heesoohi

🔐 Active Directory (AD), LDAP회사 내부에서 직원들의 로그인 정보와 권한을 관리하는 시스템LDAP은 사용자 정보를 트리 구조로 저장하는 "디렉터리 시스템"AD는 LDAP을 기반으로 한 마이크로소프트의 인증 시스템→ ✅ "회사 계정 로그인 시스템"이라고 이해하면 됨→ ✅ AWS 입장에서는 외부 사용자 인증 시스템 🧾 IAM 자격 증명 공급자 (Identity Provider)AWS가 외부 인증 시스템을 신뢰하고 등록하는 설정IAM이 외부 인증 시스템으로부터 자격 증명을 공급받는 것이 가능하게 해줌SAML 2.0 기반 인증 시스템(AD, Okta 등)을 등록하면, 해당 시스템에서 인증된 사용자에게 IAM 역할(Role)을 맡게 할 수 있음 🪪 STS (AWS Security To..

스왑(Swap) 공간이란?Amazon EC2 인스턴스를 운영하다 보면, 메모리 부족 상황에서 발생하는 스왑 공간(Swap Space) 문제를 마주할 수 있다. 스왑 공간은 RAM(메인 메모리)이 부족할 때 디스크의 일부를 임시 메모리처럼 사용하는 공간이다.RAM은 빠르고 비싼 자원으로, 운영체제와 애플리케이션들이 주로 사용하는 공간이다.하지만 실행 중인 작업이 많아 RAM이 부족해지면, OS는 디스크의 일부를 사용하여 부족한 메모리를 보완하려 한다.이 디스크 기반 임시 메모리 공간이 바로 스왑 공간이다.✅ 스왑은 성능 저하를 일으킬 수 있는 비상용 자원으로, 자주 사용될 경우 시스템 이상 징후로 간주해야 한다. CloudWatch에서 스왑 공간을 모니터링하려면?스왑 사용량은 기본 CloudWatch 지표..

Auto Scaling 그룹에 포함된 EC2 인스턴스에서 OS 패치, 애플리케이션 업데이트, 디버깅 등과 같은 유지 보수 작업을 진행해야 할 때는 다음과 같은 점을 주의해야 한다. ❗ Auto Scaling이 인스턴스를 자동 교체하는 경우유지 보수 도중 인스턴스가 일시적으로 응답하지 않거나 상태 확인에 실패하면, Auto Scaling 그룹은 해당 인스턴스를 비정상(Unhealthy) 으로 판단하고 자동으로 종료 + 대체 인스턴스를 생성할 수 있다. 이러한 자동 동작은 유지 보수 중인 인스턴스를 방해할 뿐만 아니라 불필요한 리소스 소모로 이어진다. ✅ 가장 안전하고 효율적인 방식: Standby 상태로 전환인스턴스를 유지 보수 작업 전에 Standby(대기 상태) 로 전환해두면, Auto Scaling..

Amazon MQ란 무엇인가?Amazon MQ는 AWS에서 제공하는 표준 메시지 브로커 서비스로, 기존에 온프레미스에서 사용하던 ActiveMQ 또는 RabbitMQ 기반 시스템을 AWS로 마이그레이션할 때 유용하게 사용된다. MQ의 존재 이유Amazon MQ는 새로운 시스템 개발보다는 기존 메시징 시스템의 클라우드 이전을 돕기 위한 목적이 크다. JMS(Java Message Service), AMQP, STOMP, MQTT 등 업계 표준 메시징 프로토콜을 그대로 지원하기 때문에, 기존 메시징 코드를 거의 수정하지 않고도 AWS 환경에서 그대로 사용할 수 있다.즉, "코드를 거의 안 고치고 AWS로 옮기고 싶을 때" 사용하는 실용적 서비스다. SNS/SQS vs Amazon MQ 비교 Amazon SN..

AWS에서는 데이터 암호화를 위한 다양한 키 관리 옵션을 제공한다. 그 중에서도 대표적인 서비스가 KMS (Key Management Service)와 CloudHSM이다. 이 두 서비스는 모두 하드웨어 보안 모듈(HSM, Hardware Security Module)을 기반으로 하며, 보안 수준은 높지만 운영 방식과 사용 목적이 크게 다르다. 1. KMS란?KMS는 AWS가 제공하는 완전관리형 키 관리 서비스이다. 사용자는 AWS 콘솔이나 API를 통해 손쉽게 키를 생성하고, 해당 키를 이용해 데이터를 암호화하거나 복호화할 수 있다. 내부적으로는 HSM을 사용해 키를 안전하게 저장하고 있지만, 고객은 해당 HSM이나 키 저장 위치에 직접 접근할 수 없다. KMS는 S3, RDS, EBS, Lambda ..

AWS에서 VPC(Virtual Private Cloud)는 가상의 격리된 네트워크 공간을 제공한다. 이 VPC 내에는 여러 개의 서브넷을 만들 수 있고, 각 서브넷에는 EC2 인스턴스를 배치할 수 있다. 이번 글에서 서로 다른 서브넷에 있는 EC2 인스턴스들이 정상적으로 통신하기 위해 확인해야 할 요소들을 정리해보려 한다. 1. 기본 전제: 서브넷이 달라도 VPC 내부라면 통신은 가능하다같은 VPC에 속한 서브넷이라면 기본적으로 라우팅 테이블이 자동으로 설정되어 있기 때문에, 특별한 제한이 없다면 서로 통신이 가능하다. 그러나 보안 설정에 따라 통신이 차단될 수 있으므로 다음과 같은 항목을 반드시 확인해야 한다. 2. 서브넷 수준: 네트워크 ACL(NACL) 설정 확인네트워크 ACL(Network A..

1. KMS(Key Management Service)란?AWS Key Management Service(KMS)는 암호화 키의 생성부터 저장, 회전, 삭제까지 전체 수명주기를 관리하고, 실제 암호화 및 복호화 요청도 처리해주는 서비스다. 이 키들은 AWS가 제공하는 FIPS 140-2 인증 하드웨어 보안 모듈(HSM) 내부에서 안전하게 관리되며, 사용자나 AWS 운영자조차 키 내용을 직접 볼 수 없다. 사용자는 키를 보는 것이 아니라, 암호화 또는 복호화를 요청만 하고, 결과만 응답받는 방식이다.KMS 키는 AWS 콘솔 또는 API를 통해 생성할 수 있고, 각 키에 대한 IAM 권한 설정이나 키 사용 기록 추적도 가능하다. CloudTrail을 통해 어떤 서비스나 사용자가 해당 키를 사용했는지 로그로 ..

Amazon S3에서는 객체를 업로드한 사용자 또는 계정이 그 객체의 소유자(owner)가 된다. 즉, 외부 계정이 내 버킷에 객체를 업로드하면, 그 객체는 기본적으로 외부 계정의 소유가 된다. 이때 버킷 소유자는 그 객체에 대해 자동으로 접근 권한을 갖지 않는다. IAM 정책 만으로는 객체에 접근할 수 없다. 그 이유는, IAM 정책은 주체(사용자나 역할)에게 권한을 부여하는데, 하지만 객체에 대한 최종 접근 권한은 다음과 같이 결정된다:최종 권한 = IAM 정책 + 버킷 정책 + 객체 ACL + 소유권 구조​ 즉, IAM 정책에서 s3:GetObject 권한이 있더라도, 객체가 다른 계정의 소유이거나, ACL에서 허용되지 않았거나, 버킷 정책에서 막았다면➡️ 객체에 접근할 수 없다. 이 문제를 해결하..

웹에서 어떤 요청이 들어온다는 건 단순한 일이 아니다. 이 요청이 누구로부터 왔는지, 정상적인 경로를 통해 왔는지, 그 안에 담긴 내용이 안전한지를 모두 확인해야 하기 때문이다. 이번에 하나의 요청이 서버로 도달하기까지 거치는 보안 계층들을 살펴보고, AWS의 Database Migration Service(DMS) 사례를 통해 왜 네트워크 보안만으로는 충분하지 않으며, SSL과 같은 상위 계층 보안이 필수적인지를 정리해보려 한다. 여러 층으로 나뉘어져 있는 보안요청이 네트워크를 통해 시스템에 도달할 때, 보안은 하나의 레이어가 아닌 여러 단계로 분산되어 작동한다. 1. 네트워크 보안 (IP, 포트 기반 접근 제어)방화벽, 보안 그룹, 네트워크 ACL은 IP 주소나 포트를 기준으로 누가 접근할 수 있는지..

회사에서 ALB(Application Load Balancer) 뒤의 Amazon ECS 클러스터에서 애플리케이션을 운영하고 있다고 가정하자. 이때, 특정 국가의 요청은 차단하면서도, 그 국가 내 일부 IP는 예외적으로 허용해야 하는 보안 요구사항이 생길 수 있다. 이러한 정교한 요청 필터링은 어디에서 어떻게 구현해야 할까? WAF로 요청 필터링"누가 들어올 수 있는가?"를 판단하는 보안 계층은 AWS WAF(Web Application Firewall)에서 담당한다. 요청 자체를 허용하거나 차단하는 역할을 하며, 통과된 요청은 ALB에서 어떤 인스턴스나 서비스로 보낼지를 결정하게 된다. AWS WAF는 다음과 같은 요청 필터링 기능을 제공한다:IP 기반 필터링IP set이라는 객체를 정의하여 특정 I..