본문 바로가기

자격증

(188)
[AWS SCS] EC2 Instance Metadata - IMDSv1 vs IMDSv2 AWS EC2 인스턴스 메타데이터 서비스(IMDS) v1과 v2 비교 및 보안 강화 방법AWS EC2 인스턴스 메타데이터 서비스(IMDS)는 EC2 인스턴스 내부에서 다양한 정보를 제공하는 기능입니다. 예를 들어, 인스턴스의 AMI ID, 인스턴스 타입, 네트워크 설정, IAM 역할의 임시 자격 증명 등을 제공해 자동화 및 설정 작업에 매우 유용합니다.IMDS에는 v1과 v2라는 두 가지 버전이 있습니다. 특히 IMDSv2는 보안 강화를 목표로 설계된 최신 버전으로, 기존 IMDSv1과는 중요한 차이점이 있습니다. 이번 글에서는 IMDSv1과 IMDSv2의 차이, IMDSv2의 보안 이점, 그리고 이를 강제 적용하는 방법을 알아보겠습니다.IMDSv1과 IMDSv2의 차이점IMDSv1은 단순한 HTTP 요..
[AWS SCS] EC2 Instance Metadata AWS EC2 Instance Metadata Service(IMDS)란?AWS EC2 Instance Metadata Service(IMDS)는 EC2 인스턴스에 대한 다양한 정보를 제공하는 서비스입니다.이를 통해 호스트 이름, 인스턴스 유형, 네트워크 설정 등과 같은 데이터를 얻을 수 있으며,인스턴스의 설정 및 자동화를 간소화할 수 있습니다.IMDS 서비스의 기본 정보IMDS 서비스 엔드포인트:EC2 인스턴스 내부에서 다음 URL을 통해 접근할 수 있습니다.http://169.254.169.254/latest/meta-data접근 방법:HTTP 요청을 통해 데이터를 조회하며, CLI 도구(Curl, Wget 등)나 AWS EC2 API를 사용할 수 있습니다.IMDS에서 제공하는 데이터IMDS는 EC2..
[AWS SCS] IAM 역할의 임시 자격 증명 철회하기 AWS 환경에서 IAM 역할의 임시 자격 증명(Temporary Credentials)이 유출되었을 경우, 공격자가 해당 자격 증명을 사용해 악의적인 행동을 할 수 있습니다. 이를 방지하기 위해, 자격 증명을 신속히 철회하여 보안을 강화할 수 있는 방법을 알아보겠습니다.IAM 역할 세션과 보안 위험IAM 역할을 사용하면 임시 자격 증명을 통해 AWS 리소스에 접근할 수 있습니다. 그러나 세션이 길거나(예: 12시간), 자격 증명이 유출되었을 경우 보안 사고로 이어질 위험이 존재합니다.노출된 자격 증명은 만료되기 전까지 유효하기 때문에, 공격자가 이를 악용할 가능성이 있습니다.임시 자격 증명 철회 방법AWS에서는 AWSRevokeOlderSessions Policy를 활용해 임시 자격 증명을 철회할 수 있..
[AWS SCS] STS 외부 ID STS의 보안: AssumeRole API와 외부 ID 사용AWS STS(Security Token Service)를 활용한 AssumeRole API는 역할을 가정할 때 중요한 보안 메커니즘을 제공합니다. 이 API를 사용할 때, **외부 ID(External ID)**를 사용하면 보안을 한층 강화할 수 있습니다. 이 글에서는 외부 ID의 역할과 그것이 해결하는 보안 문제인 Confused Deputy 문제를 설명합니다.외부 ID(External ID)란?AssumeRole API에서 외부 ID를 설정하면, 해당 역할을 가정하려는 API 호출에 정의된 외부 ID가 포함되어야만 역할을 가정할 수 있습니다. 예를 들어, 외부 ID가 56789라고 정의되어 있다면, 해당 ID를 포함한 API 호출만 이 역할..
[AWS SCS] STS Version 1 & Version 2 AWS STS (Security Token Service) 버전 1과 버전 2AWS의 **STS (Security Token Service)**는 AWS 리소스에 대한 제한적이고 임시적인 접근을 부여하는 서비스입니다. STS를 통해 발급된 토큰은 일정 시간이 지나면 만료되며, 만료된 토큰은 다시 갱신해야 합니다. 이 토큰을 사용하면 AWS 리소스에 대한 액세스를 임시로 제공할 수 있습니다. AWS에서 제공하는 STS는 두 가지 버전이 있습니다: STS 버전 1과 STS 버전 2.1. STS 버전 1 (Global Endpoint)기본 설정: STS 버전 1은 기본적으로 글로벌 엔드포인트에서 제공됩니다.지원 리전: 글로벌 엔드포인트는 계정에 기본적으로 활성화된 리전만 지원합니다. 하지만 설정을 변경하여 "..
[AWS SCS] AWS STS AWS STS (Security Token Service)란 무엇인가?AWS STS(Security Token Service)는 AWS 리소스에 대해 일시적이고 제한적인 접근 권한을 부여하는 중요한 보안 서비스입니다. STS는 사용자가 특정 역할을 가정하고, 그에 따른 임시 자격 증명을 받아 AWS 리소스에 접근할 수 있도록 합니다. 이 서비스는 다양한 보안 시나리오에서 유용하게 활용됩니다. 이번 글에서는 AWS STS의 주요 개념과 사용 사례에 대해 알아보겠습니다.1. AWS STS 개요AWS STS는 임시 보안 토큰을 발급하여 사용자가 지정된 시간 동안만 AWS 리소스에 접근할 수 있도록 합니다. 이 임시 자격 증명은 보통 1시간 정도 유효하며, 만료 후에는 갱신이 필요합니다. AWS STS를 사용하..
[AWS SCS] IAM Roles and PassRole to Services IAM 서비스 역할 (IAM Roles for Services) 이해하기개요AWS에서는 다양한 서비스들이 다른 AWS 리소스와 상호작용할 수 있도록 권한을 부여해야 합니다. 이때 필요한 것이 바로 IAM 역할(IAM Roles)입니다. IAM 역할은 특정 AWS 서비스가 다른 리소스에 접근할 수 있게 해주는 중요한 요소입니다. 예를 들어, EC2 인스턴스가 DynamoDB 테이블에 접근해야 할 때, 해당 EC2 인스턴스에 IAM 역할을 할당해야 합니다.이 글에서는 IAM 역할의 기본 개념과 함께 서비스에 IAM 역할을 전달하는 방법에 대해 다루겠습니다.IAM 서비스 역할AWS에서는 거의 모든 서비스가 역할을 요구합니다. 예를 들어, EC2 인스턴스, Lambda 함수, CloudFormation 등의 서..
[AWS SCS] IAM Credentials Report IAM 자격 증명 보고서 (IAM Credentials Report) 활용하기IAM 자격 증명 보고서란?IAM 자격 증명 보고서는 IAM 사용자들의 비밀번호, 액세스 키, 그리고 MFA 장치 상태를 확인할 수 있는 CSV 형식의 문서입니다. 이 보고서는 IAM 콘솔, API, CLI, 또는 SDK를 통해 다운로드할 수 있으며, 감사 및 규정 준수를 지원합니다. 보고서는 최대 4시간마다 자동으로 생성되며, API 호출을 통해 파일의 내용을 조회할 수 있습니다.IAM 자격 증명 보고서 사용 목적IAM 자격 증명 보고서는 주로 다음과 같은 목적을 위해 사용됩니다:비밀번호 및 액세스 키 상태 모니터링MFA 장치 상태 확인보안 감사 및 규정 준수 확인오래된 액세스 키 관리 방법IAM 자격 증명 보고서를 통해 사용..
[AWS SCS] IAM MFA AWS에서 MFA(Multi-Factor Authentication) 사용법과 중요성AWS에서 **다단계 인증(MFA, Multi-Factor Authentication)**은 사용자 계정의 보안을 강화하는 중요한 기능입니다. MFA는 기본적으로 사용자가 알고 있는 비밀번호와 사용자가 소유한 장치에서 제공하는 코드 두 가지를 입력해야만 계정에 로그인할 수 있도록 합니다. 이를 통해 비밀번호만으로는 계정에 접근할 수 없게 되어 보안을 강화할 수 있습니다.1. MFA의 개념과 이점MFA는 두 가지 인증 방법을 결합하여 보안을 강화하는 방식입니다. 사용자가 비밀번호를 입력한 후, 추가적인 인증 장치(예: 스마트폰, 보안 키 등)에서 제공되는 코드를 입력해야만 로그인할 수 있습니다. 이 방식의 주요 장점은 비밀..
[AWS SCS] ABAC ABAC(속성 기반 접근 제어)란?ABAC(Attribute-Based Access Control)는 AWS에서 사용되는 접근 제어 방식 중 하나로, 속성 기반으로 권한을 관리하는 방식입니다. 이 방식은 많은 사용자와 리소스를 관리하는 데 매우 유용하며, AWS 리소스에 대한 접근을 효율적으로 관리할 수 있는 방법을 제공합니다. 특히, 빠르게 성장하는 환경에서 리소스를 추가하고 태그를 설정함으로써 기존 IAM 정책을 수정할 필요 없이 접근을 관리할 수 있는 장점이 있습니다.ABAC의 기본 개념ABAC는 사용자 속성에 기반해 리소스에 대한 접근 권한을 설정하는 방식입니다. 사용자는 특정 부서, 직무, 팀 등과 같은 속성을 가질 수 있으며, 리소스에도 이러한 속성에 맞는 태그를 붙일 수 있습니다. 이를 통해..