잘 해내기 위한 팁

경기 운영

0. 깃배시 깔고 vscode extensions 설치하기

1. 시간 오래걸리는 것부터

2. 이 정도 난이도면 22년처럼 보안그룹 매우 빡빡해질 수 있음. 이거 주의

3. 

기본 주의 사항

1. 제발 이름(name tag 등) 실수하지 마라.

2. 제발 리전 실수하지 마라.

3. Bastion에 AdministratorAccessPolicy 권한 줬는지 확인해라.
    <- 이거는 과제지에 따라 유연하게 대응.

4. 경기 끝나기 15분 전에는 다 못 풀었어도 일단 최종 체크하고 다시 풀어라 제발.
     <- aws sts get-caller-identity 쳐서 에러 안 나야됨.

5. 집중해라.

 

팁

1. rtb에 이런 옵션이 있음. 이거 참고. 

 

생각 중인거; Secrets Manager + KMS

Python App에서 KMS로 Secrets Manager 복호화해서 갖다 쓰는 것으로 추정 중.

WAS EC2에 아래 policy 없으면 제대로 작동 안 될 수도.

{
  "Action": [
    "secretsmanager:GetSecretValue",
    "kms:Decrypt",
    "kms:DescribeKey"
  ]
}

 

아마 Python 코드는 이렇게 나올 듯

import boto3
import json

client = boto3.client('secretsmanager', region_name='ap-northeast-2')
response = client.get_secret_value(SecretId='your-secret-name')
secret = json.loads(response['SecretString'])

db_host = secret['host']
db_user = secret['username']
db_pass = secret['password']
db_name = secret['dbname']

 

생각 중인거; CloudWatchAgent

아마 이거로 log export 하게 할 가능성이 큰데 그러면 아마도 CloudWatchAgentServerPolicy 이 policy가 was에 붙어야 할 듯.

WAS Policy 어케 짜느냐가 좀 중요할 듯.

 

배스천 폴리시

아마 CWAgentServerPolicy, SSMManagedInstanceCore, kms, secrets manager policy 등 다양하게 들어갈 듯.

보안그룹좀제발잘하자

체이닝좀해라