본문 바로가기

Security&Identity

(4)
AWS Key Management Service(KMS) KMS란? 암호화 키의 라이프사이클을 관리하는 전용 시스템으로 암호화 키의 생성, 저장, 백업, 복구, 파기 등의 기능을 제공하는 시스템으로 CMK 제어 및 관리, AES-256 / RSA(SHA_256)을 지원. 다만 CMK는 4KB까지 데이터만 암호화 가능. 따라서 4KB 이하의 데이터 보다 큰 데이터들을 암호화할 때는 데이터키를 활용. [암호화] 1) CMK의 generate를 이용하여 데이터키와 암호화 된 데이터키를 생성. 2) 원본 데이터키를 이용하여 데이터를 암호화. 3) 원본 데이터키를 삭제. [복호화] 1) CMK를 이용하여 암호화 된 데이터키를 복호화. 2) 복호화 된 원본 데이터키를 이용하여 데이터를 복호화. 3) 복호화 된 원본 데이터키를 삭제. 암호화 방식은 아래 링크에 잘 설명되어..
AWS Config 5분만에 이해하기 [AWS Config 요약] AWS Config는 Rule 생성을 통해 AWS IAM(유저 및 권한) 및 인프라에 대한 보안 관리를 도와주는 서비스 Rule들은 190개가 존재하며, 이미 AWS에서 생성한 Rule들 (ex. 방화벽에 22번 포트 오픈, IAM User에 MFA 적용 확인 등) 커스텀룰도 생성 가능 가능 다만 Lambda의 스크립트 개발을 통해 AWS API로 들어오는 Event를 받아 처리해야 하기 때문에 어려움(안 해봄) 또한 너무 많은 Rule이 존재하여 보안 담당자가 컨트롤하기 어려운 부분(?)이 있기 때문에 AWS에서는 미리 만들어 놓은 템플릿을 제공 템플릿은 Rule들의 집합이며, AWS 자체 혹은 기타 컴플라이언스에 맞춰 Rule을 모아놓은 것 [AWS Templete 확인]..
AWS IAM 태그 기반 Policy 생성 잘 설명된 내용을 포워딩 http://awsdog.tistory.com/entry/IAM-Action%EB%B3%84-%EA%B6%8C%ED%95%9C-%EC%A0%9C%EC%96%B4%EC%8B%9C-Condition-%EC%82%AC%EC%9A%A9%ED%95%98%EA%B8%B0
AWS 계정 및 Resource 관리 방법 안녕하세요. 오늘은 AWS Resource들을 어떤 식으로 관리할 수 있는지 알아보도록 하겠습니다. 기본적으로 Tag를 통해서 Resource를 관리할 수 있습니다.한 계정 내에서 여러 서비스를 사용하는 것은 권장하지 않습니다. 비용 관리가 어려워집니다.참고로 AWS 다른 계정 간 통신이라도 동일한 계정 정책의 비용을 따릅니다. 예를 들어 A계정 S3를 사용하고 B계정에서 CloudFront를 사용하더라도 트래픽 비용은 발생되지 않습니다. 그래도 한 계정 내에서 여러 서비스를 사용하겠다면, 두 가지 방법을 통해서 Resource 및 계정을 관리할 수 있습니다. 첫 번째, 각 서비스마다 Resource Groups을 통해서 관리합니다.두 번째, 각 서비스의 권한은 Tag를 기반으로 Policy를 생성하고,..