AWS Cloud Club Hongik안녕하세요, Sean입니다. 저는 AWS Cloud Club Hongik을 운영중이고, AWS 클라우드 기초 스터디를 진행하고 있습니다.AWS 클라우드 기초 스터디에서는 단순히 이론 세션만 진행하지 않습니다. 매주 '트러블슈팅 실습 세션'을 준비했습니다. AWS 환경에서 발생하는 문제 상황에서, 직접 콘솔에서의 작업을 통해 문제를 해결하는 경험을 제공해드리고자 이러한 실습 세션을 준비했습니다.  트러블슈팅 실습 환경을 제공해드리기 위해 AWS Organization과 CloudFormation StackSets 사용을 결정했습니다.AWS Organization을 통해 계정을 통합 관리하고 실습 과정에서 발생할 수 있는 추가적 비용을 중앙 계정에서 관리할 수 있습니다...

[EN]Multi-account environment with CloudFormation StackSets 안녕하세요. 최근 다중 계정 환경에서의 자동화와 관련한 재미있는 실습을 해봤습니다.  제가 구현한 환경은 다음과 같습니다:관리 계정에서 Organization Unit에 있는 여러개의 계정을 대상으로 암호화된 AMI를 사용하는 오토 스케일링 그룹을 배치하기 여러 계정에 오토 스케일링 그룹을 배치하기 위해서 다음과 같은 작업이 요구됩니다: 관리 계정에서 Customer Managed KMS key를 생성생성한 KMS key로 EBS 볼륨이 암호화된 EC2 인스턴스를 생성EC2로부터 AMI를 생성하고, Organization Unit에 AMI와 KMS key를 공유각각의 계정에서 공유받은 AMI와 KM..

[KO]CloudFormation StackSets를 이용한 다중 계정 환경 관리! Hello.  I recently completed an interesting hands-on experience focused on resource configuration automation in a multi-account environment. The environment I set up is as follows:Creating Auto Scaling Groups in multiple accounts within an Organizational Unit (OU) using an encrypted AMI created in the management account. To configure this environmen..

Hello, After earning several AWS certifications, I developed an interest in AWS questions in AWS re:Post. However, manually checking for new questions was tedious when I wasn't actively viewing the page. So, I decided to automate the process of retrieving new questions using a web crawler and sending notifications through Slack. ArchitectureThe architecture is as follows:An EventBridge Scheduler..

2024년 12월 12일 업데이트: 해당 게시글에서 언급한 PR이 머지되었습니다. 이제 이 글은 읽을 필요 없겠습니다. ;)  지난 포스팅에서 Terraform 으로 Identity Provider 를 설정하는 방법에 대해 기술했습니다. 리소스 블럭:resource "aws_iam_openid_connect_provider" "github_actions_idp" { url = "https://token.actions.githubusercontent.com" client_id_list = ["sts.amazonaws.com"] thumbprint_list = [var.github_thumbprint]} 오늘은 이 thumbprint_list 값에 대한 이야기를 다룹니다. 테라폼 공식 문서를 보면 리소..

[References]https://aws.amazon.com/ko/blogs/security/use-iam-roles-to-connect-github-actions-to-actions-in-aws/https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-serviceshttps://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc_verify-thumbprint.html If you configure an OpenID Connect (OIDC) identity pr..

해당 게시글은 다음 강의를 보고 정리한 자료입니다:http://www.udemy.com/course/aws-solutions-architect-professional[References]https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.htmlhttps://docs.aws.amazon.com/amazondynamodb/latest/developerguide/WIF.htmlIdentity Federation in AWSAWS 바깥에 있는 사용자에게 AWS 리소스에 대한 권한을 줄 때 사용되는 개념으로, IAM User 를 만들지 않고 권한을 줄 수 있습니다.사용자 측에 이미 Active Directory 를 기반한 identity 시스..

해당 포스팅은 UdemyUltimate AWS Certified Solutions Architect Professional 2024 영상을 보고 정리한 내용입니다. [References]https://docs.aws.amazon.com/STS/latest/APIReference/welcome.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.htmlhttps://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.htmlAWS: Security Token Service STS(Security Token Service)는 Role assume할 때 사용되는 임시 자격 증명입니다..

CloudWatch Agent를 설정하여 스왑 메모리 사용량 지표를 수집하고 전송하도록 구성해보겠습니다. 또한 구성 후 스왑 메모리를 할당하고 stress 명령을 실행하여 지표가 제대로 수집되는지 확인해보겠습니다. 저는 인스턴스 타입 t2.micro를 사용하고 Amazon Linux 2023을 사용했습니다. 1. EC2 → CloudWatch 로그 전송을 위한 권한 부여가장 먼저 EC2에 IAM Role을 할당하여 로그를 전송할 권한을 부여합니다. 기본적으로 생성 시 인스턴스에 IAM Role이 할당되어 있지 않습니다. 매니지먼트 콘솔의 Instances에서 로그를 전송하고자 하는 인스턴스 선택 → Actions → Security → Modify IAM role 을 선택하여 IAM role 설정 창으로..

AWS에서 하이브리드 네트워크를 구성하기 위해 Site-to-Site VPN connection 구성을 해야 할 수 있습니다. Site to Site VPN은 VPC와 온프레미스 간의 연결을 위해 사용하고, IPsec VPN 연결을 지원합니다. IPsec 연결을 하는 이유VPC와 온프레미스 간 전송에 있어서 Direct Connect같은 dedicated connection을 구성하지 않는 이상 필연적으로 Internet을 거쳐 통신해야 합니다. 그렇기에 데이터를 암호화하여 네트워크를 통해 전송되는 동안 데이터가 도청되거나 탈취되지 않도록 보호해야 합니다. IPsec은 데이터 암호화를 지원하여 안전한 데이터 통신이 가능하도록 도와줍니다. 왜 Site-to-Site VPN이어야 하는가Site-to-Site..