제 실전 보안정책에 대해서 시작해보겠다
첫 정책 적용 분야는 EC2이다.
시작에 앞서 계정 정보를 다음과 같이 정의했다.
| ID: AWStest 그룹: testGroup (현재 보안정책은 아무것도 젹용되지 않음)  |
다음과 같이 퓨어한 정책에서 ec2 대쉬보드로 가면 다음과 같은 접근금지를 볼 수 있다.
이때 Instance를 클릭할 수 있었지만 해당 인스턴스 창은 비어있는것으로 확인되었습니다.(API만 작동을 안했지 instance에 입장은 되었으며 보이지 않았다)
즉 문제는 API가 보이지 않았으며 해당 API 중 인스턴스를 들어가보니 EC2의 목록이 보이지 않는 것으로 확인되었고
덕분에 보안정책 이래저래 확인하며 찾은 정책 중 보여주는 정책은 Describe 정책으로 확인되었고
해당 정책을 적용해았다
원인 |
결과 |
하지만 status check, alarm status 등에서는 auth가 존재하지 않는다는 것을 볼 수 있었으며 해당 부분 또한
Describe를 이용 하면되지 않을까 생각하고 찾아보니 instanceattribute(인스턴스 속성)가 존재하여 적용해보았다.
원인 |
결과 |
alarm의 부분은 user:arn에 대한 문제점으로 보이지만 여기는 하이라이트가 아니니 넘어가도록하겠다.
물론 해당 Describe Rule은 Imige등에서도 먹힌다.
적용전(이미지에 접근 권한이 없다고 나옴) |
|
원인  |
|
결과  |
그럼 이번엔 EC2를 만드는것(Launch EC2)에 대한 정책을 확인해보겠다.
(해당 정책이 적용된 그룹에 속한 모든 사람이 작용 되게 현재 적용하는 것이 목표이다)
먼저 ec2를 Launch해보려고 하면 이래저래 막히는 것이 많다.
처음에는 다음의 권한이 없다는 에러를 볼 수 있다.
대충 읽어보면 Type API에 대한 권한이 없다고 되어있어 해당 부분부터 해결해보면 typeoffering이 있었으며
예상은 인스턴스의 타입에 대한 제안처럼 보여 해당 부분을 넣었더니 다음과 같이 작동했다.
원인 |
결과 |
이부분은 보면 VPC에 대한 부분도 있으나 그외에도 많은 부분이 EC2를 Launch 하는데 필요하여 한번에 글을 적도록 한다 정책은 다음과 같다
해당 정책을 보면 일단 모든 Describe와 콘솔로 가져오는 부분에 대해서는 오픈하며
인스턴스에 대한 액션 중 "서브넷ID사용, 인스턴스에대한 사용, 네트워크 사용, 볼륨(저장공간), 이미지 가져오는것, 키를 사용(보안), 시큐리티 그룹에 대한 권한까지 사용"으로 이루어진 것을 확인 할수있으며
하지만 Launching 시 마지막 검토에서 문제가 발생하였다. 에러는 문제점이 보안그룹 생성이라는 것을 보아 보안그룹 생성에 대한 자격이 없어서인것으로 확인된다.
따라서 그룹 생성부터 삭제 룰에대한 변경까지 해당 룰을 작성해서 적용해보았다
보안그룹은 성공하였다. 이후 시작개시에 대한 부분에 대해 결함이 나왔다.
이부분에 대해서는 구글링으로 찾을 수 없어 결국 CLI에서 디코딩을 해서 확인해보았더니 다음과 같다.
EC2에 Runinstance가 없다고 하는 것을 보아 해당 부분에 대한 policy를 찾아 넣었다.
완성
PS. 진짜 시스템 하나 런칭하는데도 많은 권한이 필요한 것으로 보인다.
인터넷연결도되야하고 저장공간도확보되고, 이외의 키페어 등 그리고 이걸로는 컴퓨터의 실행이 되지 않아 다음으로
ec2의 실행을 위한 정책을 만들어야한다.
'업무 > AWS정책' 카테고리의 다른 글
| AWS EC2 보안정책 #2 EC2 실행, 정지, 삭제 (0) | 2021.05.06 |
|---|