Security Blog

AWS를 접근제어 후 쓰다보면 화이트리스트 정책 답게 권한이 막혀 실행 되지 않는 경우가 많다. 하지만 에러를 보면 이상한 값들만 나열되어 있고 어떤것을 고쳐야할지 모르는 경우가 많을 것이다. 그리고 이에 대한 해결방법에 대해 적어보려한다. 만약 권한에 대한 문제가 생기면 다음과같은 에러를 리턴할것이다. 그리고 우리는 이 중 메시지 이후 부분에 대해서 신경써야한다. 이를 CLI에 다음 명령어로 대입하면된다. (CLI 설치및 설정은 다음글 참조) chanztudio.tistory.com/99 AWS Cli 사용하기 AWS 사용하다보면 CLI 사용을 자주해야할 때가 온다 이때 AWS CLI는 각 로컬 PC에 CLI 프로그램을 설치 후 Config에 로그인을 통해 해당 터미널에서 직접 CLI를 붙는 구조이다...

EC2를 만드는것까진 했으나 아직 실행 및 정지 그리고 종료(삭제)가 되지 않았다. 온디멘드에서 사용자들에게 직접 종료 권한및 실행권한이 없다면 항상 인스턴스가 ON의 상황이 되어야하고 그로인해 지불의 양이 높아질것으로 예상되어 정지 및 종료 권한을 주기로하였다. 먼저 EC2를 만들면 자동으로 실행되지만 막상 정지나 종료를 시도하였을 때는 다음과 같은 에러가 발생한다. 해당 에러에 대해 AWS Cli로 찾아본 결과 ec2에서 instance에 대한 종료 정지 실행등의 권한이 존재하지 않았으며 다음과 같이 권한을 넣었다. 그리고 그결과 다음과 같이 시작 -> 중지 -> 종료까지 잘 되었다. 이것으로 ec2의 대충 권한을 마치고 고찰로 넘어가보자.

EC2는 가상의 컴퓨터다보니 컴퓨터 자체의 삭제가 쉽다. 굳이 폐기 처분딱지를 붙이거나 고물상에 보내지 않아도 컴퓨터 하나가 사라지는 것을 순식간이라는 것이다. 이때 우리는 컴퓨터를 사용안하기 위해 종료할 때는 두가지가있다. 우리가 흔히 파워버튼을 눌러 끄는 방법과 컴퓨터를 던져버리는(?) 방법이다 그리고 흔히 컴퓨터를 종료하다의 생각으로 종료를 누를경우 컴퓨터를 던져버린다일 떄 우리는 모든 데이터를 잃으며 좌절하게 될 것이다. 이때 혹시나하는 종료 상황을 대비해 종료 -> 중지로 만드는 방법에 대해 적어보자 먼저 인스턴스의 우클릭 후 인스턴스 설정에 가서 종료 동작 변경과 종료 방지 기능 두가지 기능에 대해 볼것이며 들어가는 방법은 다음과 같다. 1. 종료 방지 기능 변경 해당 기능은 종료 자체를 못하..

AWS 사용하다보면 CLI 사용을 자주해야할 때가 온다 이때 AWS CLI는 각 로컬 PC에 CLI 프로그램을 설치 후 Config에 로그인을 통해 해당 터미널에서 직접 CLI를 붙는 구조이다. 먼저 설치를 위해 AWS 관련 사이트를 가서 각 OS에 맞게 설치한다. (뭘 원할지 몰라 회사에서 젤 많이 쓰이는 윈도우 버전으로 준비했다) https://docs.aws.amazon.com/cli/latest/userguide/install-windows.html Install, Update, and Uninstall the AWS CLI version 1 on Windows - AWS Command Line Interface Thanks for letting us know this page needs work..

제 실전 보안정책에 대해서 시작해보겠다 첫 정책 적용 분야는 EC2이다. 시작에 앞서 계정 정보를 다음과 같이 정의했다. ID: AWStest 그룹: testGroup (현재 보안정책은 아무것도 젹용되지 않음) 다음과 같이 퓨어한 정책에서 ec2 대쉬보드로 가면 다음과 같은 접근금지를 볼 수 있다. 이때 Instance를 클릭할 수 있었지만 해당 인스턴스 창은 비어있는것으로 확인되었습니다.(API만 작동을 안했지 instance에 입장은 되었으며 보이지 않았다) 즉 문제는 API가 보이지 않았으며 해당 API 중 인스턴스를 들어가보니 EC2의 목록이 보이지 않는 것으로 확인되었고 덕분에 보안정책 이래저래 확인하며 찾은 정책 중 보여주는 정책은 Describe 정책으로 확인되었고 해당 정책을 적용해았다 원..

Reference: docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns 드디어 arn으로 마지막 글이다. 그럼 본론으로 돌아와서 arn: amazon resource name으로 다음의 구성을 가진다. arn:partition:service:region:account:resource -partition: region을 나타낸다. 표준 aws의 경우 aws라고 적으며 특별한 region 선택시 따로 명명하면 된다 (ex: aws: 평균의 aws region, aws-cn: aws china region) -service: aws의 서비스 이름으로 iam, sts등을 선언한다. -region: 리소..

이어서 계속 해보자 1.1 글 및 1.2글에서 누가 할수있냐 없냐까지 정했으니 이제 무엇을의 차례이다. 이는 Action으로 정의할수있다. 8. Action(필수) Action 및 NotAction 특정 작업의에 대한 내용을 적습니다. 이부분은 예시로 적용 시켜 설명하는 것이 이해하기 쉬울 것 같으니 바로 예시로 넘어가겠습니다 ex) "Action": "ec2:*" -> ec2의 모든 기능에 대해서 "Action": "ec2:StartInstances" -> ec2에서 인스턴스 시작만 된다. "NotAction": "s3:DeleteBucket", -> s3에서 DeleteBucket(버켓 삭제)를 제외하고 다음과 같이 여러개도 한번에 지정이 가능하다 "Action": [ "sqs:SendMessage"..

저번글에 이어서 다음 구성요소들을 적어본다. 6.Principal(필수) 정책의 세부사항으로 주체 등을 선택하며 "*"로 표시시 모든 주체를 표현한다 구성사항은 다음과 같다 ("AWS계정 및 루트사용자", "IAM 사용자", "연동사용자(웹자격증명 or SAML 연동", "IAM 역할, " 위임된 역활 세션", "AWS서비스", "익명사용자(권장하지않음") -> ARN(arn:aws:iam::AWS-account-ID:root) 왜 이렇게 사용할까 그룹에는 여러사람이 존재한느데 이 사람에 대해 각자 권한을 주고싶은가보다 예를들어 개발팀이 ec2에 대해서 권한을 제어할때 팀장A말고는 권한에 대해서 조절하고싶을때 Action allow EC2 생성/제거 Principal : 팀장 Action Deny EC2..

AWS 콘솔 담당자가 되면 제일 먼저 알아야할 부분이며 보안의 핵심을 꼽으라면 보안정책일 것이다 하지만 AWS 보안 정책을 짜여진 툴로 쓰려니 너무 에러가 많았는데 먼저 예시로 지금 상황을 들어보겠다 1. KIITS의 AWS에 접근가능 직원에 대해 권한을 주려고 했다. 특히 ec2, RDS, S3의 경우 자유자재로 접근, 생성, 삭제 등의 권한을 주려고 하였기에 AWS 탬플릿중 다음과 같이 권한을 주었다 하지만 KIITS 직원중 한명에게 ec2의 접속 및 생성등이 되지 않는다는 이야기를 듣고 이를 해결하려고한다 (현재 RDS도 불가능하다고해서 직접 해결해야함) 현재 AmazonEC2FullAccess에 정책을 json으로 확인하면 다음과 같다. ec2:*의 모든 작업에 대해서 접근이 가능하고 엘라스틱도,..

데이터 바우처를 진행하며 APK에 대해 심도있게 공부하던 와중 악성코드가 의심되는 APK의 경우 권한에 대한 부분을 많이 가져온다는 것을 알게되었다. 물론 진단하는 어플의 경우 악성코드로서 보지는 않지만 컨설팅에서 좀더 뎁스있는 방법으로 권한에 대한 부분을 과하게 받는지 아닌지 확인하여 진단하는 것을 해주면 좋지않을까 하며 해당 부분에 대해 좀더 다루어보려고한다. (실제로 권한을 과도하게 받으면 악성코드가 존재하는 어플리케이션인지 백신에 의해 의심받을 수 있다.) 안드로이드의 권한의 경우 AndroidManifest.xml 파일에 압축되어 정의되어 있다. 위의 예시의 경우 Manifest.xml파일에 총 16개의 permission이란 단어를 포함한다 이중 일부는 실제 퍼미션은 아니지만 위의 사진에서 몇..