IAM

사용자 계정이 무분별하게 생성 또는 삭제 되는것은 매우 위험한 행위이다. 그렇기에 IAM + CloudTrail + CloudEventBridge + Lambda를 통해 Slack으로 알람 받는 방법에 대해 알아보자!! 전체적인 로직은 다음과 같다. Slack알람 조건은 1. IAM 계정이 생성 또는 삭제되는 경우 2. AWS Console Login하는 경우이다. 1. Slack webhook 설정 가장 먼저 Slack webhook을 설정해야 한다. webhook은 해당 slack 채널로 메시지를 전송할 수 있는 Key를 의미한다. 최종적으로는 Lambda를 통해 Slack으로 메시지를 보내야 하므로 꼭 필요하다. 그리고 다른 사람에게 유출해서는 안된다. 2. Slack 알람 설정 CloudTrail..

AWS Serverless Cognito Workshop (workshops.aws)두번째 실습을 해보자! Workshop Studio catalog.us-east-1.prod.workshops.aws 먼저 제목에 나와 있듯이 이번 workshop에서는 Cognito를 이용하는것이고, Cognito가 가장 중요하다! 이번 workshop을 하면서 Cognito를 처음 접해보았고, Cognito 개념은 별도 정리해두었다. AWS Cognito 서비스 개념 :: 평범한 직장인의 평범한 블로그 (tistory.com) AWS Cognito 서비스 개념 AWSSecworkshop IAM 두번째 workshop에서 AWS Congnito 내용이 나오기에, 미리 알아보자 - AWS Identity: Using Am..

AWS IAM 사용자 계정 생성 방법 :: 평범한 직장인의 평범한 블로그 (tistory.com) AWS IAM 사용자 계정 생성 방법 AWS 계정을 처음 만들면, 루트(이하 Root) 사용자로 로그인을 하고 모든 서비스에 대한 읽기/수정 권한을 받는다. 개인이 사용하는 용도라면 Root 계정만 있어도 무방하겠지만, 기업에서 사용하는 dobby-isfree.tistory.com 위 게시물로 AWS에서 IAM 계정을 생성해보았다. 그러면 IAM 계정으로 로그인을 해보자!! 1. 로그인탭에서 IAM 사용자 선택 2. IAM 사용자 이름 입력하기 - 계정 ID는 Root ID를 입력하고, 사용자 이름 부분에 새로 성성한 IAM 사용자를 입력하면 된다. - 각 계정별로 사용자 이름이 중복될 수 있으므로, Roo..

AWS 계정을 처음 만들면, 루트(이하 Root) 사용자로 로그인을 하고 모든 서비스에 대한 읽기/수정 권한을 받는다. 개인이 사용하는 용도라면 Root 계정만 있어도 무방하겠지만, 기업에서 사용하는 경우는Root 계정만 가지고 모든 업무를 할 순 없다. 그리고 위에서 말했다시피, Root는 모든 서비스에 권한이 읽기 때문에 업무적으로 Root 계정을 사용하는 것은권장하지 않는 방법이다. AWS의 권장 방안은 각 업무 Role에 맞는 정책을 별도로 만들고, 각 사용자별 IAM 계정을 만들고 최소권한으로 권한을 부여하는 것이다. IAM 계정 생성 및 정책을 만드는 방법은 다음과 같다. 1. AWS Root 계정 로그인 및 IAM 서비스 선택 2. 액세스 관리 > 사용자에서 사용자 추가를 선택할 경우, 신규..

AWS의 Security Workshop 1번째 Access Delegation(권한 위임)에 대해서 알아보자. 직무분리와 최소권한의 원칙. ISMS 시험 등을 보면 많이 들어오는 단어이다. 그 뜻은 개발자 vs 운영자 등과 같이 가 직무를 분리하고, 각 직무마다 딱 필요한 권한만 부여하여 권한의 오남용을 사전에 예방하기 위함입니다. AWS는 서버 담당자가 확인해야 하는 서비스와 보안 담당자가 확인해야 하는 서비스 등이 서로 다르기때문에 각 사용자 그룹마다 서로 다른 서비스 허용 정책을 설정하는 것이 중요한 포인트이다. AWSSecWorkshop을 통해 하나씩/한단계씩 진행하는 것이 목표이다. - Workshop에 기재 된 내용을 따라가면서 내재화하고, 정리하는것이기에 일부 내용이 다를 수 있다. 시나리..