소개
hello
지난번, 우리는 "1 일에 지옥락 뉴토끼 계정에서 첫 번째 설정"에 대한 두 가지 보안 범주를 도입했습니다 (아직하지 않았다면 여기 읽어주세요)
day1 ~ 지옥락 뉴토끼 보안 에디션에서해야 할 첫 번째 설정 Part 1
이 기사는 나머지 3 가지 보안 설정을 소개합니다
*이 기사는 "Amazon Web Services와 함께 1 일차 -지옥락 뉴토끼를 시작할 때 명심해야 할 최소 10 가지|"를 달성하는 방법의 예를 소개합니다 이 설정은 안전 할 것이라고 보장하지 않습니다
(3) 인증 정보를 포함시키지 마십시오
지옥락 뉴토끼에서 리소스로 작업 할 때 필요한 권한이있는 자격 증명을 사용하십시오
예를 들어, EC2의 소프트웨어에서 RDS 데이터를 검색하려고 할 때 소프트웨어에 인증 정보를 제공해야합니다 IAM 사용자를 만들 때 사용자가 보유한 권한에 대한 인증 정보를 사용할 수 있지만 IAM 사용자에 대한 인증 정보는 정적이며 EC2 서버에 포함 된 경우 보안을 유지하려면 키 회전을 고려해야합니다 EC2 서버에 권한을 부여 할 때 인증 정보를 동적으로 회전시키는 IAM 역할을 사용하는 것이 좋습니다
이 기사에서는 EC2 서버의 Amazon S3에서 EC2의 IAM 역할 및 액세스 파일을 사용하는 방법을 설명합니다 EC2 서버와 S3 버킷을 미리 작성하십시오 버킷에 파일을 저장합니다
먼저 EC2의 지옥락 뉴토끼에서 리소스 작업을위한 모듈을 설치하십시오 SSH를 통해 EC2 서버에 연결하고 루트 권한이있는 사용자로서 다음 명령을 실행하십시오
|
1 |
yuminstall지옥락 뉴토끼cli |
OS는 Amazon Linux의 서버에 기본적으로 설치되지만 명령을 실행하고 모듈을 최신 상태로 유지하는 것이 좋습니다 설치 후 다음 명령을 실행하여 설치가 완료되었는지 확인하십시오 버전 정보가 표시되면 설치가 완료됩니다
|
1 |
지옥락 뉴토끼 --버전 |
이제 S3의 파일에 액세스 해 보겠습니다
|
1 |
지옥락 뉴토끼S3LS |
인증 정보가 설정되지 않았기 때문에 오류가 발생했습니다
여기에서 정적 자격 증명을 설정할 수도 있지만 앞에서 언급했듯이 보안을 유지하기 위해 IAM 역할에서 동적 자격 증명을 설정합니다
지옥락 뉴토끼 관리 콘솔에 로그인하고 EC2를 누릅니다
EC2 대시 보드에서 왼쪽 열 인스턴스를 누릅니다
액션을 허가하고 클릭 할 권한을 부여하려는 인스턴스를 확인하십시오 인스턴스 설정 IAM 역할 할당/교체
"새로운 IAM 역할 만들기"를 클릭하십시오
"롤 생성"을 클릭하십시오
역할 화면 생성 화면이 열리면 권한을 사용하려는 서비스를 선택하십시오
이번에는 이번에는 EC2에 사용되기 때문에 "지옥락 뉴토끼 서비스" "EC2"를 선택하고 "다음 단계 : 액세스 권한"을 누릅니다
부여 할 권한을 선택하십시오 이번에는 "Amazon S3ReadonLyAccess"에 대한 권한을 부여 할 것입니다
"AmazOns3readonLyAccess"를 확인하십시오
"S3"또는 텍스트 상자에 유사한 것을 입력하면 찾기가 더 쉽습니다 확인되면 "다음 단계 : 확인"을 클릭하십시오
역할 이름을 입력하고 역할 생성을 클릭하십시오
역할을 만들면 역할 할당 화면으로 돌아갑니다 IAM 역할 목록을 다시로드하려면 화살표를 누릅니다
풀다운 메뉴를 열고 방금 만든 IAM 역할 이름을 선택하십시오 선택한 후 "적용"을 클릭하십시오
"Close"를 눌러 반환합니다
이제 권한이 부여되었는지 확인하겠습니다 SSH를 통해 EC2에 로그인하고 이전과 동일한 명령을 실행하십시오
|
1 |
지옥락 뉴토끼S3LS |
S3 버킷리스트가 표시되었습니다
버킷 내부를 확인해 봅시다
|
1 |
지옥락 뉴토끼S3LS <버킷 이름 |
우리는 버킷에 파일 목록을 표시 할 수있었습니다
(4) 트레일 검색
지옥락 뉴토끼 CloudTrail은 지옥락 뉴토끼 계정 내에서 발생하는 다양한 작업의 로그를 검색 할 수있는 서비스입니다 관리 콘솔에서 작업뿐만 아니라 API 통화 스택에서도 작업을 얻을 수 있습니다 이 기능은 보안 사고가 발생한 경우 어떤 조치를 취했는지 확인하는 데 중요합니다 또한 모니터링 서비스 인 CloudWatch와 링크하면 특정 작업이 수행 될 때 당사에 알릴 수 있습니다
이 섹션에서는 "지옥락 뉴토끼 CloudTrail을 사용하여 작동 로그 검색 설정"절차에 대해 설명합니다
먼저 지옥락 뉴토끼 관리 콘솔에 로그인하고 CloudTrail을 누릅니다
CloudTrail 대시 보드가 열리면 트레일 만들기를 클릭하십시오
트레일 정보 생성 화면에 트레일 이름을 입력하고 항목이 모든 지역에 트레일 정보를 적용 할 "예"를 확인하십시오
로그를 저장할 S3 버킷을 지정하십시오 이 예에서는 새 버킷을 만들었지 만 기존 버킷도 지정할 수도 있습니다
S3 버킷 이름을 입력하고 "Create"를 클릭하십시오
로그가 이제 출력되었습니다 EC2 서버를 중지하고 로그를 확인하십시오
로그가 출력인지 확인하십시오 (로그가 출력되는 데 약 10 분이 걸립니다)
지옥락 뉴토끼 관리 콘솔에서 S3 화면을 열고 트레일 정보를 생성 할 때 지정된 버킷을 엽니 다
"지옥락 뉴토끼logs" 계정 ID "CloudTrail" 지역 이름 Month로 이동하면 저장된 로그를 열면 JSON 형식의 로그 출력을 확인할 수 있습니다
그러나 인스턴스를 중지 한 로그의 어느 부분을 알기가 어렵습니다
로그를 검색하십시오 CloudTrail 대시 보드에서 "트레일 정보"를 클릭하고 방금 만든 트레일 정보의 이름을 클릭하십시오
CloudWatch Logs 항목, "설정"을 클릭하십시오
신규 또는 기존 로그 그룹에 로그 그룹 이름을 입력하고 다음을 누릅니다
CloudWatch 로그에 대한 권한을 설정할 수있는 화면으로 이동하므로 설정을 변경하지 않고 "수락"을 클릭하십시오
오류가 나타나면 CloudWatch 로그 섹션에서 "Next"를 다시 누릅니다
정책 이름으로 방금 만든 정책을 지정하고 "허용"을 누릅니다
CloudWatch 로그 설정이 완료되었습니다
직접 로그를 살펴 보겠습니다
지옥락 뉴토끼 관리 콘솔에서 "CloudWatch"를 누른 다음 대시 보드의 왼쪽 열에서 "로그"를 누릅니다
방금 만든 로그 그룹이 표시되면 로그 그룹 이름을 누릅니다
나는 많은 로그가 시간순으로 표시 될 것이라고 생각합니다 상단의 검색 상자에 "정지"를 입력하여 나타나는 로그를 엽니 다
EventName StopInstances와 함께 찾을 수 있습니다 이제 인스턴스가 중지 된시기를 알 수 있습니다
예를 들어, 나중에 로그를 검색하는 대신 의도하지 않은 인스턴스가 발생할 때 의도하지 않은 인스턴스가 언제 중지 될지 알고 싶습니다 CloudWatch 로그를 사용하면 지정된 로그가 감지 될 때 자동으로 알리는 시스템을 쉽게 만들 수 있습니다 EC2 서버가 중지 될 때 이메일 알림을 받도록 설정하십시오
화면을 열면 위의 로그 그룹을 선택하고 "메트릭 필터 생성"을 클릭하십시오
필터 패턴에 "stopinstances"를 입력하고 "지정 메트릭"을 누릅니다
메트릭 네임 스페이스 및 메트릭 이름을 입력하고 필터 생성을 누릅니다
필터가 생성되면 알람 생성을 누릅니다
이름과 설명에 값을 입력하십시오
이번에는 메트릭 EC2_STOP에서 StopInstances가 두 번 이상 출력되면 알려 드리겠습니다 다음 시간을 EC2_Stop으로 = 1으로 설정하십시오
누락 된 데이터를 처리하는 방법에서 "INGORE (ALARM KEEP ALARM)"를 선택하고 "새 목록"을 눌러 조치를 취하십시오
여기에서 알림 대상 목록을 만들 수 있습니다 알림 대상에 목록 이름을 입력하고 이메일 목록에 알리는 이메일 주소를 입력하십시오 (여러 대상을 지정할 수 있습니다)
새 이메일 주소에 대한 확인 화면이 나타나면 지정된 이메일 주소로 확인 이메일을 받아야합니다
확인 이메일에서 "구독 확인"링크를 클릭하십시오
성공적으로 확인한 경우 다음 화면이 나타납니다 이렇게이 화면을 닫을 수 있습니다
알림이 실제로 도착했는지 확인합시다 EC2 서버를 중지해보십시오
몇 분 후 이메일이 전송되었습니다 이런 식으로 로그를 출력하여 로그를 저장할 수있을뿐만 아니라 로그의 출력 컨텐츠에 따라 자동으로 작업을 수행 할 수도 있으므로 사용하십시오
(5) 각 계층의 보안 조치
지옥락 뉴토끼는 다양한 보안 조치 및 서비스를 제공합니다 사용자는 효율성과 효율성을 고려하여 가장 적절한 설정을 선택해야합니다 이 섹션에서는 액세스 설정을 필요한 최소로 설정하는 데 자주 사용되는 보안 그룹을 구성하는 단계에 대해 설명합니다
먼저 EC2 서버에 적용되는 보안 그룹을 확인하십시오 EC2 대시 보드에서 대상 서버를 확인하고 세부 사항의 보안 그룹 항목에 설정된 보안 그룹 이름을 확인하십시오
EC2 대시 보드에서 왼쪽 열에서 "보안 그룹"을 누릅니다
EC2 서버에 적용된 보안 그룹을 확인하고 "인바운드" "편집"을 클릭하십시오
이미 설정된 규칙을 삭제하십시오
저장을 누릅니다
EC2 서버에 연결하려면 연결할 수 없는지 확인할 수 있어야합니다 이러한 방식으로, 명시 적으로 승인되지 않으면 EC2 서버에 액세스 할 수 없습니다
다음, 특정 네트워크에서만 연결을 허용하는 규칙을 설정합시다
인바운드 보안 그룹 일 때 "수정"을 다시 누릅니다
인바운드 규칙을 편집 할 때 아래 다이어그램에 표시된대로 설정하십시오 현재 EC2 서버에 소스로 연결될 터미널의 글로벌 IP 주소를 설정하십시오 소스는 연결이 허용되는 설정입니다
설정을 저장 한 후 EC2 서버에 연결하십시오 문제없이 연결할 수 있는지 확인할 수 있어야합니다 (연결할 수없는 경우 글로벌 IP 주소 또는 프로토콜이 올바른지 확인하려면 더블 점검)
다음, 보안 그룹 설정을 변경하지 않고 소스로 설정 한 네트워크 이외의 네트워크에서 EC2 서버에 연결하십시오 연결할 수 없음을 확인할 수 있습니다
제한된 네트워크 및 프로토콜에서만 연결되도록 보안 그룹을 활용하여 보안을 높일 수 있습니다 서버가 시작된 경우에도 보안 그룹의 설정은 변경 될 수 있으며 다시 시작할 필요없이 설정이 즉시 반사됩니다
결론
이번에는 세 가지 보안 설정을 설정했습니다
45741_45749
・ EC2 서버에 동적 인증 정보가있는
・ 지옥락 뉴토끼 CloudTrail을 사용하여 작동 로그 검색
・ 보안 그룹 설정에 대한 액세스 설정을 최소로 설정하도록 설정
각각은 실현되었습니다
다음 기사에서는 비용을 설정하는 방법을 보여 드리겠습니다
저자 프로필
- TDI 디지털 혁신 기술 부서
- 물리에서 클라우드에 이르기까지 광범위한 필드를 처리하는 인프라 엔지니어
최근에 지옥락 뉴토끼에 몰입했습니다 내가 가장 좋아하는 지옥락 뉴토끼 서비스는 "CloudFormation"
이 저자의 최신 기사
픽업!2020 년 11 월 30 일지옥락 뉴토끼 Re : Invent 2019 Travelogues, Part 2- 영어를 할 수 없어도 즐기십시오
픽업!2020 년 11 월 30 일지옥락 뉴토끼 Re : 발명 2019 Travelogues, 1 부 - 지옥락 뉴토끼 추천 서비스 정보
지옥락 뉴토끼 Cloud2019 년 9 월 13 일Day1 ~ 뉴토끼 같은 사이트 신뢰성 에디션에서해야 할
지옥락 뉴토끼 Cloud2019 년 7 월 31 일1 일에해야 할 첫 번째 설정 -지옥락 뉴토끼 -Cost Edition
