전체 글 (638) 썸네일형 리스트형 [AWS SCS] EC2 Instance Metadata - IMDSv1 vs IMDSv2 AWS EC2 인스턴스 메타데이터 서비스(IMDS) v1과 v2 비교 및 보안 강화 방법AWS EC2 인스턴스 메타데이터 서비스(IMDS)는 EC2 인스턴스 내부에서 다양한 정보를 제공하는 기능입니다. 예를 들어, 인스턴스의 AMI ID, 인스턴스 타입, 네트워크 설정, IAM 역할의 임시 자격 증명 등을 제공해 자동화 및 설정 작업에 매우 유용합니다.IMDS에는 v1과 v2라는 두 가지 버전이 있습니다. 특히 IMDSv2는 보안 강화를 목표로 설계된 최신 버전으로, 기존 IMDSv1과는 중요한 차이점이 있습니다. 이번 글에서는 IMDSv1과 IMDSv2의 차이, IMDSv2의 보안 이점, 그리고 이를 강제 적용하는 방법을 알아보겠습니다.IMDSv1과 IMDSv2의 차이점IMDSv1은 단순한 HTTP 요.. [AWS SCS] EC2 Instance Metadata AWS EC2 Instance Metadata Service(IMDS)란?AWS EC2 Instance Metadata Service(IMDS)는 EC2 인스턴스에 대한 다양한 정보를 제공하는 서비스입니다.이를 통해 호스트 이름, 인스턴스 유형, 네트워크 설정 등과 같은 데이터를 얻을 수 있으며,인스턴스의 설정 및 자동화를 간소화할 수 있습니다.IMDS 서비스의 기본 정보IMDS 서비스 엔드포인트:EC2 인스턴스 내부에서 다음 URL을 통해 접근할 수 있습니다.http://169.254.169.254/latest/meta-data접근 방법:HTTP 요청을 통해 데이터를 조회하며, CLI 도구(Curl, Wget 등)나 AWS EC2 API를 사용할 수 있습니다.IMDS에서 제공하는 데이터IMDS는 EC2.. [AWS SCS] IAM 역할의 임시 자격 증명 철회하기 AWS 환경에서 IAM 역할의 임시 자격 증명(Temporary Credentials)이 유출되었을 경우, 공격자가 해당 자격 증명을 사용해 악의적인 행동을 할 수 있습니다. 이를 방지하기 위해, 자격 증명을 신속히 철회하여 보안을 강화할 수 있는 방법을 알아보겠습니다.IAM 역할 세션과 보안 위험IAM 역할을 사용하면 임시 자격 증명을 통해 AWS 리소스에 접근할 수 있습니다. 그러나 세션이 길거나(예: 12시간), 자격 증명이 유출되었을 경우 보안 사고로 이어질 위험이 존재합니다.노출된 자격 증명은 만료되기 전까지 유효하기 때문에, 공격자가 이를 악용할 가능성이 있습니다.임시 자격 증명 철회 방법AWS에서는 AWSRevokeOlderSessions Policy를 활용해 임시 자격 증명을 철회할 수 있.. [AWS SCS] STS 외부 ID STS의 보안: AssumeRole API와 외부 ID 사용AWS STS(Security Token Service)를 활용한 AssumeRole API는 역할을 가정할 때 중요한 보안 메커니즘을 제공합니다. 이 API를 사용할 때, **외부 ID(External ID)**를 사용하면 보안을 한층 강화할 수 있습니다. 이 글에서는 외부 ID의 역할과 그것이 해결하는 보안 문제인 Confused Deputy 문제를 설명합니다.외부 ID(External ID)란?AssumeRole API에서 외부 ID를 설정하면, 해당 역할을 가정하려는 API 호출에 정의된 외부 ID가 포함되어야만 역할을 가정할 수 있습니다. 예를 들어, 외부 ID가 56789라고 정의되어 있다면, 해당 ID를 포함한 API 호출만 이 역할.. [AWS SCS] STS Version 1 & Version 2 AWS STS (Security Token Service) 버전 1과 버전 2AWS의 **STS (Security Token Service)**는 AWS 리소스에 대한 제한적이고 임시적인 접근을 부여하는 서비스입니다. STS를 통해 발급된 토큰은 일정 시간이 지나면 만료되며, 만료된 토큰은 다시 갱신해야 합니다. 이 토큰을 사용하면 AWS 리소스에 대한 액세스를 임시로 제공할 수 있습니다. AWS에서 제공하는 STS는 두 가지 버전이 있습니다: STS 버전 1과 STS 버전 2.1. STS 버전 1 (Global Endpoint)기본 설정: STS 버전 1은 기본적으로 글로벌 엔드포인트에서 제공됩니다.지원 리전: 글로벌 엔드포인트는 계정에 기본적으로 활성화된 리전만 지원합니다. 하지만 설정을 변경하여 ".. 이전 1 ··· 18 19 20 21 22 23 24 ··· 128 다음