포스트

AWS 로그인 보안 설정하기(IAM, User, MFA, 비용관리, 비용 이상 징후, CloudWatch)

게시
By SouthGlory
22 분읽는 시간

© hmm001, 출처 Unsplash

요새 잘 되던 EC2가 갑자기 서버 다운됬다면서(connection refused) 접속이 안되고, EC2 다시 만들어도 접속 안되고… 하다 보니 탄력적IP도 계속 재발급해보고 인스턴스도 계속 다시 만드는 등 불안과 불편에 시달렸습니다.

sticker

제가 비번을 구글계정에 저장해서 쓰고, 스타벅스에서 공개된 와이파이도 자주 이용하는 까닭에 언제 운 안좋으면 해킹당할 수도 있겠다는 생각은 항상 해왔는데요, AWS를 사용하다 보니 뭐가 안되면 혹시 해킹당한거 아닌가 하는 걱정도 하고 실제로 해킹된다면 피해금액이 상당할 수 있다고 하길래 부랴부랴 대책을 마련해보았습니다.(국내 AWS 한 이용자 해킹 사례로 3억이 해킹으로 청구되어서 그 중 6천만원은 피해자가 지불했던 적이 있다고 합니다. 해킹된 계정으로 암호화폐 채굴이라도 하는 날에는 비용이 상당하죠..)

sticker

  • '유저그룹'을 생성
  • '유저그룹' 안에 '유저'를 생성
  • '유저'로 로그인 할 때 MFA보안인증을 거치도록 설정.
  • '루트'로 로그인 할 때 MFA보안인증을 거치도록 설정.

여기까지 따라하셨다면 이제 로그인은 IAM으로 로그인해줍시다.ㅎㅎ

축소된 권한의 유저는 예를 들어 아래와 같이 접근하지 못하는 항목이 있는 것 같습니다.

이제 두 번째 단계로,

혹시 해킹당하더라도 초기에 감지할 수 있도록 비용 경고 설정을 해줍니다. 즉, 비용이 얼마 나가는지 매일 이메일로 모니터링 할 수 있도록 하겠습니다.

다시** 루트 계정으로 로그인**합니다.

'AWS 비용 관리' -'비용 이상 탐지' -'모니터 생성' 에서 아래와 같이 비용 이상 징후가 탐지될 시 이메일이 오도록 설정합니다.

**또한 'AWS Billings' - '예산' - '개요' 에서 '예산 생성'을 해서 아래와 같이 만들어줍니다. **

마지막으로, AmazonCloudWatch 서비스를 사용합니다. 그리고 그에 앞서, '청구서 기본 설정'을 변경해서 CloudWatch 결제 알림을 이메일로 받도록 설정해줍니다.

CloudWatch 서비스를 설정하는 방법은 아래와 같습니다.

리전을 버지니아 북부로 바꾸면, 결제 탭이 나타납니다.

이번에는 200달러로 임계값을 설정해보았습니다.

생성한 결과는 다음과 같습니다.

이제 아래와 같이 sns 구독을 설정해야 한다는 안내 메시지가 나옵니다. '메시지'게시를 눌러줍니다.

'Amazon SNS' 에 들어가서 '구독'을 눌러 '확인 요청'을 보냅니다. 그러면 해당하는 이메일로 구독확인 이메일이 전송될텐데요, 참고로 gmail은 스팸 편지함에서 찾을 수 있습니다. ㅎㅎ

여기까지 해보았는데요, 모두 해킹 없이 안전한 AWS 클라우드 서비스 이용 하실 수 있으시길 바래봅니다.

sticker

감사합니다.

sticker

https://www.inflearn.com/course/%ED%95%98%EB%A3%A8%EB%A7%8C%EC%97%90-%EB%A7%8C%EB%93%9C%EB%8A%94-express-aws

하루만에 만드는 express with AWS - 인프런 | 강의 👩🏻‍💻하루 만에 배우는 expressjs 강의입니다. 여러분은 결과물을 무조건 들고 가며, 글이 아닌 시각적인 시퀀스다이어그램으로 로직 위주로 설명을 진행합니다., 자바스크립트와 함께백엔드 입문을 쉽게 해보세요! ☺️ 🎁 리뷰 이벤트 진행 중 🎁 리뷰를 남겨주… 👩🏻‍💻하루 만에 배우는 expressjs 강의입니다. 여러분은 결과물을 무조건 들고 가며, 글이 아닌 시각적인 시퀀스다이어그램으로 로직 위주로 설명을 진행합니다., 자바스크립트와 함께백엔드 입문을 쉽게 해보세요! ☺️ 🎁 리뷰 이벤트 진행 중 🎁 리뷰를 남겨주…

https://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html#turning_on_billing_metrics

청구 경보를 생성하여 예상 AWS 요금을 모니터링하세요 - Amazon CloudWatch 쿠키 기본 설정 선택 AWS는 사이트 및 서비스를 제공하는 데 필요한 필수 쿠키 및 그와 유사한 도구를 사용합니다. 성능 쿠키는 익명 통계를 수집하여 고객이 사이트를 어떻게 이용하는지 파악하고 개선할 수 있게 해줍니다. 필수 쿠키는 비활성화할 수 없지만 성능 쿠키는 ‘쿠키 사용자 지정’을 클릭하여 거부할 수 있습니다. 귀하가 동의하는 경우, AWS와 승인을 받은 서드 파티가 유용한 사이트 기능을 제공하고, 기본 설정을 저장하고, 관련 광고를 비롯한 관련 콘텐츠를 표시하는 데 쿠키를 사용하게 됩니다. 이러한 쿠키를 허용하지 않고 계속… 쿠키 기본 설정 선택 AWS는 사이트 및 서비스를 제공하는 데 필요한 필수 쿠키 및 그와 유사한 도구를 사용합니다. 성능 쿠키는 익명 통계를 수집하여 고객이 사이트를 어떻게 이용하는지 파악하고 개선할 수 있게 해줍니다. 필수 쿠키는 비활성화할 수 없지만 성능 쿠키는 ‘쿠키 사용자 지정’을 클릭하여 거부할 수 있습니다. 귀하가 동의하는 경우, AWS와 승인을 받은 서드 파티가 유용한 사이트 기능을 제공하고, 기본 설정을 저장하고, 관련 광고를 비롯한 관련 콘텐츠를 표시하는 데 쿠키를 사용하게 됩니다. 이러한 쿠키를 허용하지 않고 계속…

https://docs.aws.amazon.com/ko_kr/sns/latest/dg/sns-email-notifications.html

이메일 알림 - Amazon Simple Notification Service 쿠키 기본 설정 선택 AWS는 사이트 및 서비스를 제공하는 데 필요한 필수 쿠키 및 그와 유사한 도구를 사용합니다. 성능 쿠키는 익명 통계를 수집하여 고객이 사이트를 어떻게 이용하는지 파악하고 개선할 수 있게 해줍니다. 필수 쿠키는 비활성화할 수 없지만 성능 쿠키는 ‘쿠키 사용자 지정’을 클릭하여 거부할 수 있습니다. 귀하가 동의하는 경우, AWS와 승인을 받은 서드 파티가 유용한 사이트 기능을 제공하고, 기본 설정을 저장하고, 관련 광고를 비롯한 관련 콘텐츠를 표시하는 데 쿠키를 사용하게 됩니다. 이러한 쿠키를 허용하지 않고 계속… 쿠키 기본 설정 선택 AWS는 사이트 및 서비스를 제공하는 데 필요한 필수 쿠키 및 그와 유사한 도구를 사용합니다. 성능 쿠키는 익명 통계를 수집하여 고객이 사이트를 어떻게 이용하는지 파악하고 개선할 수 있게 해줍니다. 필수 쿠키는 비활성화할 수 없지만 성능 쿠키는 ‘쿠키 사용자 지정’을 클릭하여 거부할 수 있습니다. 귀하가 동의하는 경우, AWS와 승인을 받은 서드 파티가 유용한 사이트 기능을 제공하고, 기본 설정을 저장하고, 관련 광고를 비롯한 관련 콘텐츠를 표시하는 데 쿠키를 사용하게 됩니다. 이러한 쿠키를 허용하지 않고 계속…

https://mihee0703.tistory.com/128

[ AWS ] - sns 활용하여 메일과 메시지 보내기 SNS : Simple Notification Service 메일 또는 메시지 전송 기능을 제공하는 aws의 서비스이다. aws의 sns는 크게 A2A와 A2P로 나뉜다. Application to Application 의 약자인 A2A란 애플리케이션 간 메시징을 전송하는 것으로, 쉽게 이야기하면 aws의 sns 기능을 aws에서 제공하는 다른 서비스인 lambda, SQS 등의 서비스와 연동하는 것을 의미한다. 예를 들어 Lambda 함수가 구독하는 SNS 주제에 메시지가 게시되면 게시된 메시지의 페이로드와 함께 Lambda 함수… SNS : Simple Notification Service 메일 또는 메시지 전송 기능을 제공하는 aws의 서비스이다. aws의 sns는 크게 A2A와 A2P로 나뉜다. Application to Application 의 약자인 A2A란 애플리케이션 간 메시징을 전송하는 것으로, 쉽게 이야기하면 aws의 sns 기능을 aws에서 제공하는 다른 서비스인 lambda, SQS 등의 서비스와 연동하는 것을 의미한다. 예를 들어 Lambda 함수가 구독하는 SNS 주제에 메시지가 게시되면 게시된 메시지의 페이로드와 함께 Lambda 함수…

https://velog.io/@gmtmoney2357/aws-%EC%A0%80%EC%97%90%EA%B2%90-2174%EB%A7%8C%EC%9B%90%EC%9D%B4-%EC%97%86%EC%8A%B5%EB%8B%88%EB%8B%A4.-%ED%95%B4%ED%82%B9%EA%B3%BC%EA%B8%88

aws - 저에겐 2174만원이 없습니다. (해킹과금) 21-12-01국제 전화가 왔다.아이.. 또 누가 보이스피싱하나…근데 중국이 아닌 미국 워싱턴이네?대수롭지 않게 넘겼다.21-12-03신한카드에서 체크카드 결제 거절 메시지가 왔다.아잇.. 신종 스미싱 수법인가?잠깐, 금액이 얼마지?? 일..십백…천만원?? 이천 21-12-01국제 전화가 왔다.아이.. 또 누가 보이스피싱하나…근데 중국이 아닌 미국 워싱턴이네?대수롭지 않게 넘겼다.21-12-03신한카드에서 체크카드 결제 거절 메시지가 왔다.아잇.. 신종 스미싱 수법인가?잠깐, 금액이 얼마지?? 일..십백…천만원?? 이천

sticker

https://v.daum.net/v/20220510062003601

“이용료만 3억원, 죽도록 후회”..해커에 털린 클라우드 개발자 국내 스타트업 개발자 A씨는 최근 자신의 AWS(아마존웹서비스) 계정이 갑자기 정지됐다는 메일을 받았다. 로그인 후 이용료 청구서를 확인한 A씨는 말문이 막혔다. 26만 달러(약 3억3100만원)라는, 생전 처음 보는 숫자가 찍혀 있었기 때문이다. 누군가 A씨 계정을 해킹해 클라우드 서비스 트래픽 3억원 어치를 사용한 것. 그날 해킹이 의심된다며 AWS에서 국내 스타트업 개발자 A씨는 최근 자신의 AWS(아마존웹서비스) 계정이 갑자기 정지됐다는 메일을 받았다. 로그인 후 이용료 청구서를 확인한 A씨는 말문이 막혔다. 26만 달러(약 3억3100만원)라는, 생전 처음 보는 숫자가 찍혀 있었기 때문이다. 누군가 A씨 계정을 해킹해 클라우드 서비스 트래픽 3억원 어치를 사용한 것. 그날 해킹이 의심된다며 AWS에서

https://blog.naver.com/awesomedev/220716804533

AWS 해킹 당한 경험담과 과금 대처 가이드 라인 안녕하세요 초보 개발자 덕명동남자 입니다.  이번 한 주 정말 다사다난했던 한 주 였던 것 같습니다…. 안녕하세요 초보 개발자 덕명동남자 입니다.  이번 한 주 정말 다사다난했던 한 주 였던 것 같습니다….

http://sanghaklee.tistory.com/32

[AWS/아마존 웹서비스] 말도 안 되는 과금의 추억. 요금 폭탄 2015 AWS Summit, 2015 Awesome day, AWS를 이용한 서버 인프라 구성. 작년 T 아카데미를 통해 AWS를 알게되어 '셀폰'의 API 서버를 AWS로 구성했기에 AWS는 어느 정도 쓴다고 생각했다. 이번 졸업 프로젝트도 AWS에서 서버 인프라를 구성하기로 계획했고, 1년의 프리티어를 다시 이용하기 위해 새로운 계정을 사용했다.( 잘 안쓰던 Daum 메일 사용 ) 그런데.. 해당 메일을 잘 안쓰기 때문에 오랜만에 들어갔는데..뭐래는 거니 아마존아… 번역을 돌리니 뭐 잘못된 사용으로 $903.76이 나왔다…. 2015 AWS Summit, 2015 Awesome day, AWS를 이용한 서버 인프라 구성. 작년 T 아카데미를 통해 AWS를 알게되어 '셀폰'의 API 서버를 AWS로 구성했기에 AWS는 어느 정도 쓴다고 생각했다. 이번 졸업 프로젝트도 AWS에서 서버 인프라를 구성하기로 계획했고, 1년의 프리티어를 다시 이용하기 위해 새로운 계정을 사용했다.( 잘 안쓰던 Daum 메일 사용 ) 그런데.. 해당 메일을 잘 안쓰기 때문에 오랜만에 들어갔는데..뭐래는 거니 아마존아… 번역을 돌리니 뭐 잘못된 사용으로 $903.76이 나왔다….

https://comdolidol-i.tistory.com/331

[AWS] 과금 청구, 넌 얼마까지 청구 되어봤니?(feat. 1941만원, 해킹, 과금 면제) - 컴도리돌이 벌써 사건이 발생한 지 한 달이라는 시간이 훌쩍 지나가버렸다. 사건은 5월 초, 아침에 일어나면 이메일을 확인하는 습관이 있는 나는 생전 받아 보지 못한 AWS에서 3통의 이메일이 와있었다.. 새벽 3시경 “AWS 고객 서비스에 요청하신 대로 귀하의 계정과 관련된 이메일 주소를 성공적으로 변경했습니다.” 엥? 이게 무슨 소리이지 하고, 다른 이메일을 확인하였다. 해당 내용은 더욱 나를 간장 되게 만들었다.. “이 계정 손상으로 인해 사용자 계정(다른 계정 사용자 포함)에 보안 위험이 발생하며, 무단 작업으로 인해 과도한 요금이 부과… 벌써 사건이 발생한 지 한 달이라는 시간이 훌쩍 지나가버렸다. 사건은 5월 초, 아침에 일어나면 이메일을 확인하는 습관이 있는 나는 생전 받아 보지 못한 AWS에서 3통의 이메일이 와있었다.. 새벽 3시경 “AWS 고객 서비스에 요청하신 대로 귀하의 계정과 관련된 이메일 주소를 성공적으로 변경했습니다.” 엥? 이게 무슨 소리이지 하고, 다른 이메일을 확인하였다. 해당 내용은 더욱 나를 간장 되게 만들었다.. “이 계정 손상으로 인해 사용자 계정(다른 계정 사용자 포함)에 보안 위험이 발생하며, 무단 작업으로 인해 과도한 요금이 부과…

#AWS, #IAM, #MFA, #AWS_비용관리, #AWS_비용_이상징후, #CloudWatch, #양동준_하루만에_만드는_Express_with_AWS

개발, 데브옵스
데브옵스 인프라
이 기사는 저작권자의 CC BY 4.0 라이센스를 따릅니다.