Go, Vantage point
가까운 곳을 걷지 않고 서는 먼 곳을 갈 수 없다.
Github | https://github.com/overnew/
Blog | https://everenew.tistory.com/
자격 증명 기반 정책 IAM 사용자를 대상으로 특정 작업 수행할 수 있도록 정책을 연결해 준다. 리소스 기반 정책 리소스에 설정하는 정책이다. 대표적으로 Amazon S3 버킷, Amazon SQS 대기열 등에 설정할 수 있다. 이를 사용하면 특정 role이나 user를 대상으로 사용할 수 있는 권한을 설정해 줄 수 있다. 두 정책에는 우선 순위는 없다. 명시적 거부가 최우선으로 거부되기 때문에 허용을 하더라도 거부가 있다면 거부된다. 허용에 대한 언급이 없는 경우는 암시적으로 거부된다. 말로만 들으면 이해하기가 힘들 수 있으니 S3 버킷에 리소스 기반 정책을 설정해 보자. S3의 버킷에 리소스 기반 정책을 부여 일단 Role을 준비했다 가정하고, S3 버킷을 만들어보자. 나머지는 기본 세팅을 그대로 두..
VPC( Virtual Private Cloud ) AWS의 VPC는 논리적으로 격리된 네트워크 서비스이다. VPC는 온프레미스에서 사용하는 사설 네트워크와 비슷한 용도로 사용한다. 따라서 VPC 또한 사설 IP를 사용해서 생성하게 된다. 하나의 VPC 내부에서는 논리적인 Router가 동작한다. subnet은 VPC 내부의 IP 대역대를 가지도록 세팅되고, 각각이 라우팅 테이블을 가지고 있다. 아래의 그림을 확인해 보자. 여기서 public subnet만이 외부로 접속할 수 있도록 해야 하기 때문에, Public subnet의 라우팅 테이블만 모든 트래픽을 Internet GateWay로 보내도록 0.0.0.0 => IGW 경로를 추가한다. 즉, public Subnet이라는 네트워크가 따로 존재하는 ..
회사에서는 로그를 남기기 위해 각각의 사원에게 IAM user를 할당한다. 하지만 모든 IAM user에게 일일이 권한을 부여하고 관리하는 것을 쉽지 않다. 따라서 user group라는 IAM 사용자 집합으로 그룹 내의 사용자들의 권한을 지정할 수 있다. 간단하게 user를 group에 권한 추가해보자. S3 그룹은 S3 읽기 권한을 가진다. 이 그룹에 사용자를 추가하자. 이제 그룹 내 정상적으로 추가가 된다. IAM login URL로 접속 사용자의 보안 자격 증명 탭에서 콘솔 로그인 링크가 확인된다. 이 링크로 IAM 유저에 바로 접속할 수 있다. 이 유저는 S3 그룹에 속했기 때문에, read 권한을 상속받아 S3의 버킷 리스트들이 보인다. 반면에 ec2는 권한이 없기 때문에 읽을 수 조차 없다...
참조:https://captcha.tistory.com/78 [#1. Kubernetes 시리즈] 3. CNI란? (Container Network Interface) 이번 글에서는 쿠버네티스를 설치하기 전에 간략하게 CNI(Container Network Interface)에 대하여 알아보겠습니다. 무작정 문서대로 설치만 하기 보다는 내가 설치하는 애가 무엇인지 알고 가는게 좋을 captcha.tistory.com 참조: https://coffeewhale.com/packet-network2 [번역]쿠버네티스 패킷의 삶 - #2 쿠버네티스 패킷의 삶 #1에서 살펴 봤듯이, CNI plugin은 쿠버네티스 네트워킹에서 중요한 역할을 차지합니다. 현재 많은 CNI plugin 구현체들이 존재합니다. 그 중..