본문 바로가기

분류 전체보기

(638)
[AWS SCS] Identity-Based Policies vs. Resource-Based Policies 크로스 계정 접근: 리소스 기반 정책과 IAM 역할의 차이점AWS에서 크로스 계정 리소스 접근을 설정하는 방법에는 두 가지 주요 방식이 있습니다: 리소스 기반 정책과 IAM 역할입니다. 이 두 가지 방식은 비슷해 보일 수 있지만, 각 방식은 서로 다른 목적과 사용 사례를 가지고 있습니다. 이 글에서는 각 방법의 특징과 사용 사례를 설명하고, 두 방식의 차이점을 명확히 알아보겠습니다.1. 리소스 기반 정책 (Resource-based Policy)리소스 기반 정책은 특정 리소스에 접근할 수 있는 권한을 제어하는 방식입니다. 예를 들어, S3 버킷 정책을 사용하여 다른 계정의 사용자에게 버킷에 대한 접근을 허용할 수 있습니다. 이 방식은 리소스를 중심으로 접근 제어를 설정하므로, 주체가 자신의 권한을 포기하..
[AWS SCS] IAM Policy Evaluation Logic IAM 정책 평가 논리 (Evaluation Logic of IAM Policies)IAM(Identity and Access Management) 정책의 평가 과정은 복잡하지만 중요한 개념입니다. 본 글에서는 IAM 정책의 평가 로직을 이해하기 쉽게 설명하고, 다양한 정책이 어떻게 상호작용하는지, 각 단계에서 무엇을 확인해야 하는지를 다룹니다.기본 개념기본적으로 모든 요청은 거부모든 IAM 요청은 기본적으로 암묵적으로 거부됩니다. 이는 모든 리소스에 대한 액세스가 기본적으로 차단됨을 의미합니다. 하지만 루트 사용자는 예외로, 모든 권한을 가지고 있습니다.명시적 허용(Explicit Allow)명시적 허용은 해당 요청이 허용된다는 것을 명확하게 지정하는 것입니다. 정체성 기반 정책(Identity-bas..
[AWS SCS] IAM Permission Boundaries IAM 권한 경계(Permission Boundaries) 이해IAM 권한 경계란?IAM 권한 경계(Permission Boundaries)는 IAM 정책을 제한하는 개념으로, 사용자가 가질 수 있는 최대 권한을 설정할 수 있는 기능입니다. 이 기능은 사용자와 **역할(Role)**에만 적용되며, **그룹(Group)**에는 적용되지 않습니다. 권한 경계는 사용자가 수행할 수 있는 권한의 "경계"를 설정하는 역할을 합니다. 이를 통해 정책이 허용할 수 있는 범위를 제한합니다.IAM 권한 경계 예제예를 들어, 다음과 같이 IAM 권한 경계가 설정되어 있다고 가정해 보겠습니다:{ "Action": ["s3:*", "cloudwatch:*", "ec2:*"]} 이것은 사용자가 S3, CloudWatch, E..
[AWS SCS] IAM Global condition context keys IAM 정책에서 사용할 수 있는 주요 조건들 (Global Context Keys 및 기타 조건들)AWS IAM 정책에서는 리소스에 대한 접근 제어를 보다 세밀하게 할 수 있도록 다양한 조건을 설정할 수 있습니다. 이 글에서는 IAM 조건의 주요 구성 요소와 그 사용법을 정리해보겠습니다.1. 요청된 리전 (Requested Region)기능: requested region은 요청이 이루어진 AWS 리전을 나타냅니다. 이를 사용하여 특정 리전에서만 특정 작업을 제한할 수 있습니다.예시:"Condition": { "StringEquals": { "aws:RequestedRegion": "eu-west-1" }}위 예시에서는 eu-west-1 리전에서만 작업을 허용합니다.주의사항: 글로..
[AWS SCS] IAM Condition Operators IAM 정책 조건 (IAM Policy Conditions) 개요AWS IAM (Identity and Access Management) 정책에서 조건을 사용하는 방법에 대해 살펴보겠습니다. IAM 조건을 활용하면 세밀한 접근 제어를 구현할 수 있으며, 다양한 조건 연산자를 사용하여 보다 구체적인 정책을 정의할 수 있습니다.1. String 계열 조건StringEquals: 대소문자를 구분하여 정확히 일치하는 값을 비교합니다. 예를 들어, 특정 태그 값을 정확히 비교할 때 사용됩니다.StringLike / StringNotLike: 부분 일치를 허용하는 조건입니다. 별표(*)나 물음표(?)를 사용하여 부분 매칭을 할 수 있습니다. 예를 들어, S3 객체의 접두사가 특정 패턴과 일치하는지 확인할 때 유용합..
[AWS SCS] IAM Policies 이해하기 AWS IAM 정책의 구조를 제대로 이해하기 위해 이번 강의에서는 IAM 정책의 구성 요소를 자세히 살펴보겠습니다.IAM 정책의 기본 구성 요소IAM 정책을 보면 첫 번째 줄은 정책 언어의 버전을 나타냅니다. 항상 2012-10-17로 포함됩니다.그다음 정책 식별자(Policy Identifier)가 올 수 있는데, 이는 선택 사항으로 정책의 이름을 지정하는 데 사용됩니다.이후 하나 이상의 "Statement(명령문)" 블록이 있습니다. 각 Statement는 선택적으로 Statement 식별자를 가질 수 있습니다.Statement의 주요 구성 요소는 다음과 같습니다:Effect: 해당 Statement가 허용(Allow)인지 거부(Deny)인지 지정합니다.Principal: 정책이 적용되는 계정, 사용..
[AWS SCS] Amazon SES Amazon SES(Simple Email Service) 소개Amazon SES는 안전하고, 전 세계적으로, 대규모 이메일 전송을 지원하는 AWS의 완전 관리형 이메일 서비스입니다. 트랜잭션 이메일, 마케팅 이메일, 대량 이메일 전송에 적합하며, 사용자가 이메일 전송과 관련된 다양한 기능과 분석 도구를 활용할 수 있도록 설계되었습니다.Amazon SES의 주요 기능이메일 전송 및 수신애플리케이션에서 SES API 또는 SMTP 서버를 사용해 이메일을 전송.이메일 답장을 받을 수 있는 인바운드 메일 기능 지원.Reputation Dashboard 제공이메일 성과와 평판 관리:이메일 열림(Open) 여부반송(Bounce) 및 불만 신고(Complaint) 분석스팸 신고 여부 및 성과 통계 제공.이메일 통계..
[AWS SCS] AWS Network Firewall - 아키텍쳐 AWS Network Firewall 배포 아키텍처 가이드AWS Network Firewall은 VPC 수준의 보안을 강화하고 네트워크 트래픽을 철저히 관리할 수 있는 강력한 솔루션입니다. 이번 글에서는 네트워크 방화벽의 배포 아키텍처와 트래픽 흐름, 그리고 이를 활용한 자동화된 보안 대응 방법을 소개합니다.1. 기본 아키텍처 구성주요 구성 요소보호된 VPC방화벽 서브넷: AWS Network Firewall 서비스와 연결된 방화벽 엔드포인트 포함보호된 서브넷: 애플리케이션 로드 밸런서(ALB) 및 NAT 게이트웨이 배치프라이빗 서브넷: EC2 인스턴스 배치인터넷 게이트웨이(IGW) 포함라우팅 테이블 설정프라이빗 서브넷 라우팅 테이블: NAT 게이트웨이로 연결보호된 서브넷 라우팅 테이블: 방화벽 엔드포인..
[AWS SCS] AWS Network Firewall AWS 네트워크 보안: AWS Network Firewall의 역할과 활용 방법AWS에서 네트워크를 보호하기 위한 다양한 도구를 살펴보면, 다음과 같은 옵션이 있습니다:네트워크 액세스 제어 목록(Network ACLs): VPC의 서브넷 단위에서 허용/차단 규칙을 설정합니다.VPC 보안 그룹(Security Groups): 개별 인스턴스 단위로 트래픽을 제어합니다.AWS WAF: HTTP를 통한 악성 요청을 차단하며, 주로 웹 애플리케이션 방어에 활용됩니다.AWS Shield/Shield Advanced: DDoS 공격에 대한 보호를 제공합니다.AWS Firewall Manager: WAF와 Shield 규칙을 포함한 여러 계정 및 VPC의 방화벽 정책을 중앙에서 관리합니다.이 도구들은 각각의 영역에서 ..
[AWS SCS] Route 53 - DNSSEC DNSSEC와 Route 53 보안 강화하기문제의 이해: DNS 포이즈닝과 스푸핑DNS 포이즈닝이나 스푸핑은 악의적인 공격자로 인해 클라이언트가 잘못된 DNS 응답을 받게 되는 문제를 말합니다. 예를 들어, 웹 서버가 example.com을 호스팅하고 있는 경우, 클라이언트의 웹 브라우저가 local DNS 서버에 example.com에 대한 요청을 보냈을 때, 해커가 공격을 통해 잘못된 IP 주소로 속이게 되면, 클라이언트는 악성 웹사이트에 접속하게 됩니다.DNSSEC의 개요DNSSEC(DNS 보안 확장)는 이러한 문제를 해결하기 위해 설계된 프로토콜입니다. DNSSEC는 DNS 데이터의 무결성을 확인하고, 변조되지 않았음을 인증하는 기능을 제공합니다. DNSSEC는 공개 도메인에서만 작동하며, Rou..