개발새발

지난 글에서 사용한 partition projection 방식에서 개선 필요한 점이 있어, 2탄을 작성합니다. Athena로 S3에 저장된 VPC flow logs 조회하기VPC flow logs를 Athena로 조회하기 위한 설정 방법을 소개합니다. VPC flow logs 설정 VPC flow logs를 S3에 저장할 때의 주요 설정 항목은 아래와 같습니다. 1.Log record format VPC flow logs에 포함될 필드를 저장합popappend.tistory.com Partition Projection을 사용하며 발견한 이슈기존에 아래와 같이 partition projection을 사용한 DDL문을 사용하여 테이블을 생성한 뒤, 해당 테이블에 대해 쿼리를 실행했을 때, WHERE절에 a..

VPC flow logs를 Athena로 조회하기 위한 설정 방법을 소개합니다. VPC flow logs 설정 VPC flow logs를 S3에 저장할 때의 주요 설정 항목은 아래와 같습니다. 1.Log record format VPC flow logs에 포함될 필드를 저장합니다. 모든 필드 저장 시 아래와 같이 log line format이 정해집니다. ${account-id} ${action} ${az-id} ${bytes} ${dstaddr} ${dstport} ${end} ${flow-direction} ${instance-id} ${interface-id} ${log-status} ${packets} ${pkt-dst-aws-service} ${pkt-dstaddr} ${pkt-src-aws-s..

이번주는 IAM 취약점 및 보안에 대해 스터디를 진행했습니다. 그 중 IMDS에 집중하여 내용 정리 및 워크샵을 진행해 보겠습니다. IMDS(Instance Metadata Service) AWS에서는 IMDS를 사용하여 인스턴스의 메타데이터를 획득할 수 있습니다. 기본적으로 ip, ami id 등 ec2 관련 정보와 iam 관련 정보를 확인할 수 있습니다. IMDSv1 사용 예시 [ec2-user@My-EC2 ~]$ curl -s http://169.254.169.254/latest/meta-data/ ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hostname iam/ identity-credentials/ insta..

AWS Hacking & Security Study에 참여하며 각종 실습 내용을 남길 예정입니다. 1주차 주제는 S3 취약점 및 보안입니다. S3 접근 제어 S3의 접근 제어 관련해서는 아래와 같은 정책을 활용할 수 있습니다. IAM IAM user 또는 role에 S3 관련 권한 부여 Bucket Policy 각 S3에 대한 권한 부여 IAM/IP/VPC 등에 대한 접근 제어 가능 HTTP 차단, SSE 방식에 따른 차단 가능 ACL(Access Control List) 현재 미권장 옵션이며, 신규 버킷 생성 시 disabled (= 객체 소유권이 버킷 소유자) 대부분 IAM + Bucket Policy로 원하는 요건을 만족시킬 수 있기 때문에 예외적으로 사용(CloudFront 로그 저장 권한 부여 ..

예전에 가비아에서 .shop 도메인 1년간 500원에 구매해서 사용했었는데, 기한이 끝났고 새로운 도메인 사용이 필요해서 AWS Route 53에서 도메인을 구매해 보았습니다. AWS 콘솔에서 Route 53 메뉴에 들어간 다음에, Registerd domains -> Register Domain 을 클릭합니다. TLD 별로 가격이 다른 것을 볼 수 있습니다. 목록에서 전체 TLD를 확인하기가 힘들어서 공식 문서를 확인했는데, 상당히 오래전에 만들어진 문서로 보입니다. 대략 살펴봤을 때는 .click TLD가 $3.00으로 가장 저렴해 보여서 선택했습니다. TLD와 원하는 도메인을 입력하고 check 버튼을 누르면 해당 도메인이 사용 가능한 상태인지 확인해 줍니다. 이후로는 사용 기간, 결제 정보 등을 ..

EKS에 띄운 Pod 내에서 여러 role을 ~/.aws/config 파일에 설정하고 profile을 변경하며 작업을 하고 싶어 설정을 해봤습니다. 1. IAM role 생성   - role-service-account   - role-assumed (타 계정) 2. Trust Policy 설정      2-1. role-service-account : OIDC Provider Trust Policy 설정 추가           참고 : https://aws.amazon.com/ko/premiumsupport/knowledge-center/eks-pods-iam-role-service-accounts/      2-2. role-assumed : role-service-account role Trust ..

S3에 대해 접근 권한을 설정할 때 IAM, Bucket Policy 등 다양한 설정을 활용할 수 있습니다. 여러가지 제어 방법을 동시에 사용할 때 최종적으로 S3에 대한 권한은 어떻게 설정되는지 알아보겠습니다. S3 버킷 접근 권한 고려 요소 IAM IAM role, user, group 권한 Bucket Policy 특정 user, role, IP 접근 및 public access 설정 등 S3 Block Public Access Account 레벨 AWS Config (s3-account-level-public-access-blocks 등) Bucket 레벨 ACL (미권장) Bucket ACL Object ACL VPC Endpoint Policy S3 접근을 위해 VPC Endpoint를 사용하..

1. Customer Gateway 생성 On-prem VPN 장비의 IP와 BGP AS Number를 기반으로 생성 2. VGW or TGW 생성 ASN이 CGW의 ASN과 겹치지 않도록 생성 생성 후 VPC에 연결 3. Site-to-Site VPN 생성 CGW와 VGW를 선택하고 Static/Dynamic(BGP) routing 중 선택 4. VPN Config를 다운받아 On-prem VPN 장비에 설정 5. VPC 내 라우팅 테이블 수정 On-prem IP대역 -> VGW / TGW

서로 다른 VPC를 활용하여 하나의 VPC를 On-prem으로 가정하고 Libreswan을 활용하여 AWS site-to-site VPN을 연결하고자 합니다. (openswan은 Ubuntu 18.04부터 포함되어있지 않아 apt-get을 활용하여 설치할 수 없기에 유사한 솔루션인 Libreswan을 테스트 함) AWS VPN에서 Libreswan을 명시적으로 지원하지 않아 Openswan의 config를 다운 받아 설정에 활용합니다. [목표] [기본 환경] VPC 2개 겹치지 않는 CIDR을 활용하여 2개 생성 (ex. 10.0.1.0/24, 10.0.2.0/24) Public Subnet, Public route table 각각 생성 EC2 2개 Libreswan용 EC2 + EIP OS : Ubun..

ASG 내 인스턴스 종료 순서 1. 가용 영역 중 인스턴스 수가 가장 많은 AZ 선택 (이 안에서 가장 오래된 시작 구성 인스턴스 삭제) 2. (AZ 내 인스턴스 수 동일 시) 가장 오래된 시작구성 AZ 선택 3. AZ 선택 이후 시작 구성이 오래된 인스턴스 선택 (다수인 경우 다음 지불 시간이 가까운 인스턴스 종료) * 조건에 맞는 EC2가 여려개인 경우 랜덤 선택 ** 수명주기 후크 상태저장이 필요한 APP을 ASG에서 기동하고 축소/확장을 지연시키고 싶을 때 사용