어떻게 하면 이걸 더 잘 할 수 있지?

불편했던 사항AWS 상에서 개발시 처음에는 하나의 계정을 사용하였습니다. 3년 후 Production, Testbed, Dev등의 용도 AWS 계정은 4개로 증가 하였습니다. 일을 하다 보니 Production 계정에서 Testbed나 Dev 계정의 S3에 접근해야 될 상황이 발생되었습니다. 예로, Production CI 서버는 다양한 Profile의 Application Binary를 Build 하고 있습니다. 그래서 Production CI 서버에서 Dev용 Application Binary를 Build하여, Target 서버에 Deploy하기 위해 Dev계정 S3에 접근할 필요가 있었습니다. 확인 사항서로 다른 계정에서 한 S3에 자원을 공유할 수 있는 방법이 있을지에 대해서 고민하고 있었는데, ..

AWS에서 이용하는데 있어, 다소 헤깔릴 수 있는 '계정'에 대해서 정리해 보았습니다. AWS에서 사용하는 계정OS(Linux / Windows) 계정AWS 계정IAMOS 계정은 OS에서 관리되는 계정이고, IAM과 AWS 계정은 AWS에서 관리되는 계정을 의미한다. OS(Linux / Windows) 계정Linux 및 Windows에서 생성된 개정이고, OS의 설정이나 미들웨어 Application 설정등이 가능하다.물리적인 서버 환경에서 클라우드로 전화해도 OS 계정에서 할 일은 거의 변경되지 않는다.기존 하던데로 관리하면 된다. AWS 계정 Linux의 Root 계정과 동일한 성격의 계정AWS에서의 모든 작업을 수행이 가능하다. 원칙적으로 MFA와 연동을 하고 IAM 관리자 계정을 사용하고 가급적 ..

AWS IAM으로 그룹 및 사용자 별로 AWS Resource 사용을 제한하고 있는데, 특정 EC2 인스턴스의 Type을 변경해야 하는 요청이 있었다. EC2 인스턴스는 Tag를 추가하여 사용하고 있어, 특정 Tag(Env가 Test인 경우)에 한하여 권한을 주고자 아래과 같은 Policy를 작성하여 적용 하였다. { "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:ModifyInstanceAttribute" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/Env": "Test" } } } ] } 그러나 정상적으로 동작을 하지 않는 것이다..

보통 AWS에서 개발을 진행한다고 하면, 개발에 급급한 나머지 root을 계정을 공유하게 되는 종종 있다. root 계정은 관리자 계정으로써 AWS상에서의 모든 자원에 접근이 가능하다. 계정을 공유하는 것이 편리할지는 모르겠지만, 이를 잘 못 사용하거나 의도하지 않게 유출될 경우 보안상 큰 문제가 될 수 밖에 없다. 예로, IDC에 악의적인 제 3자가 침투하여 서버를 고장내고 Data를 삭제하는 것과 같은 사고가 발생 될 수도 있고, 실제로 코드스페이스의 경우 이와 같은 상황이 클라우드 상에서 발생되어 사업을 폐쇄 할 수 밖에 없게 되었다. 또한 나중에 보완을 하려고 한다면 이를 수정하는데는 매우 많은 시간일 걸릴 수 있으며, 이 시간이 길어 질 수록 보안상에 치명적인 문제를 안고 있는 것이다. AWS의..