본문 바로가기
반응형

[AWS-DR]72

[중요][LINUX] 2. CloudWatch Agent 설치[Memory/Disk 수집] ## CWAgent 프로세스 확인 명령어sudo /opt/aws/amazon-cloudwatch-agent/bin/amazon-cloudwatch-agent-ctl -a status -m ec2  이번 글에서는 이전글에서 이야기 했듯이 CloudWatch는 기본적으로 Memory와 Disk에 대해서는 수집을 하지 못하기 때문에 수집을 하기 위해서는 CloudWatch Agent를 설치하고 설정해줘서 수집 및 대시보드로 구성해야 합니다. 이번 글에서는 CloudWatch Agent 설치[Linux OS]와 Dashboard 구성을 해보도록 하겠습니다. 1. IAM 역할 만들기수집할 EC2 인스턴스가 CloudWatch Agent의 수집을 할 수 있도록 IAM의 역할[CloudWatchAgentServerP.. 2024. 8. 7.
[참고] Provide Cross Account S3 Bucket Access to EC2 Instance without using STS Assume Role ## A 계정에서 EC2 생성 및 IAM 역할 생성 - Create Policy 클릭   : S3 선택   : ListBucket, GetObject, PutObject 선택  - Bucket  ==>  Add ARN 클릭 (계정 B의 버킷 정보 필요)- 계정 B의 버킷정보 입력   - Object  ==>  Add ARN 클릭 (계정 B의 버킷 정보 필요)   - Policy 명 입력 (crossAccountS3Policy)  - IAM 역할 생성 (crossAccountS3Role)  ## EC2 에 IAM 역할 등록   ## EC2 에서 aws s3 ls 확인 (액세스 거부)- EC2 IAM 역할은 있지만, 특정 S3 버킷에 버킷 정책이 연결 필요  ## 계정 B의 S3버킷으로 이동 (Permiss.. 2024. 7. 23.
[참고] Access S3 Objects of One Account from EC2 Instance in Another Account ## 역할 생성 (S3 풀 권한 생성) - 해당 EC2에 IAM 역할 등록 - aws s3 ls 로 확인 (동일 계정 S3 버킷 확인)   ============================================== ## 타 계정의 S3 버킷 조회 구현  1) 계정 B에서 하나의 SID 위임 역할 생성  - Custom Trust Policy (사용자 지정 신뢰 정책 생성) - Add a principal 클릭 2) 계정 A에서 역할 ARN 정보 복사 3) 계정 B에서 ==> A계정 역할 ARN 정보 등록 - S3 풀 권한 선택  4) A계정의 자체 S3 풀 권한 정책 삭제 및 B계정 역할 적용 - Create inline policy 선택 - STS (보안토큰 서비스) 선택 - AssumeRol.. 2024. 7. 23.
[참고] Splunk 설치 및 설정 Splunk란?스플렁크(Splunk)는 웹 기반 인터페이스를 통해 데이터 수집, 검색, 분석 및 모니터링을 위한 비정형 데이터 분석 솔루션이다. 현업에서는 주로, 보안 혹은 관제를 위한 빅데이터 솔루션으로 사용된다. 자체적으로 다양한 앱을 지원하는데 오늘은 기본적인 설치 방법에 대해서 알아보고자 한다. Splunk 사양 구분CPUMemoryDiskOS최소 요구 사항2+ GHz6코어 2소켓+12GB+RAID 0 or 1+064bitSplunk는 주로 빅데이터를 위한 서버에 구축하기 때문에, 요구하는 최소 사양의 경우는 위와 같다.   Tip 추가적인 팁으로는 추후 클러스터링 환경을 구축하게 되는 경우 서로 다른 성능의 하드웨어를 붙이게 되는 경우 가장 낮은 성능의 하드웨어에 맞춰서 성능이 평준화되기 때문에.. 2024. 7. 22.
[참고] Splunk & SPL(Splunk Processing Language) Splunk는 실시간 데이터 처리 및 분석 솔루션입니다. 이를 통해 기업은 기계 데이터를 수집, 검색, 모니터링, 분석 및 시각화하여 보다 효율적인 의사 결정을 내릴 수 있습니다.Splunk의 검색 언어인 Splunk Processing Language(SPL)은 이러한 데이터를 검색하고 분석하기 위한 강력한 도구입니다. Splunk란 무엇인가?Splunk는 대규모 데이터 처리를 위해 설계된 솔루션으로, 실시간으로 데이터를 수집, 분석, 모니터링, 검색, 시각화할 수 있습니다. Splunk는 기업의 IT 인프라, 보안 및 비즈니스 분야에서 사용됩니다.Splunk는 기계 데이터(Machine Data)를 수집하여 사용자가 쉽게 검색하고 분석할 수 있도록 제공합니다. 기계 데이터란 컴퓨터 시스템, 서버, 애.. 2024. 7. 22.
[중요] Route 53 VPC Association 방법!! ## 계정 MEGA1. 다른 계정의 VPC 연결 허용 (EC2, Monitor, S3) 1) EC2  (SVC VPC) aws route53 create-vpc-association-authorization --hosted-zone-id ${PRIVATE_HOSTED_ZONE_ID} --vpc VPCRegion=ap-northeast-2,VPCId=${VPC_ID} --region ap-northeast-2 2) Monitor  (SVC VPC) aws route53 create-vpc-association-authorization --hosted-zone-id ${PRIVATE_HOSTED_ZONE_ID} --vpc VPCRegion=ap-northeast-2,VPCId=${VPC_ID} --regio.. 2024. 7. 10.
[중요][EC2 IMDS] EC2 Metadata란? IMDS 확인 설정하기!! 보안상, 그리고 Terraform 코드를 정적 분석하는 툴 tfsec에서는 IMDSv2를 사용하도록 권고한다. IMDS가 무엇이고, IMDSv1 → IMDSv2로 변경하는 방법을 공유한다. 인스턴스 생성 시, 메타데이터에 대한 옵션들을 설정할 수 있다. 콘솔 상으로 어떤 값을 의미하는지 설명되어 있는데, 사실 Version을 선택함에 있어서 충분한 사전 파악은 필요하다. EC2 인스턴스 생성메타데이터 액세스 가능: 메타데이터 HTTP 엔트포인트 조회 기능을 활성화 또는 비활성화 할 수 있다.메타데이터 버전: 메타데이터 버전을 설정할 수 있다. 기본은 v1 및 v2로 설정된다.메타데이터 응답 홉 제한: 메타데이터 토큰이 이동할 수 있는 네트워크 홉 수를 설정한다. 기본 값은 1이다. EC2 서버에서 컨테.. 2024. 7. 9.
[중요2][VPC플로우로그] How to write VPC flow logs to an S3 bucket on another AWS account !! ## 소스 - 2995 계정에서 VPC 생성  ## 목적지 - 8749 계정에서 S3 버킷 생성- S3 버킷 속성 ==> ARN 복사 및 저장    ## 소스 - 2995 계정에서 Create flow log - S3 버킷 접근에러 발생      ## 목적지 - 8749 계정에서 S3 버킷 정책생성 {     "Version": "2012-10-17",     "Statement": [         {             "Sid": "AWSLogDeliveryWrite",             "Effect": "Allow",             "Principal": {                 "Service": "delivery.logs.amazonaws.com"             }.. 2024. 7. 7.
[참고][BYOL] Windows 및 SQL Server의 라이선스 유형 변환!! Windows 및 SQL Server의 라이선스 유형 변환PDF라이선스 관리자 콘솔 또는 를 사용하여 적합한 Windows 및 SQL Server 인스턴스의 라이선스 유형을 AWS CLI 변환할 수 있습니다.주제라이선스 유형 변환 제한License Manager 콘솔을 사용하여 라이선스 유형 변환를 사용하여 라이선스 유형을 변환하십시오. AWS CLI라이선스 유형 변환 제한 중요Microsoft 소프트웨어의 사용에는 Microsoft의 라이선스 약관이 적용됩니다. Microsoft 라이선스 조건을 준수할 책임은 귀하에게 있습니다. 이 설명서는 편의를 위해 제공되었으므로 설명에 의존할 수 없습니다. 이 문서는 법률 자문을 구성하지 않습니다. Microsoft 소프트웨어의 라이선스 또는 소유권에 대한 질문이.. 2024. 7. 7.
[참고][SSM] Systems Manager에서 EC2 인식 불가능 및 Session Manager를 이용하여 EC2 인스턴스 연결 실패(Windows AMI) ☄️ 문제AWS Systems Manager(이하 SSM)에서 신규로 생성한 EC2를 인식하지 못함.(SSM > Fleet Manager & Run command에서 EC2 목록에 해당 인스턴스 존재하지 않음)⇒ AWS EC2 콘솔에서 해당 EC2 인스턴스에 session manger로 연결이 불가능.Session Manager를 이용하여 EC2 연결 실패🌎 환경OS : Windows 2019(AWS EC2)  🔫 해결 방법1. AWS SSM Agent 확인1-1. 인스턴스 내 AWS Systems Agent(amazon-ssm-agent)가 설치 및 실행 중인지 확인.설치되어 있다면 amazon-agent가 최신 버전인지 확인 및 업데이트설치되어 있지 않다면 ssm 에이전트 설치 및 구성Window.. 2024. 7. 7.
[중요2][SSM] Private subnet에 속한 EC2 인스턴스에 session manager 서비스를 이용하여 SSH 접속 방법 !! 이슈An error occurred (TargetNotConnected) when calling the StartSession operation: {인스턴스 id} is not connected.열심히 Session Manager 설정을 끝냈더니 Private Subnet에 속한 인스턴스 접속시 에러가 뜬다...  #1. VPC 옵션 확인콘솔 접속 > VPC > 세션 매니저 활성화를 원하는 VPC의 상세 화면DNS 호스트 이름 편집 - DNS 호스트 이름 활성화DNS 확인 편집 - DNS 확인 활성화해당 옵션들이 선택되지 않으면 #3의 엔드포인트 생성이 불가능 합니다.   #2. 세션 매니저 전용 보안 그룹 생성콘솔 접속 > VPC > 보안 > 보안 그룹 > 보안 그룹 생성인바운드 규칙 예제보안 그룹 이.. 2024. 7. 7.
[중요2][AWS BYOL] Converting Windows EC2 instances license types | Amazon Web Services !! ## 선제조건1.  SSM 관리자 설정2. EC2 중지3. VM 이미지로 부터 EC2 생성 ===============================================  ## RunInstances : 0002  ==> 0800   변경 필요 ## AWS Systems Manager ==> Node Management ==> Inventory  인스턴스 보이는지 확인  ## EC2 중지 필요  ## CLI 로 EC2정보 조회- Windows 확인- RunInstances:0002  ## AWS License Manager 이동  ==> RunInstances : 0800 선택 - BYOL 0800 변환 2분소요  ## EC2 콘솔에서 확인   ## 테넌시 기본 ==> 전용호스트 변경  - 전용호.. 2024. 7. 6.
[중요2] Amazon EC2 전용 호스트 시작하기!! https://aws.amazon.com/ko/ec2/dedicated-hosts/getting-started/ 시작하기AWS Config는 전용 호스트에서의 인스턴스 시작, 중단 또는 종료를 기록합니다. 이 정보는 소프트웨어 라이선스와 관련된 호스트 수준의 정보(예: 호스트 ID, AMI ID, 호스트상의 소켓과 물리적 코어aws.amazon.com 2024. 7. 6.
[중요] EC2 Dedicated Host vs Dedicated Instance 차이점 !! 2024. 7. 5.
[중요2][AWS] Centralize CloudTrail Log Files from Multiple Accounts, Multiple Regions | Governance & Compliance !! ## 초기 버킷 생성시 정책 비어있음 (중앙관리용)  ## CloudTrail 생성   ## CloudTrail 생성후, S3 버킷 정책 확인  - 버킷 공유할 계정 ==> 정책에 추가  ## 현재 S3버킷에 계정 하나만 존재   ## 타계정에서 CloudTrail 신규 생성 - 중앙관리용 버킷 보이는지 확인    ## 현재 S3버킷에 계정 2개 존재       https://www.youtube.com/watch?v=biFvVew8sM0 2024. 7. 3.
Server-Side Encryption in S3 using KMS - SSE-KMS ## 실습  ## 버킷 생성 및 속성 이동 - SSE-KMS 선택 및 기존 생성한 KMS키 선택   ## KMS 키 속성 분석        https://www.youtube.com/watch?v=9eYQtMxoxVA 2024. 7. 1.
[중요2][AWS] CloudTrail 로그 확인!! 1. CloudTrail이란?💡기본적으로 aws 계정 내에서 일어나는 모든 API를 통하여 계정 활동에 관련 작업을 기록하며 지속적으로 모니터링 하며 보관할수있습니다. Console , AWS SDK, 명령줄 기타 AWS서비스를 통해 수행된 작업을 비롯하여 이벤트 기록을 제공합니다. 또한, 이벤트 기록에서 여러가지 필터링을 이용하여 확인이 가능합니다.!!!!기본적으로 Trail은 API 호출후 평균 약 15분 이내에 로그를 전송한다.참고 문헌 : https://aws.amazon.com/ko/cloudtrail/features/개념정리Cloud Trail은 모든 AWS 계정에서 계정 생성시 활동을 기록 수동으로 설정할 필요 없이 지원되는 서비스의 생성, 수정 및 삭제 작업을 위해 90일동안의 활동 기록.. 2024. 7. 1.
[중요] AWS S3 Event Notifications with SNS and SQS !! ## 중간에 SNS를 사용하는 이유는 확장성으로 제공하기 위함 (SQS, 람다 동시 제공 가능)  Access Policy that needs to be configured on SQS. a) replace the SQS ARN b) replace the SNS ARN. {   "Statement": [     {       "Effect": "Allow",       "Principal": {         "Service": "sns.amazonaws.com"       },       "Action": "sqs:SendMessage",       "Resource": "SQS ARN",       "Condition": {         "ArnEquals": {           "aws:Sour.. 2024. 6. 30.
[중요][교차계정] Grant access across different AWS accounts using IAM roles. (AWS Cross Accounts & Assume Role) ## IAM 역할 사용 1. AWS 계정 2개 준비2. 목적지 계정에서 IAM Role 생성3. 소스계정에서 유저&그룹 생성4. 소스계정에서 IAM Role 로 그룹에 허용5. 테스트      ===================  실습  =========================== ## (소스) 계정2 ==> (목적지) MAHESH 로 교차계정 테스트  1. MAHESH 계정 (ID 복사)    2. MAHESH 계정에서 역할 생성 ## 목적지 작업 완료- AWS Account 선택- 소스계정 Account ID 등록- AdministratorAccess 정책 삽입- 역할이름 생성 : IAM_CrossAccount   - 역할 생성내용 확인 (Admin 권한 부여)  -----------------.. 2024. 6. 29.
[중요] AWS S3 Replicate 테스트, 다른 AWS계정으로 버킷 복제하기!! AWS 다른 계정으로 버킷 복제 설정하기여러개의 AWS 계정들에서 생성되는 Cloudtrail 로그를 대표AWS 계정 한곳으로 모아서 통합 로그 분석을 해보기 위해서 각 AWS 계정의 Cloudtrail이 저장되는 S3 버킷을 대표계정의 버킷으로 복제하는 작업을 해봤습니다.통합 로그 분석은 따로 다루겠습니다  여기에서는, CloudTrail을 설정하면서 남겨지는 로그를 다른 AWS계정으로 복제하는 과정만 진행해봅니다.account-1 계정의 bucket-a 에서, account-2 계정의 bucket-b로 복제해보겠습니다.  작업 순서는, Cloudtrail 설정, S3 bucket 설정, IAM 역할 및 정책 설정, S3 복제규칙 설정, 복사테스트 순으로 진행합니다.   0. 실습 준비 AWS 계정 두.. 2024. 6. 26.
[참고] AWS S3 CRR vs SRR replication (교차 리전 복제, 동일 리전 복제) Cross-Region Replication (CRR)Same-Region Replication (SRR)DestinationBuckets in different AWS regionsBuckets in the same AWS regionReplication scopeAll objects or subset of objects based on prefix or tagsAll objects or subset of objects based on prefix or tagsUse casesDisaster recovery, data locality, compliance with geographic data storage regulationsData redundancy, compliance with data stora.. 2024. 6. 26.
[중요][AWS] CloudTrail란 무엇인가? ## KMS키는 신규로 생성 AWS CloudTrail이란 무엇입니까?AWS CloudTrail은 AWS 계정의 운영 및 위험 감사, 거버넌스 및 규정 준수를 활성화하는 데 도움이 되는 AWS 서비스입니다. 사용자, 역할 또는 AWS 서비스가 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에는 AWS Management Console, AWS Command Line Interface 및 AWS SDK, API에서 수행되는 작업들이 포함됩니다.CloudTrail을 계정 생성 시 AWS 계정에서 사용할 수 있습니다. 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록됩니다. 이벤트 기록으로 이동해서 CloudTrail 콘솔에서 손쉽게 최신 이벤트를 확인할 수 있.. 2024. 6. 26.
[참고] CloudTrail에 대한 AWS KMS 키 정책 구성!! 참고문서 :[1] https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html[2] https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-kms-key-policy-for-cloudtrail.html#create-kms-key-policy-for-cloudtrail-decrypt  CloudTrail에 대한 AWS KMS 키 정책 구성PDFRSS다음 세 가지 방법으로 AWS KMS 키를 생성할 수 있습니다.CloudTrail 콘솔AWS 관리 콘솔AWS CLI 메모CloudTrail 콘솔에서 KMS 키를 생성하면 Clou.. 2024. 6. 26.
[중요][AWS] AWS Backup : EC2 자동백업 관리 !! 시작 전 •AWS Backup이란? : 파일 시스템, 블록 스토리지 볼륨, 관계형 데이터베이스, NoSQL 데이터베이스등의 백업을 필요한 순간에 손쉽게 자동(or 수동)백업할 수 있는 서비스이다.•백업의 자동화와 중앙관리화를 위한 서비스이다.AWS Backup  백업 볼트 (Backup Vault) : 백업 구성시 사용하는 컨테이너•백업 볼트에서 AWS KM 암호화 키를 설정하여 백업에 대한 액세스 제어 가능1.백업을 생성하기 위해서는 우선 백업 볼트를 생성한다.2.볼트 생성 화면 백업 계획 (Backup Plan)•백업 계획 생성 화면UTC 기준이기 때문에 18시 시작은 한국 새벽3시이다.1Hour 이내로 백업을 시작하며, 1Day 내로 끝나지 않으면 작업을 취소한다. 리소스 할당 (Assign res.. 2024. 6. 24.
[중요] Route53 Resolver Endpoints | Part-2 | Hybrid DNS | Route 53 Resolver | Forwarding Rules | DEMO ## Route53 Private Hosted Zone 생성- web.aws.clouddeepdive.org  ==> 10.16.35.61 (EC2 IP주소)  ## 온프레 DNS서버 2대, APP서버 1대  ## VPC 피어링 연동 - IP 연동은 가능하지만, DNS 확인은 불가    ## CloudFormation 배포 - Route53 Private Hosted Zone 생성- web.aws.clouddeepdive.org  ==> 10.16.35.61 (EC2 IP주소) ## VPC 피어링 연동 (AWS 10.16.0.0/16    IDC 192.168.10.0/24)  ## IDC서버에서 EC2 서버로 Ping 테스트 (정상)  ## IDC서버에서 EC2 서버로 DNS 테스트 (접속 안됨)- 인.. 2024. 6. 24.
[중요2][AWS] VPC Flow Log로 IP 트래픽 로그 남기기 !! VPC Flow LogVPC Flow log는 VPC위에 생성된 ENI(Elastic Network Interface)에서 발생하는 IP 트래픽 로그를 수집해주는 기능입니다.ENI가 할당되는 대표적인 AWS 리소스는 다음과 같습니다.ELB(Elastic Load Balancer)EC2RDSElasticCacheRedshift이 외에도 다양한 서비스들이 ENI를 할당할 수 있습니다.  VPC Flow Log를 통해 확인할 수 있는 정보VPC Flog Log에서 확인할 수 있는 정보는 다음과 같습니다.보안 그룹이나 NACL에 의해 허용(Accept)또는 차단(Reject)된 정보Source IP, Destination IP, 포트, 프로토콜, 패킷 등등아래는 VPC Flow Log에서 지정할 수 있는 파라미.. 2024. 6. 23.
[참고] Amazon VPC와 다른 계정으로 생성한 프라이빗 호스팅 영역 연결!! Amazon VPC와 다른 계정으로 생성한 프라이빗 호스팅 영역 연결 AWSPDFRSS한 AWS 계정으로 생성한 VPC를 다른 계정으로 생성한 프라이빗 호스팅 영역과 연결하려면 다음 절차를 수행하십시오.Amazon VPC와 다른 계정으로 생성한 프라이빗 호스팅 영역을 연결하려면 AWS호스팅 영역을 생성한 계정에서 다음 방법 중 한 가지를 사용하여 VPC와 프라이빗 호스팅 영역의 연결 권한을 부여합니다.유의할 사항:한 계정에서 생성한 다수의 VPC를 다른 계정에서 생성한 호스팅 영역과 연결하려면 각 VPC마다 권한 부여 요청을 하나씩 제출해야 합니다.연결 권한을 부여할 때는 호스팅 영역 ID를 지정해야 합니다. 따라서 이미 존재하는 프라이빗 호스팅 영역이어야 합니다.VPC와 프라이빗 호스팅 영역의 연결 권.. 2024. 6. 23.
[참고] VPC 서브넷을 다른 계정과 공유 !! ## Organization 포함 되어야 한다는 제약!!  VPC 서브넷을 다른 계정과 공유PDFRSSVPC 공유를 사용하면 여러 AWS 계정이 Amazon EC2 인스턴스, Amazon Relational Database Service(RDS) 데이터베이스, Amazon Redshift 클러스터 및 AWS Lambda 함수와 같은 애플리케이션 리소스를 중앙에서 관리되는 공유 가상 프라이빗 클라우드(VPC)로 생성할 수 있습니다. 이 모델에서 VPC를 소유한 계정(소유자)은 AWS Organizations와 동일한 조직에 속한 다른 계정(참가자)과 하나 이상의 서브넷을 공유합니다. 서브넷이 공유되면 참가자는 자신과 공유된 서브넷에서 애플리케이션 리소스를 보고, 생성하고, 수정하고, 삭제할 수 있습니다. .. 2024. 6. 23.
[참고] Route53 Resolver Endpoints | Part-1 | Hybrid DNS | Route 53 Resolver | Forwarding Rules | DEMO https://www.youtube.com/watch?v=P159VMSR694 2024. 6. 20.
[참고][AWS] RAM을 사용하여 여러 VPC와 AWS 계정에서 Route 53 Resolver 규칙을 공유하려면 어떻게 해야 하나요? AWS Resource Access Manager(AWS RAM)를 사용하여 여러 Virtual Private Cloud(VPC) 또는 AWS 계정에서 Amazon Route 53 Resolver 규칙을 공유하고 싶습니다.해결 방법Route 53 Resolver 규칙 생성(아직 규칙이 없는 경우)시작하기 전에 다음 사항을 고려하세요.Route 53 Resolver는 지역 서비스입니다. 규칙을 생성한 동일한 리전에서만 VPC를 공유하고 연결할 수 있습니다.PutResolverRulePolicy 작업을 사용하여 AWS 계정에 규칙을 공유할 수 있는 권한이 있어야 합니다.규칙을 공유하는 계정은 공유 규칙을 변경하거나 삭제할 수 없습니다.계정 A에서 Route 53 Resolver 규칙을 생성하여 다른 계정 및.. 2024. 6. 20.
반응형

티스토리툴바