Notice
Recent Posts
Recent Comments
Link
Cloud Is My Life
잘 해내기 위한 팁 본문
경기 운영
0. 깃배시 깔고 vscode extensions 설치하기
1. 시간 오래걸리는 것부터
2. 이 정도 난이도면 22년처럼 보안그룹 매우 빡빡해질 수 있음. 이거 주의
3.
기본 주의 사항
1. 제발 이름(name tag 등) 실수하지 마라.
2. 제발 리전 실수하지 마라.
3. Bastion에 AdministratorAccessPolicy 권한 줬는지 확인해라.
<- 이거는 과제지에 따라 유연하게 대응.
4. 경기 끝나기 15분 전에는 다 못 풀었어도 일단 최종 체크하고 다시 풀어라 제발.
<- aws sts get-caller-identity 쳐서 에러 안 나야됨.
5. 집중해라.
팁
1. rtb에 이런 옵션이 있음. 이거 참고.
생각 중인거; Secrets Manager + KMS
Python App에서 KMS로 Secrets Manager 복호화해서 갖다 쓰는 것으로 추정 중.
WAS EC2에 아래 policy 없으면 제대로 작동 안 될 수도.
{
"Action": [
"secretsmanager:GetSecretValue",
"kms:Decrypt",
"kms:DescribeKey"
]
}
아마 Python 코드는 이렇게 나올 듯
import boto3
import json
client = boto3.client('secretsmanager', region_name='ap-northeast-2')
response = client.get_secret_value(SecretId='your-secret-name')
secret = json.loads(response['SecretString'])
db_host = secret['host']
db_user = secret['username']
db_pass = secret['password']
db_name = secret['dbname']
생각 중인거; CloudWatchAgent
아마 이거로 log export 하게 할 가능성이 큰데 그러면 아마도 CloudWatchAgentServerPolicy 이 policy가 was에 붙어야 할 듯.
WAS Policy 어케 짜느냐가 좀 중요할 듯.
배스천 폴리시
아마 CWAgentServerPolicy, SSMManagedInstanceCore, kms, secrets manager policy 등 다양하게 들어갈 듯.
보안그룹좀제발잘하자
체이닝좀해라