공부 기록

EC2 실습 전 먼저 PuTTY를 설치한다.

putty.exe와 puttygen.exe를 설치한다.

지역 설정을 해준다. 지역은 서울로 설정한다.

EC2를 검색해 접속한다.

현재 실행 중인 인스턴스가 하나도 없다는 것을 확인할 수 있다.

인스턴스 시작을 누른다.

첫 번째 OS를 사용한다.

인스턴스 유형은 프리티어를 지원하는 유형을 선택한다.

인스턴스 세부 정보 구성은 default로 설정한다.

스토리지도 default로 설정한다.

태그 및 보안그룹 구성도 default로 설정 후 검토 및 시작을 선택한다. 그 후 시작하기를 선택한다.

키페어 생성이 뜨면 키페어를 생성하고 다운로드한다.

그럼 pem 파일이 다운받아지고 그 후 인스턴스를 시작한다.

인스턴스가 실행중이다.

puttygen을 실행한다.

puttygen은 pem 파일을 ppk 파일로 변환시켜준다.

load를 선택 후 pem 파일을 실행한다.

암호를 설정하고 private key를 저장한다.

이제 putty를 켜준다.

퍼블릭 ipv4 주소를 putty에 입력한다.

호스트네임을 ec2-user@15.165.203.5 이렇게 지정한다. IP만 지정해도 된다.

Auth에서 아까 생성한 ppk 파일을 넣어준다.

저장 후 오픈을 하면 경고메시지를 수락하고 시작한다.

update 할 것이 없으므로 넘어간다.

[ec2-user@ip-172-31-41-211 ~]$ sudo su
[root@ip-172-31-41-211 ec2-user]# yum update -y
Loaded plugins: extras_suggestions, langpacks, priorities, update-motd
amzn2-core                                               | 3.7 kB     00:00
No packages marked for update
[root@ip-172-31-41-211 ec2-user]#

아파치를 설치한다.
yum을 통해 httpd를 설치한다. 

[root@ip-172-31-41-211 ec2-user]# yum install httpd -y

아파치를 실행한다.

[root@ip-172-31-41-211 ec2-user]# service httpd start
Redirecting to /bin/systemctl start httpd.service

인스턴스를 재부팅 시켜도 아파치를 자동으로 키도록한다.

[root@ip-172-31-41-211 ec2-user]# chkconfig httpd on
Note: Forwarding request to 'systemctl enable httpd.service'.
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.

html 파일을 생성해준다.

[root@ip-172-31-41-211 ec2-user]# cd /var/www/html
[root@ip-172-31-41-211 html]# vi index.html
[root@ip-172-31-41-211 html]# cat index.html
<html>
        <body>
                <h1>hello AWS Learners!<h1>
        </body>
</html>

15.165.203.5를 크롬에 입력하면 화면이 떠야하는데 뜨지 않을 것이다.

이것은 보안 문제로 인스턴스 보안그룹의 인바운드 규칙을 수정한다.

인스턴스의 보안 > 보안그룹으로 들어간다.

인바운드 규칙을 편집한다.

TCP를 허용하는 인바운드 규칙을 추가한다.

15.165.203.5로 다시 접속하면 잘 뜨는 것을 확인할 수 있다.

MFA 활성화

AWS 계정을 생성한 후 실습에 앞서 MFA를 활성화한다.

검색에서 IAM를 들어가 root 계정에서 MFA 활성화를 시켜준다. (보안을 위해, 해킹 가능성 있음)

사용자 추가

IAM 에서 사용자를 추가한다.

사용자를 추가한다.

액세스키를 이용해 aws 다양한 서비스 사용

암호는 비밀번호를 부여하는 방식

그룹에 사용자를 추가한다.

태그는 선택사항으로 그냥 넘긴다.

사용자를 생성한다.

사용자 추가가 완료됐다.

사용자 생성 완료

그룹 생성

그룹 이름 지정

그룹 정책은 설정하지 않고 생성한다.

정책을 설정하면 그룹 내 사용자에게 설정된다.

그룹 생성 완료

그룹에 사용자 추가

체크 후 그룹에 추가 선택

그룹 추가 완료

사용자가 1명이 된 것을 확인할 수 있다.

역할 생성

역할을 선택할 수 있다. 

역할은 사용자와 밀접한 관련이 있다.

역할보다는 정책이 중요하므로 필요할 경우 역할을 생성한다.

정책 생성

정책 생성에는 두가지 방법이 있다.

1) 시각적 편집기를 이용한 정책 생성

정책 서비스는 DynamoDB를 선택하고 허용되는 엑세스 레벨은 읽기와 쓰기만 선택한다.

리소스를 선택한다.

리소스란 DynamoDB에서 제공하는 리소스(함수)를 말한다.

모든 리소스를 추가한다.

태그는 선택하지 않고 검토로 넘어간다.

정책 이름을 설정하고 정책을 생성한다.

생성한 정책을 확인할 수 있다.

2) JSON을 이용한 정책 생성

JSON을 이용해 정책을 생성할 수 있다.

정책 시뮬레이터

대시보드에 들어가 우측 하단 정책 시뮬레이터를 선택한다.

정책 시뮬레이터를 돌리기 위해 DynamoDB를 선택한다.

시뮬레이션을 돌리면 aws_leaner는 정책이 설정되지 않아 허가 거부 된다.

사용자에 정책 추가

기존 정책에 직접 연결해 읽기 정책을 사용한다.

정책이 적용된 것을 확인

다시 정책 시뮬레이터로 돌아와 아까와 같이 설정한다.

읽기 정책이 설정되어 있어 시뮬레이션을 돌리면 일부 기능이 허용된 것을 확인할 수 있다.

테이블 읽기 등과 같은 기능은 허용이 된다.

IAM (Identity and Access Management)

: 유저를 관리하고 접근 레벨 및 권한에 대한 관리

특징

- 접근키(access key), 비밀키(secret access key)

   : 루트유저에서 유저 A를 만들면 IAM은 A유저의 접근키와 비밀키 생성
- 세밀한 접근 권한 부여 기능

   : ex) 회사에서 개발자에서 테이블 수정만 가능하도록 삭제 불가능
- 비밀번호를 수시로 변경 가능하게 해줌 

   : 보안을 위해 
- multi-factor authentication(다중 인증) 기능

   : AWS 로그인 할 경우 다른 계정을 이용해서 로그인 인증할 수 있도록

   : root 유저는 MFA 인증 필수

- 그룹 : 하나의 그룹은 하나 혹은 다수의 유저가 존재 가능
- 유저 : 사용자
- 역할 : 유저에게 각각 역할을 부여함으로써 역할이 다른 유저를 생성
- 정책 : json 형태 정책  (그룹, 역할에 추가할 수 있음)

IAM → Universal : 지역 설정이 필요X

*대부분의 서비스는 Regional : 지역마다 리소스나 기능들이 다를 수 있음

 ex) 지역 A에서 개발한 프로그램을 지역 B에서 사용 할 수 없을 수 있음

IAM 정책 시뮬레이터

: 개발 환경에서 실제 환경(Production)으로 넘어가기 전에 IAM 정책이 잘 작동되는지 테스트하는 툴

 (실제로 존재하는 유저에게 부여된 정책 테스트 가능)