티스토리툴바

728x90
반응형

보안그룹 리스트 확인 및 SG ID 확인

aws ec2 describe-security-groups --profile test

 

포트 추가 (authorize)

# 전체 허용
aws ec2 authorize-security-group-ingress --group-id sg-123 --ip-permissions '[{"IpProtocol": "all", "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "테스트"}]}]' --profile test_profile &

# 22 포트 허용
aws ec2 authorize-security-group-ingress --group-id sg-123 --ip-permissions '[{"IpProtocol": "icmp", "FromPort": -1, "ToPort": -1, "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "테스트 테스트"}]}]' --profile test_profile &

# ICMP 허용
aws ec2 authorize-security-group-ingress --group-id sg-123 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "테스트 테스트"}]}]' --profile test_profile &

 

포트 제거 (revoke)

aws ec2 revoke-security-group-ingress --group-id sg-123 --ip-permissions '[{"IpProtocol": "all", "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "ㅅㄷㄴㅅ ㅅㄷㄴㅅ"}]}]' --profile test &
aws ec2 revoke-security-group-ingress --group-id sg-123 --ip-permissions '[{"IpProtocol": "icmp", "FromPort": -1, "ToPort": -1, "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "ㅅㄷㄴㅅ ㅅㄷㄴㅅ"}]}]' --profile testa &
aws ec2 revoke-security-group-ingress --group-id sg-123 --ip-permissions '[{"IpProtocol": "tcp", "FromPort": 22, "ToPort": 22, "IpRanges": [{"CidrIp": "1.1.1.1/32", "Description": "ㅅㄷㄴㅅ ㅅㄷㄴㅅ"}]}]' --profile test &

 

 

728x90
300x250
저작자표시 비영리 동일조건

'IT > AWS' 카테고리의 다른 글

AWS CLI 기본 사용방법  (0) 2021.08.09
AWS CLI 로컬에서 S3로 복사  (0) 2021.08.09
AutoRecovery  (0) 2021.08.09
AWS CloudWatch 모니터링 값  (0) 2021.07.30
AWS S3 OAI 설정 및 ClientLog 쪽 Deny 처리  (0) 2021.07.22
728x90
반응형
 [ec2-user@test ~]$ aws cloudwatch put-metric-alarm \
> --actions-enabled \
> --alarm-description "StatusCheckFailed_System https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/UsingAlarmActions.html#AddingRecoverActions" \
> --namespace AWS/EC2 \
> --metric-name "StatusCheckFailed_System" \
> --period 60 \
> --statistic Average \
> --threshold 0.0 \
> --comparison-operator GreaterThanThreshold \
> --datapoints-to-alarm 2 \
> --evaluation-periods 2 \
> --alarm-name "[AutoRecovery] infra-test, i-0987a0c7be123" \
> --dimensions "Name=InstanceId,Value=i-0987a0c7be2c123" \
> --alarm-actions arn:aws:sns:ap-northeast-1:9422248123:Alert_to_Infra \
> --ok-actions arn:aws:sns:ap-northeast-1:9422248123:Alert_to_Infra
728x90
300x250
저작자표시 비영리 동일조건

'IT > AWS' 카테고리의 다른 글

AWS CLI 로컬에서 S3로 복사  (0) 2021.08.09
AWS CLI 보안그룹 추가하기  (0) 2021.08.09
AWS CloudWatch 모니터링 값  (0) 2021.07.30
AWS S3 OAI 설정 및 ClientLog 쪽 Deny 처리  (0) 2021.07.22
AWS Extend Switch Roles 설정  (0) 2021.07.01
728x90
반응형

개요

일반적으로 설정 했던 기준이지만, 해당 값은 변경 될 수 있다.

OS 직접적으로 체크 해야 되는 부분은 다른 모니터링툴 사용으로 처리를 했다. 

예를 들어 메모리나 디스크 사용율 등

 

 

 

EBS

VolumeQueueLength : 0.5

VolumeIOPS : IOPS값의 80% 정도

BurstBalance : 5분 / 70 이상

 

 

Lambda

Error : 1

ConcurrentExecutions : 5분 / 500보다 큼

 

 

ELB

UnHealthyHostCount : 1분 / 1 보다 크거나 같다

 

 

 

ApplicationELB

HTTPCode_Target_5XX_Count : 1분 / 1보다 크거나 같다.

TargetResponseTime : 1분 / 5보다 크거나 같다.

 

 

EC2

StatusCheckFailed_System(AutoRecovery) : 1분 / 0 보다 크다

CPUUtilization : 5분 / 30보다 큼

 

728x90
300x250
저작자표시 비영리 동일조건

'IT > AWS' 카테고리의 다른 글

AWS CLI 로컬에서 S3로 복사  (0) 2021.08.09
AWS CLI 보안그룹 추가하기  (0) 2021.08.09
AutoRecovery  (0) 2021.08.09
AWS S3 OAI 설정 및 ClientLog 쪽 Deny 처리  (0) 2021.07.22
AWS Extend Switch Roles 설정  (0) 2021.07.01
728x90
반응형

개요

  • 외부에서 S3 버킷 직접 액세스를 제한하고, CDN 통해서만 액세스 하도록 보안을 강화하기 위함
  • Access Key와 Secret Key를 알고 있는 사람의 한해(내부직원) 접근 가능

설정

1. CloudFront에 접속하여 해당 Origin Edit로 수정합니다.

 

2. 위와 같이 2가지 옵션에 대해 체크 후 설정

 

3. Principal에 OAI Key값과 IAM 계정에 대한 설정을 합니다.

 

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "AddPerm",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity 1234565",
                    "arn:aws:iam::1234:user/s3_test1",
                    "arn:aws:iam::1234:user/s3_test2"
                ]
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::test/*"
        },
        {
            "Sid": "2",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity 123456"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::test/특정경로/"
        }
    ]
}

 4. 위와 같이 설정을 진행하고, 외부 공개되어서는 안되는 Log에 대해서는 특별히 Deny처리 까지 진행합니다.

728x90
300x250
저작자표시 비영리 동일조건

'IT > AWS' 카테고리의 다른 글

AWS CLI 로컬에서 S3로 복사  (0) 2021.08.09
AWS CLI 보안그룹 추가하기  (0) 2021.08.09
AutoRecovery  (0) 2021.08.09
AWS CloudWatch 모니터링 값  (0) 2021.07.30
AWS Extend Switch Roles 설정  (0) 2021.07.01
728x90
반응형

개요

  • AWS Organization 많아지면서 역할 전환할 때 새로 추가를 해 줘야 하는 번거로움이 생겼습니다. (기본적으로 AWS Console에서 역할 기록남는건 3~4개 밖에 안되서 새로 기록을 해줘야 합니다)
    이런 번거로움을 위해 AWS에서 브라우저 확장 앱으로 'AWS Extend Switch Roles' 라는 앱을 제공합니다.
    해당 기능으로 역할 전환을 편리하게 전환 할 수 있으며, 해당 기능은 AWS Console 접속 시에만 사용 가능합니다.

설정

  1. 브라우저의 확장앱을 통하여 AWS Extend Switch Roles를 설치 합니다.

  • 브라우저의 우측 상단 Key 모양 아이콘을 클릭합니다.

  • Configuration 을 클릭합니다.

  • 안에 내용을 기입하고 Save를 선택합니다.

  • 설정이 완료 되면 위와 같이 설정한 Organization 리스트를 확인 및 전환 할 수 있습니다.

 

 

[profile test]
region = us-west-1
role_arn = arn:aws:iam::1234:role/testadmin
color = 0040ff
 
[profile test2]
region = ap-northeast-2
role_arn = arn:aws:iam::4567:role/test2admin
color = 00fffb
  • Configuration 내용
728x90
300x250
저작자표시 비영리 동일조건

'IT > AWS' 카테고리의 다른 글

AWS CLI 로컬에서 S3로 복사  (0) 2021.08.09
AWS CLI 보안그룹 추가하기  (0) 2021.08.09
AutoRecovery  (0) 2021.08.09
AWS CloudWatch 모니터링 값  (0) 2021.07.30
AWS S3 OAI 설정 및 ClientLog 쪽 Deny 처리  (0) 2021.07.22

+ Recent posts

티스토리툴바