Security Blog

AWS를 접근제어 후 쓰다보면 화이트리스트 정책 답게 권한이 막혀 실행 되지 않는 경우가 많다. 하지만 에러를 보면 이상한 값들만 나열되어 있고 어떤것을 고쳐야할지 모르는 경우가 많을 것이다. 그리고 이에 대한 해결방법에 대해 적어보려한다. 만약 권한에 대한 문제가 생기면 다음과같은 에러를 리턴할것이다. 그리고 우리는 이 중 메시지 이후 부분에 대해서 신경써야한다. 이를 CLI에 다음 명령어로 대입하면된다. (CLI 설치및 설정은 다음글 참조) chanztudio.tistory.com/99 AWS Cli 사용하기 AWS 사용하다보면 CLI 사용을 자주해야할 때가 온다 이때 AWS CLI는 각 로컬 PC에 CLI 프로그램을 설치 후 Config에 로그인을 통해 해당 터미널에서 직접 CLI를 붙는 구조이다...

EC2는 가상의 컴퓨터다보니 컴퓨터 자체의 삭제가 쉽다. 굳이 폐기 처분딱지를 붙이거나 고물상에 보내지 않아도 컴퓨터 하나가 사라지는 것을 순식간이라는 것이다. 이때 우리는 컴퓨터를 사용안하기 위해 종료할 때는 두가지가있다. 우리가 흔히 파워버튼을 눌러 끄는 방법과 컴퓨터를 던져버리는(?) 방법이다 그리고 흔히 컴퓨터를 종료하다의 생각으로 종료를 누를경우 컴퓨터를 던져버린다일 떄 우리는 모든 데이터를 잃으며 좌절하게 될 것이다. 이때 혹시나하는 종료 상황을 대비해 종료 -> 중지로 만드는 방법에 대해 적어보자 먼저 인스턴스의 우클릭 후 인스턴스 설정에 가서 종료 동작 변경과 종료 방지 기능 두가지 기능에 대해 볼것이며 들어가는 방법은 다음과 같다. 1. 종료 방지 기능 변경 해당 기능은 종료 자체를 못하..

AWS 사용하다보면 CLI 사용을 자주해야할 때가 온다 이때 AWS CLI는 각 로컬 PC에 CLI 프로그램을 설치 후 Config에 로그인을 통해 해당 터미널에서 직접 CLI를 붙는 구조이다. 먼저 설치를 위해 AWS 관련 사이트를 가서 각 OS에 맞게 설치한다. (뭘 원할지 몰라 회사에서 젤 많이 쓰이는 윈도우 버전으로 준비했다) https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html Install, Update, and Uninstall the AWS CLI version 1 on Windows - AWS Command Line Interface Thanks for letting us know this page needs work..

Reference: docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns 드디어 arn으로 마지막 글이다. 그럼 본론으로 돌아와서 arn: amazon resource name으로 다음의 구성을 가진다. arn:partition:service:region:account:resource -partition: region을 나타낸다. 표준 aws의 경우 aws라고 적으며 특별한 region 선택시 따로 명명하면 된다 (ex: aws: 평균의 aws region, aws-cn: aws china region) -service: aws의 서비스 이름으로 iam, sts등을 선언한다. -region: 리소..

이어서 계속 해보자 1.1 글 및 1.2글에서 누가 할수있냐 없냐까지 정했으니 이제 무엇을의 차례이다. 이는 Action으로 정의할수있다. 8. Action(필수) Action 및 NotAction 특정 작업의에 대한 내용을 적습니다. 이부분은 예시로 적용 시켜 설명하는 것이 이해하기 쉬울 것 같으니 바로 예시로 넘어가겠습니다 ex) "Action": "ec2:*" -> ec2의 모든 기능에 대해서 "Action": "ec2:StartInstances" -> ec2에서 인스턴스 시작만 된다. "NotAction": "s3:DeleteBucket", -> s3에서 DeleteBucket(버켓 삭제)를 제외하고 다음과 같이 여러개도 한번에 지정이 가능하다 "Action": [ "sqs:SendMessage"..

저번글에 이어서 다음 구성요소들을 적어본다. 6.Principal(필수) 정책의 세부사항으로 주체 등을 선택하며 "*"로 표시시 모든 주체를 표현한다 구성사항은 다음과 같다 ("AWS계정 및 루트사용자", "IAM 사용자", "연동사용자(웹자격증명 or SAML 연동", "IAM 역할, " 위임된 역활 세션", "AWS서비스", "익명사용자(권장하지않음") -> ARN(arn:aws:iam::AWS-account-ID:root) 왜 이렇게 사용할까 그룹에는 여러사람이 존재한느데 이 사람에 대해 각자 권한을 주고싶은가보다 예를들어 개발팀이 ec2에 대해서 권한을 제어할때 팀장A말고는 권한에 대해서 조절하고싶을때 Action allow EC2 생성/제거 Principal : 팀장 Action Deny EC2..

AWS 콘솔 담당자가 되면 제일 먼저 알아야할 부분이며 보안의 핵심을 꼽으라면 보안정책일 것이다 하지만 AWS 보안 정책을 짜여진 툴로 쓰려니 너무 에러가 많았는데 먼저 예시로 지금 상황을 들어보겠다 1. KIITS의 AWS에 접근가능 직원에 대해 권한을 주려고 했다. 특히 ec2, RDS, S3의 경우 자유자재로 접근, 생성, 삭제 등의 권한을 주려고 하였기에 AWS 탬플릿중 다음과 같이 권한을 주었다 하지만 KIITS 직원중 한명에게 ec2의 접속 및 생성등이 되지 않는다는 이야기를 듣고 이를 해결하려고한다 (현재 RDS도 불가능하다고해서 직접 해결해야함) 현재 AmazonEC2FullAccess에 정책을 json으로 확인하면 다음과 같다. ec2:*의 모든 작업에 대해서 접근이 가능하고 엘라스틱도,..