Balancer 구성

인스턴스 이미지 생성

인스턴스 시작 템플릿 생성

시작 템플릿으로 Auto Scaling 구성

Amazon EC2

Application Load Balancer 생성 및 SSL 인증서 적용

1. ALB 생성
2. Route 53 레코드 생성
3. 인증서 적용 확인

Load Balancer 구성

Route 53 레코드 생성

인증서 적용 확인

Amazon CloudWatch

CloudWatch Agent를 사용하여 Amazon EC2 인스턴스 및 온프레미스 서버로부터 지표 및 로그 수집

• 온프레미스 서버, 하이브리드 환경의 서버로부터 시스템 수준 지표 수집
• CloudWatch Agent가 수집하는 지표의 기본 네임스페이스 - CWAgent
• Agent 구성 시 다른 네임 스페이스도 지정 가능
• CloudWatch Agent에 의해 수집되는 지표는 사용자 지정 지표 요금으로 청구

Overview

1. Agent가 서버로부터 지표를 수집할 수 있도록 하거나 필요한 경우 AWS 시스템 관리자와 통합할 수 있도록 하는 IAM 역할 또는 사용자 생성
2. Agent 패키지 다운로드
3. CloudWatch Agent 구성 파일 수정 및 수집하려는 지표 지정
4. 서버에 Agent 설치 후 시작
5. EC2 인스턴스에 Agent 설치 시 1단계에서 만든 IAM 역할 연결
6. 온프레미스 서버에 Agent 설치 시 1단계에서 만든 IAM 사용자 자격 증명이 포함되어 있는 명명된 프로필 지정

AWS 시스템 관리자를 사용하여 CloudWatch Agent 설치

1. CloudWatch Agent와 함께 사용하기 위한 IAM 역할 및 사용자 생성
   - IAM 역할 및 사용자 : CloudWatch Agent가 CloudWatch에 지표를 쓰고 Amazon EC2 및 AWS 시스템 관리자와 통신하도록 하는 데 필요한 권한이 있는 IAM 역할 및 사용자 생성
   - Amazon EC2 인스턴스 : IAM 역할 사용
   - 온프레미스 서버 : IAM 사용자 사용
   - Parameter Store에 쓰는 기능은 광범위하고 강력한 권한이며, 필요 시에만 사용해야 하고, 배포 시 여러 인스턴스에 연결해서는 안 됨
2. CloudWatch Agent 다운로드 및 구성
3. Agent 구성을 사용하여 EC2 인스턴스에 CloudWatch Agent 설치
   - CloudWatch Agent 구성을 Parameter Store에 저장하면 다른 서버에 Agent 설치 시 사용 가능
4. 온프레미스 서버에 CloudWatch Agent 설치

CloudWatch Agent를 실행할 IAM 역할 생성

System Manager를 이용한 CloudWatch Agent 설치

CloudWatch Agent 구성 파일 생성 및 수정

Linux: sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-config-wizard

Windows:cd "C:\Program Files\Amazon\AmazonCloudWatchAgent"

아래와 같은 경로로 파일을 저장할 경우 Agent를 설치하려고 하는 다른 서버에 복사가 가능함

Linux: /opt/aws/amazon-cloudwatch-agent/bin/

Windows: C:\Program Files\Amazon\AmazonCloudWatchAgent

CloudWatch Agent 시작

CloudWatch에서 메모리 사용률 사용자 지정 지표 확인