< 강의 커리큘럼 >
01. DevOps의기본 개념
02. AWS기반 소규모&중규모 아키텍트설계
03. AWS기반 대규모아키텍트 설계
04. 코드를통한 인프라관리(IaC)
05. 도커와 쿠버네티스를 이용한서비스 운영
06. CI/CD(지속적 통합/지속적 제공) 구현하기
07. 모니터링서비스 구축및운영
08. AWS기반보안
부록. Kuberneteson AWS EKS
01. DevOps의 기본개념의 마지막.. 포스팅입니다.
MFA랑 AWS 비용이슈에 대한 강의였습니다.
MFA란? 매우 중요합니다.
다단계 인증이라고도 하는, Multi Factor Authentication을 MFA라고 말합니다.
흔히 은행거래할 때 OTP카드를 사용하는 그런것 하고 동일하다고 보면됩니다.
AWS를 이용할 경우 IAM사용자와 root사용자 모두에게 MFA 정책적용은 반드시 필수입니다.
특히 root사용자에게는 하드웨어 MFA를 적용할 것을 권장하고 있습니다.
root 사용자는 하드웨어 MFA를 꼭 설정하라고 권고하고 있습니다.
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html
하드웨어 MFA 디바이스 활성화(콘솔) - AWS Identity and Access Management
사용자 편의를 위해 AWS 로그인 페이지는 브라우저 쿠키를 사용하여 IAM 사용자 이름 및 계정 정보를 기억합니다. 이전에 다른 사용자로 로그인한 경우 페이지 하단 근처의 Sign in to a different account
docs.aws.amazon.com
root 사용자는 계정발급 초기에 IAM사용자를 생성할 경우에만 로그인하고, 그 이후에는 root사용자를 활용할 일이.. 어떤게 있을지 모르겠습니다.
AWS best practice에서도 위처럼 이야기 하는걸로 알고있습니다.
일반적으로 MFA 하드웨어 장비는 1개에 1계정을 설정하여 잠글 수 있습니다.
AWS root 계정 잠금용으로 하드웨어 MFA는.. 찾아본적이 있는데, 국내에 말고 해외의 어떤 제품 1개가 되는걸로 봤었습니다... 현재는 잘 모르겠지만.
아무튼 AWS에 사용할 수 있는 하드웨어MFA장치가 흔하게 있는건 아닌것 같았습니다. 만약 제품을 구매하실 생각이시면 꼭 그런 부분을 확인해서 구매하셔야할 겁니다.
IAM사용자의 경우 일반적으로 가상 MFA 디바이스라고 불리는.. 흔히 사용하는 PC나 핸드폰에 어플을 깔아서 사용합니다.
저도 그렇게 사용하고 있고, 강의에서는 4개의 앱을 소개해줬는데,
저는 Authy를 사용하고 있습니다. 가장 .. 일반적으로 많이 사용하지 않을까? 라는 생각을 합니다 .
Azure Authenticator도 사용하시는 분들도 계시고... google꺼는 잘 못본거 같네요
IAM의 모든 사용자, root사용자에게 MFA는 필수입니다.
MFA만 설정되어 있어도 외부의 침입을 막을 수 있습니다.
MFA가 설정되지 않은 취약함 IAM 사용자가 탈취당했다는 이야기는 들어봤어도, MFA까지 뚫고서 탈취당했다는 이야기는 들어본적이 없습니다.
정말 MFA가 별거 아니라고 생각할 수 있지만 매우 중요한 부분이기 떄문에 반드시 반드시 설정해야합니다.
물론 로그인할 때 조금 불편함이 있지만. 반드시 해야하는 부분입니다.
IAM 정책으로 MFA사용자는 아무런 권한을 가질수 없도록 정책화 하여 부여할 수 도 있습니다. 이러한 보안정책을 잘 수립하고 지켜야합니다.
보통, MFA설정과 Trusted IP설정도 하고, 미사용리전에 대해서도 제한을 걸어놓습니다.
기본적인 보안정책. 꼭 하셨으면 좋겠습니다.
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_credentials_mfa.html
AWS에서 Multi-Factor Authentication(MFA) 사용 - AWS Identity and Access Management
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
사용알림 설정도 꼭 해야합니다.
일반 학생과 취준생들이 AWS를 쉽게 사용하지 못하는 이유 중 가장 큰 부분이 비용때문입니다.
저도 프리티어를 예전부터 조금 써왔는데,, 이런 설정이 있는지도 모르고 썻다고 비용이 많이 나온적도 있고.. 그렇습니다.
프리티어 사용량 알림설정이 어렵지 않기 때문에 반드시 해야하며,
클라우드를 사용하는 회사에서도 동일하게 비용절감이 중요합니다.
결제 경보나 비용알림의 경우는 꼭 하는걸 추천합니다.
이런 비용관리해주는 솔루션들도 있습니다.
그런데.. 사용안해봐서 얼마나 좋은지는 잘 모르겠습니다.
베스핀글로벌의 OpsNow라는 솔루션도 있고, 메가존의 스페이스원 이라는 솔루션도 있습니다.
그리고 이상비용이 탐지되면 AWS에서도 메일을 통해서 알림을 주기도 합니다.
AWS계산기를 잘 활용해야하고.. 개인은 비용절감을 위해..
리소스 정리해주는 aws-nuke는 사용해본적이 없는데, 한번 알아봐야겠습니다.
https://github.com/rebuy-de/aws-nuke
GitHub - rebuy-de/aws-nuke: Nuke a whole AWS account and delete all its resources.
Nuke a whole AWS account and delete all its resources. - GitHub - rebuy-de/aws-nuke: Nuke a whole AWS account and delete all its resources.
github.com
내일부터는 이제 진짜 AWS의 서비스를 배워보면서 포스팅하겠습니다.
본 포스팅은 패스트캠퍼스 환급 챌린지 참여를 위해 작성되었습니다.
수강료 100% 환급 챌린지 | 패스트캠퍼스
딱 5일간 진행되는 환급챌린지로 수강료 100% 환급받으세요! 더 늦기전에 자기계발 막차 탑승!
fastcampus.co.kr
'IT이야기 > AWS인프라 구축과 DevOps 운영' 카테고리의 다른 글
| VPC 네트워크 동작원리 및 실습- 패스트캠퍼스 챌린지 AWS 인프라 구축과 DevOps 운영 7일차 (0) | 2021.11.07 |
|---|---|
| AWS 주요서비스와 네트워크 기본 - 패스트캠퍼스 챌린지 AWS 인프라 구축과 DevOps 운영 6일차 (0) | 2021.11.06 |
| AWS CLI 설치와 Access key와 IAM 설명 - 패스트캠퍼스 챌린지 AWS 인프라 구축과 DevOps 운영 4일차 (0) | 2021.11.04 |
| AWS SSH키 등록 및 EC2 접속하기 - 패스트캠퍼스 챌린지 AWS 인프라 구축과 DevOps 운영 3일차 (0) | 2021.11.03 |
| DevOps 실습을 위한 환경준비 - 패스트캠퍼스 챌린지 AWS 인프라 구축과 DevOps 운영 2일차 (0) | 2021.11.02 |