오늘 공부한 내용:
1. IAM 역할 (Role) 및 권한 경계
A. IAM 역할 (Role)
정의: 임시 권한을 부여하는 주체로, 특정 IAM 사용자, AWS 서비스, 또는 교차 계정의 사용자에게 **임시 자격 증명(Access Key ID, Secret Access Key, Security Token)**을 제공하여 권한을 위임합니다.
주요 용도:
IAM 사용자가 임시 권한 필요 시 (예: 평소에는 Read Only, 특정 작업 시 Full Access Role 전환).
서비스가 다른 AWS 서비스를 액세스할 때 (예: EC2가 S3에 접근할 때 Instance Profile 사용).
교차 계정 액세스 (다른 AWS 계정의 리소스에 안전하게 접근).
자격 증명 연동 (Federation).
역할 구성 요소:
권한 정책 (Permissions Policy): 역할이 무엇을 할 수 있는지 정의 (Action, Resource, Effect).
신뢰 정책 (Trust Policy): 누가 (Principal) 이 역할을 맡을 수 있는지 정의.
B. IAM 권한 경계 (Permission Boundary)
역할: IAM 사용자 또는 역할이 수행할 수 있는 최대 권한을 설정하여 제한합니다.
특징: 권한 경계 자체는 권한을 부여하지 않고 단지 필터(최대 한도) 역할을 합니다. 자격 증명 기반 정책이 과도하게 허용되는 것을 방지합니다.
C. AWS Organizations 및 SCP
AWS Organizations: 다중 AWS 계정을 중앙에서 관리하는 서비스. 계정 그룹화(OU, 조직 단위) 및 통합 결제를 지원합니다.
서비스 제어 정책 (SCP, Service Control Policy): Organizations의 핵심 기능으로, 전체 조직, OU, 또는 개별 계정에 연결하여 해당 계정들이 수행할 수 있는 최대 권한을 설정합니다.
특징: SCP도 권한을 부여하지 않고 필터(최대 한도) 역할을 합니다. (IAM 권한 경계와 유사하지만, 계정/OU 레벨에 적용됨).
2. Amazon VPC (Virtual Private Cloud) 및 네트워킹
A. 네트워크 주요 용어
IP 주소: 네트워크에 연결된 단말기의 주소.
퍼블릭 IP (글로벌 IP): 인터넷 상에서 중복되지 않는 주소.
프라이빗 IP: LAN(사설망) 내에서 사용되며, 정해진 대역이 존재합니다
(예: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16).
CIDR 블록 (Classless Inter-Domain Routing): IP 주소와 **Prefix (네트워크 비트 수)**를 사용하여 네트워크 범위를 결정하고 서브네팅(Subnetting)을 통해 IP 주소 낭비를 줄입니다
(예: 192.168.1.0/28)
B. Amazon VPC 정의 및 서브넷
VPC: AWS 리전 내에서 고객 전용으로 생성하는 논리적으로 격리된 프라이빗 가상 네트워크.
특징: 단일 리전에 연결되며, 사설 IPv4 CIDR 블록을 지정하여 EC2, EBS 등의 자원을 배포합니다. CIDR 블록은 온프레미스나 다른 VPC와 중복되지 않아야 합니다.
서브넷 (Subnet): VPC CIDR 블록을 더 작은 단위로 분할한 하위 네트워크.
특징: 서브넷은 반드시 **하나의 가용 영역(AZ)**에 속해야 합니다.
Public Subnet: **인터넷 게이트웨이 (IGW)**로의 경로가 라우팅 테이블에 등록되어 인터넷 통신이 가능한 서브넷. 외부에 공개될 노드 배포.
Private Subnet: IGW로의 경로가 없어 인터넷 통신이 불가능한 서브넷 (내부 DB, WAS 등 배포).
C. VPC 주요 기능
기능,역할,특징
라우팅 테이블,패킷이 전달되는 경로(이정표) 설정 및 관리. 서브넷에 연결됨.,"외부 통신을 위해 IGW, NAT Gateway, VPC Peering 등의 경로 정보 등록 필요."
인터넷 게이트웨이 (IGW),VPC가 인터넷과 통신할 수 있게 연결하는 기능.,퍼블릭 서브넷의 라우팅 테이블에 경로가 등록되어야 함.
NAT 게이트웨이,프라이빗 서브넷의 인스턴스가 인터넷으로 나가는 통신을 할 때 사설 IP를 NAT GW의 공인 IP로 변환.,인터넷에서 프라이빗 서브넷으로 들어오는 통신은 차단됨.
NACL (네트워크 ACL),서브넷 단위로 접근을 제어하는 가상 방화벽.,"규칙 번호 순서로 평가, 허용/거부 규칙 모두 등록 가능."
보안 그룹 (Security Group),인스턴스 단위 (네트워크 인터페이스)로 접근을 제어하는 가상 방화벽.,"허용 규칙만 등록 가능 (기본적으로 모두 거부), 아웃바운드는 기본 허용."
VPC 흐름 로그,네트워크 인터페이스에서 송수신되는 트래픽 로그를 수집하여 CloudWatch Logs나 S3에 저장.,네트워크 트래픽 모니터링 및 문제 해결에 사용.
