전체 글29 SNS, CloudWatch를 이용한 GuardDuty 알람 2/2편 3. CloudWatch - GuardDuty의 이벤트를 SNS 주제의 Trigger로 설정하는 CloudWatch 규칙을 생성합니다. - 서비스 이름 : GuardDuty, 이벤트 유형 : GuardDuty Finding - 이벤트 패턴 미리보기 '편집' 클릭 - 'type' key에 value가 되는 GuardDuty의 'Active Finding Types' 리스트를 입력합니다. - GuardDuty Active Finding Types 목록 링크 : https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html - 이벤트의 대상을 추가합니다. 대상은 'SNS 주제' 중에서 앞서 생성한 GuardDuty 주제를 .. SNS, CloudWatch를 이용한 GuardDuty 알람 1/2편 [개요] GuardDuty는 AWS 리소스(ex.EC2)에 대한 위험탐지 서비스입니다. 활성화 하는 것만으로도 간단하게 서비스의 기능을 이용할 수 있지만, 기본적으로 메일이나 문자같은 알람 서비스는 제공하지 않습니다. 이번에는 AWS의 GuardDuty와 CloudWatch 서비스를 활용한 SNS 경보 메시지 받을 수 있는 환경을 구성하고자 합니다. 1. AWS GuardDuty - AWS GuardDuty를 활성화합니다. (30일은 무료 평가판 제공) 2. AWS SNS 서비스 1) 주제 생성 - AWS SNS의 새로운 주제를 생성합니다. 2) 주제 구독 - 해당 SNS 주제에 대한 구독을 생성합니다. (SNS 서비스는 구독 주체를 대상으로 알람을 보냄, 이번의 경우 이메일 구독을 생성함) - 구독을 .. S3 정책 (Endpoint와 특정 확장자 객체만 업로드) + IAM Role 활용 * S3 bucket 정책 Endpoint와 특정 확장자(jpg)파일만 업로드 할 수 있도록 하는 정책 특정 확장자의 객체만 S3에 업로드 할 수 있도록 하는 정책 예제 https://aws.amazon.com/ko/premiumsupport/knowledge-center/s3-allow- certain-file-types/ 추가로 특정 IAM Role을 가진 서비스만 접근 가능하고, 그 외에는 모두 Deny 시키는 정책 { "Version": "2012-10-17", "Id": "Policy1464968545158", "Statement": [ { "Sid": "Stmt1464968483619", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::1111.. Lambda를 이용한 Spot Fleet 요청 2/2 편 Lambda를 이용한 Spot Fleet 요청 1/2 편 다시보기 3. Lambda 생성 및 함수 작성 지금 생성하는 Lambda가 실질적으로 Spot Fleet을 요청하는 함수를 실행합니다. Lambda 함수는 다양한 언어로 작성이 가능하여 본 가이드에서는 Python을 기반으로 한AWS SDK인 boto3로 작성하였습니다. Spot Fleet Request의 옵션은 매우 다양하며, 본 가이드에서는 가장 기본적인 옵션들만 사용하였습니다. 좀 더 상세한 옵션 조정이 필요하신 경우 가이드 마지막 ‘참조’란에 첨부된 링크에서 추가적인 옵션을 확인해주세요. - Lambda 서비스에서 함수를 선택, 함수 생성을 클릭합니다. - 함수의 언어는 Python 3.8을 선택합니다. 기본 실행 역할 변경란에서 ‘기존 역.. Lambda를 이용한 Spot Fleet 요청 1/2 편 [개요] 많은 분들이 연구의 목적으로 EC2 인스턴스를 활용합니다. 하지만 한 번 분석 모델을 수행하기위해, 높은 사양의 EC2(ex.c5.24xlarge)를 온디멘드로 24시간 가용하는 것은 금액적으로 큰 부담이 되기 때문에 Spot 인스턴스를 활용할 필요가 있습니다. 이번 테스트에서는 모델링 작업을 매일 2번 똑같은 시간(오후 4시, 오전 4시)에 규칙적으로 수행된다고 가정하고, Spot 요청을 자동화하기 위해 Lambda 스크립트를 작성, Event Bridge로 Lambda를 Trigger 합니다. 단일 스팟 인스턴스 요청(Spot Instance Request)은 capacity 로 인해 작업도중 취소 되는 리스크가 있습니다. 그래서 Spot 요청을 단일 인스턴스 유형(c5.24xlarge)이 .. AWS Application Migration Service – 리프트 앤 시프트 마이그레이션 서비스 2019년 AWS가 CloudEndure를 인수한 이래로, CloudEndure Migration 및 CloudEndure Disaster Recover를 제공했습니다. CloudEndure Migration를 통해 물리적, 가상 또는 클라우드 기반 인프라에서 AWS로 애플리케이션을 무료로 이동할 수 있습니다. 이 솔루션은 온프레미스 워크로드를 AWS로 마이그레이션하는 에이전트 없는 서비스인 AWS Server Migration Service(AWS SMS)를 보완합니다. CloudEndure Disaster Recovery는 가동 중단 및 데이터 손실을 최소화할 수 있도록 설계된 별도의 비즈니스 연속성 제고 서비스입니다. AWS 계정의 범위 내에서 온프레미스, 가상 또는 클라우드 기반 시스템의 콘텐츠를.. Amazon RDS SQL Server 생성 – 읽기 전용 복제본 생성편 https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/UserGuide/SQLServer.ReadReplicas.html#SQLServer.ReadReplicas.Limitations AG 다중AZ 사용하는 인스턴스만 가능하다. 결국 Enterprise Edition을 사용해야 제공되는 기능이다. 오래 걸린다. ㅠ.ㅠ. 주서버 역할의 인스턴스를 선택 하고 우측 Action 을 클릭, "Create read replica"를 클릭해서 생성한다. 아래 2개 옵션은 주서버를 선택하는 것이고 새로 만드는 복제본의 Identifier 이름을 입력한다. 생성이 완료되었다. 목록보기가 참 어렵게 되어있다. 어떤 인스턴스의 읽기전용인지 구분이 어렵게 되어 있다. "DB idenfi.. Amazon RDS SQL Server 생성하기 2/2 – 상세 기능편 RDS를 생성 후에 여러가지 옵션들을 확인해 보자. 먼저, AG RDS 에서 리스너아이피에 대해서 아래와 같이 확인이 가능하다. RDS AG 이중화환경에서 장애조치 하기 수동장애조치를 SSMS 에서 하려면 인증관련 이슈가 있다. 보조서버에 admin 계정으로 로그인이 안된다. - 어떻게 수동으로 장애조치를 할까? 인스턴스 재부팅하는 방법 외 다른 방법을 찾아봐야겠다 신규데이터베이스 생성 신규 데이터베이스 생성하면 자동으로 AG 그룹에 연결되며 동기화를 자동으로 한다. 미러링일경우에도 자동으로 미러링 상태로 변환이 된다. 따로 구성할 필요가 없다. 보조 서버 접속하기 이중화를 했을 경우 주서버는 Endpoint 로 접속을하면 되는데 보조서버를 접속을 할 수 가 없다. 그냥 이중화 보조 인스턴스 역할이라고 .. Amazon RDS SQL Server 생성하기 1/2 RDS SQL Server 를 구성을 하고 이중화 방법에 대해서 알아보자. https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/UserGuide/CHAP_SQLServer.html Amazon RDS SQL Server 인스턴스 생성하기 "Create database"를 클릭하여 상세 옵션들을 꼼꼼히 확인 후 생성해야 한다. 생성 전 DB 보안그룹, DB 서브넷, DB 파라미터그룹 등을 먼저 생성을 한 후 데이터베이스를 만들어야 편한다. 구성시 Multi-AZ 옵션으로 Standard, Enterprise Edition으로 구성을 해보자. 위 옵션은 중요한 부분이기에 설정을 잘 해야한다. 생성이 완료되면 EC2 > Network Interfaces 를 클릭하여 인스.. DNS to AWS Route53 Migration Tip – Import file 기능 DNS 호스팅업체에서 구매한 도메인을 관리하게 된다. 별도 DNS 서버를 구축하여 사용하는 회사도 있겠지만 소규모의 회사에서는 호스팅업체에서 관리를 하고 있는 것 같다. 즉, 보통 Name Server라 불리는 서버를 자체 운영하거나 호스팅 업체의 네임서버를 활용하고 있을 겁니다. AWS 서비스를 좀더 편하게 연동을 하기위해서는 Route53을 활용하시면 편합니다. AWS Route53으로 해당 Name Server를 구축하려면 아래의 단계로 구축하면 된다. #.1 Route53 > 호스트 영역 클릭 [호스팅 영역 생성] 클릭해서 도메인 존 영역을 만들고 싶은 도메인을 입력하여 생성한다. 보통 Root 도메인을 생성한다. 예)www.awstest.com 일 경우 awstest.com영역으로 생성하면 된다.. AWS Billing 청구서 항목 중 Elastic Load Balancing(ELB) 별도 코드로 분리 AWS 빌링 당담자들은 아래 내용을 숙지하면 도움이 될 것 같습니다. 8월 1일 부터 빌링 청구서 항목중 Elastic Load Balancing(ELB) 항목이 EC2 하위 항목에 포함이 되었으나 이제는 상위 항목으로 빠졌습니다. 아래 이미지를 보면 이해가 될 것 같습니다. 또, 체크할 사항이 있습니다. AWS Credit(크레딧)을 받아서 비용 절감을 하고 있는 계정에 대해서도 확인을 해주세요. AWS Credit은 서비스목록에 해당되는 AWS서비스에 대해서만 차감이 됩니다. 아래와 같이 ELB 서비스가 별도로 지정이 되지 않은 경우에는 ELB 비용에 대해서 크레딧으로 차감이 되지 않습니다. 이 점 유의 해주세요. 아래 서비스 목록은 AWS Billing Dashboard > Credit 메뉴에서 확.. AWS IAM 사용자 추가하는 방법 AWS Identity and Access Management(IAM)는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. 기본적으로 사용자를 생성하여 AWS 관리콘솔 접근제어를 합니다. AWS Root 계정은 유출을 막기 위해서 관리자용 사용자를 만들어서 관리하는 것을 권장합니다. IAM User(사용자) 간편하게 만들기 #.1 AWS 관리콘솔에 로그인 하여 상단의 서비스에서 IAM 서비스를 찾는다. #.2 사용자 추가 왼쪽 메뉴에서 사용자를 클릭하고 [사용자추가]를 클릭한다. #.3 세부사항 설정 - 사용자이름 : 사용할 아이디를 입력한다, [다른 사용자 추가]를 클릭해서 다수 .. 이전 1 2 3 다음
