본문 바로가기

분류 전체보기

(638)
[AWS SCS] CloudFront - Signed URL & Cookies CloudFront Signed URL와 S3 Pre-Signed URL: 무엇이 다를까?CloudFront Signed URL와 S3 Pre-Signed URL은 모두 콘텐츠 접근 제어를 위한 중요한 방법이지만, 각각 다른 사용 사례와 기능을 제공합니다.CloudFront Signed URL:개별 파일 접근: CloudFront Signed URL은 개별 파일에 대한 접근을 허용합니다. 즉, 각 파일마다 별도로 서명된 URL을 생성해야 합니다.다양한 origin 지원: CloudFront Signed URL은 다양한 origin(예: HTTP 백엔드 서버)을 통해 콘텐츠에 접근할 수 있게 해줍니다. 이때, 계정 전역에서 관리할 수 있는 키 쌍을 사용합니다.필터링 기능: 접근을 허용할 IP 범위, 경로,..
[AWS SCS] CloudFront CloudFront: 글로벌 콘텐츠 전송 네트워크의 이해CloudFront는 콘텐츠 전송 네트워크(CDN)로, 전 세계적으로 분산된 엣지 위치에 여러분의 웹사이트 콘텐츠를 캐싱하여 성능을 크게 향상시킵니다. 이로 인해 전 세계의 사용자들이 낮은 지연 시간으로 콘텐츠에 접근할 수 있게 되어 사용자 경험이 크게 개선됩니다.CloudFront의 주요 특징엣지 위치: 전 세계적으로 216개의 엣지 위치가 존재하며, 이들은 AWS의 엣지 캐싱 서버입니다. AWS는 지속적으로 엣지 위치를 추가하여 사용자 경험을 향상시키고 있습니다. 사용자가 미국에 있더라도, CloudFront는 미국 내 가까운 엣지 위치에서 콘텐츠를 제공하여 지연 시간을 최소화합니다.DDoS 보호: CloudFront는 전 세계적으로 분산된 엣지..
[AWS SCS] AWS Transit Gateway AWS Transit Gateway 이해하기: 복잡한 네트워크 아키텍처를 간소화하는 방법여러 개의 VPC, VPN 연결 및 직접 연결을 관리할 때 AWS의 네트워크 토폴로지는 복잡해질 수 있습니다. 이러한 문제를 해결하기 위해 AWS는 트랜짓 게이트웨이(Transit Gateway)를 도입했습니다. 트랜짓 게이트웨이는 여러 VPC, 온프레미스 데이터 센터, 사이트-투-사이트 VPN 등을 단일 허브로 연결하여 네트워크 관리를 단순화하는 강력한 지역 리소스입니다.트랜짓 게이트웨이란?트랜짓 게이트웨이는 수천 개의 VPC, 온프레미스 네트워크, 사이트-투-사이트 VPN, 그리고 직접 연결 간의 트랜지티브 피어링 연결을 허용하는 허브 역할을 합니다. 이로 인해 각 VPC를 직접 피어링할 필요가 없어지며, 네트워크..
[AWS SCS] Security Groups 보안 그룹 아웃바운드 규칙과 관리 프리픽스 목록 사용법보안 그룹의 아웃바운드 규칙은 기본적으로 모든 곳으로의 트래픽을 허용하지만, 특정 프리픽스만 허용할 수 있는 유연성을 제공합니다. 예를 들어, 포트 443에 대해 Amazon S3의 US East 1 리전에만 아웃바운드 접근을 설정할 수 있습니다. 이런 경우, 프리픽스를 사용하여 오직 S3에 대한 트래픽만 허용할 수 있습니다.이와 같은 개념은 **관리 프리픽스 목록(Managed Prefix Lists)**을 도입하게 합니다. 관리 프리픽스 목록은 하나 이상의 CIDR 블록으로 구성되며, 이를 통해 보안 그룹과 라우팅 테이블을 보다 쉽게 구성할 수 있습니다. 예를 들어, 계정 내에서 특정 CIDR 블록들(CIDR 1, CIDR 2, CIDR 3)을 정..
[AWS SCS] Network ACL & Security Groups 보안 그룹과 네트워크 ACL(NACL) 이해하기VPC(가상 프라이빗 클라우드) 내에서 보안 그룹과 네트워크 ACL(네트워크 접근 제어 목록, NACL)은 트래픽의 관리와 보안을 위한 중요한 요소입니다. 이 글에서는 보안 그룹과 NACL의 개념과 차이점, 그리고 각각의 설정 방법과 특징을 설명합니다.보안 그룹(Security Groups)보안 그룹은 EC2 인스턴스와 연동되어 인스턴스에 대한 액세스를 제어하는 서비스입니다. 보안 그룹의 주요 특징은 다음과 같습니다:상태적(Stateful): 인바운드 트래픽이 허용되면 아웃바운드 트래픽도 자동으로 허용됩니다.허용 규칙만 지원: 인바운드 및 아웃바운드 트래픽에 대해 허용 규칙만 설정할 수 있습니다.Instance Level: 보안 그룹은 특정 EC2 인스턴스에..
[AWS SCS] PrivateLink VPC에서 다른 VPC로 AWS 서비스를 안전하게 노출시키는 방법에 대해 알아보겠습니다.Public Exposure vs. PrivateLink첫 번째 접근 방식은 서비스를 공공 인터넷을 통해 노출시키는 것입니다. 예를 들어, 서비스 VPC와 고객 VPC가 인터넷 게이트웨이를 통해 통신할 수 있습니다. 그러나 이는 관리가 어렵고 공공 인터넷을 통해 연결되기 때문에 신뢰성이 떨어집니다.두 번째 접근 방식은 VPC 피어링입니다. 여러 고객 VPC에 하나의 VPC를 연결하는 방식인데, 피어링을 통해 네트워크 전체가 공개될 수 있으며, 원래의 목적 외에도 네트워크 보안이 고려되지 않습니다. 이런 경우에는 PrivateLink를 사용하는 것이 더 나은 선택이 될 수 있습니다.AWS PrivateLinkPrivat..
[AWS SCS] VPC Endpoint Policies 지금부터 VPC 엔드포인트 정책에 대해 자세히 설명드리겠습니다. 이 정책은 VPC 엔드포인트에 연결된 서비스에 대한 접근을 제어하는 중요한 요소입니다. VPC 엔드포인트 정책이란?VPC 엔드포인트 정책은 특정 API 호출과 리소스에 대한 액세스를 제어하는 정책입니다. 예를 들어, 'list bucket', 'get bucket', 'put objects'와 같은 API 호출을 특정 역할이나 사용자가 수행할 수 있도록 허용할 수 있습니다. 이 정책을 통해 사용자는 VPC 엔드포인트를 통해 AWS 서비스를 사용할 때 액세스 권한을 관리할 수 있습니다. 적용 대상VPC 엔드포인트 정책은 인터페이스 엔드포인트와 게이트웨이 엔드포인트 모두에 적용될 수 있습니다. 이 정책은 특정 리소스에 대해 특정 API 호출을 ..
[AWS SCS] VPC Endpoints 지금부터 VPC 엔드포인트에 대해 자세히 알아보겠습니다. VPC 엔드포인트는 AWS 서비스를 프라이빗 네트워크를 통해 연결할 수 있게 해주는 중요한 기능입니다. 공용 인터넷을 사용하지 않고 AWS 서비스에 접근할 수 있게 하여, 인터넷 게이트웨이나 네트워크 게이트웨이가 필요하지 않게 합니다. 이는 특히 보안과 성능 측면에서 매우 유리한 옵션입니다.VPC 엔드포인트 게이트웨이특징: S3와 DynamoDB만을 지원하며, 게이트웨이는 VPC 수준에서 정의됩니다.기능: 프라이빗 서브넷에 있는 EC2 인스턴스가 VPC 엔드포인트 게이트웨이를 통해 S3나 DynamoDB에 접근할 수 있게 해줍니다. 이 과정에서 인터넷 게이트웨이나 네트워크 게이트웨이가 필요하지 않습니다.구성: 게이트웨이를 생성하고, 이를 위한 라우..
[AWS SCS] DNS Resolution Options in VPC 사용자가 AWS VPC에서 사용할 수 있는 두 가지 중요한 DNS 설정인 enableDnsSupport와 enableDnsHostnames에 대해 설명하겠습니다.DNS Resolution: enableDnsSupportenableDnsSupport 설정은 VPC 내에서 Route 53의 DNS 해석을 지원할 수 있는지 여부를 결정합니다. 기본적으로 이 설정은 True로 되어 있어, VPC 내의 모든 EC2 인스턴스가 Amazon에서 제공하는 DNS 서버(169.254.169.253 또는 VPC IP 네트워크 범위의 +2 IP)를 통해 공용 DNS 이름을 쿼리할 수 있게 합니다. 이는 VPC 내의 인스턴스들이 인터넷 상의 공용 도메인을 손쉽게 접근할 수 있게 해줍니다.DNS Host Name: enable..
[AWS SCS] VPC Peering AWS VPC Peering: 연결성과 확장성을 위한 필수 옵션VPC Peering은 서로 다른 AWS Virtual Private Cloud(VPC) 간의 연결을 가능하게 하는 중요한 서비스입니다. 여러 VPC를 연결하면 마치 하나의 네트워크처럼 동작하게 되어, 서로 다른 리소스 간의 원활한 통신을 보장합니다. 예를 들어, 다양한 AWS 계정 내에서 서로 다른 지역에 있는 VPC들을 연결하거나, 동일 계정 내의 다른 VPC들 간의 연결을 설정할 수 있습니다.주요 개념서로 다른 CIDR 블록: VPC Peering을 설정하려면 VPC 간 CIDR 블록이 중복되지 않아야 합니다. 중복된 CIDR 블록을 사용하는 VPC은 서로 통신할 수 없습니다.비전이성 연결: VPC Peering은 각 VPC 간의 별도 ..