[Cloud Computing] AWS Advanced Details

Step 7: Advanced Details

IAM Role

애플리케이션 또는 서비스와 같은 엔터티에 특정 권한을 부여하기 위한 기능

권한 정책(permission policy)을 통해 해당 엔터티가 AWS에서 수행할 수 있는 작업을 정의

 

• 엔터티가 역할을 "수행"(Assume)할 때 일시적인 보안 자격 증명을 받아 그 역할의 권한으로 행동할 수 있게 된다.
  • AWS 보안 토큰 서비스(STS)에 요청을 보내 일시적인 보안 자격 증명을 받는다.
  • 이 자격 증명을 통해 해당 엔터티는 AWS 리소스에 권한 있는 요청을 수행할 수 있다.
• 예를 들어, EC2 인스턴스가 역할을 통해 S3 버킷에 액세스할 수 있다. 

 

Managing Roles

인스턴스에 역할을 연결하려면 인스턴스 프로파일에서 역할을 선택하여 인스턴스와 연관시킨다.

 

인스턴스 프로파일은 IAM 역할을 EC2 인스턴스에 연결할 수 있도록 하는 컨테이너이다.

EC2 인스턴스에 역할을 할당하면 AWS는 이 인스턴스 프로파일을 사용하여 인스턴스에 임시 보안 자격 증명을 제공한다.

이 자격 증명은 인스턴스가 AWS 서비스에 요청을 보낼 때 사용되며, 이를 통해 인스턴스 내에서 자격 증명을 하드코딩할 필요가 없다.

 

역할 관리의 유연성:

• AWS는 EC2 인스턴스에서 IAM 역할을 관리하는 데 있어 여러 가지 유연한 방법을 제공한다:
  • 인스턴스를 시작할 때 역할 포함:
    • 인스턴스를 시작할 때 해당 인스턴스에 IAM 역할을 지정할 수 있으며, 인스턴스가 시작되면 즉시 해당 역할을 사용할 수 있다.
  • 인스턴스를 시작한 후에 역할 추가:
    • 인스턴스를 시작할 때 역할을 할당하지 않았다면, 나중에 EC2 콘솔 또는 AWS CLI를 사용해 역할을 추가할 수 있다.
  • 인스턴스에서 역할 제거:
    • 언제든지 인스턴스에서 역할을 분리할 수 있으며, 이 경우 해당 역할에 연관된 권한이 즉시 취소된다.
  • 역할 정책 업데이트:
    • 역할의 권한(정책)을 업데이트하면, 그 변경 사항이 해당 역할을 사용하는 모든 인스턴스에 즉시 반영됩니다. 이를 통해 인스턴스를 재시작하거나 다시 시작하지 않고도 동적으로 권한을 관리할 수 있다.

User Data

사용자 데이터 스크립트를 사용하여 인스턴스의 런타임 환경을 맞춤 설정할 수 있다.

• 기본적으로 스크립트는 인스턴스가 처음 시작될 때 한 번 실행된다.
• 옵션에 따라 스크립트가 인스턴스가 시작될 때마다 실행되도록 설정할 수 있다.
• 사용예시
  • 인스턴스 AMI 패치 및 업데이트 : 인스턴스가 시작될 때마다 최신 보안 패치나 운영체제 업데이트를 적용할 수 있다.
  • 소프트웨어 라이선스 키 가져오기 및 설치 : 필요한 라이선스 키를 외부 저장소나 API에서 가져와 인스턴스에 적용할 수 있다.
  • 추가 소프트웨어 설치 : 인스턴스에 Apache, NGINX, MySQL 등 추가 소프트웨어를 자동으로 설치할 수 있다.

#!/bin/bash 
yum update –y #시스템을 최신 상태로 업데이트. -y 옵션은 사용자에게 확인을 묻지 않고 자동으로 '예'라고 답하도록 설정
yum install httpd –y # Apache HTTP 서버(httpd)를 설치
service httpd start # Apache HTTP 서버를 시작
chkconfig httpd on # 시스템이 부팅될 때 Apache 서버가 자동으로 시작되도록 설정

 

 

Additional Advanced Setting Options

 

• Shutdown behavior : OS 수준에서 종료(Shutdown) 명령이 발생했을 때 인스턴스를 어떻게 처리할지를 결정
  • Terminate (종료): 인스턴스가 완전히 종료
  • Stop (멈춤): 인스턴스가 정지 상태로 전환
• Termination protection : 콘솔, API, 또는 CLI를 통해 인스턴스가 실수로 종료(Terminate)되지 않도록 보호
• Detailed monitoring : CloudWatch 를 통해 인스턴스를 더 정밀하게 모니터링
• Tenancy : 인스턴스가 실행될 호스트 유형을 결정
  • Shared (공유): 여러 고객의 인스턴스가 동일한 물리적 서버에서 실행. 기본 설정
  • Dedicated (전용): 고객 전용의 물리적 서버에서 인스턴스가 실행. 다른 고객의 인스턴스와 서버를 공유하지 않는다.
  • Dedicated Host (전용 호스트): 전용 호스트에서 인스턴스가 실행, 특정 하드웨어를 사용자에게 예약해 더 강력한 제어와 규정 준수를 제공.

 

Configuration Considerations

다음 사항들을 고려하는 것은 좋은 결정을 할 수 있도록 도와준다.