-
Notifications
You must be signed in to change notification settings - Fork 0
KR_AWS
somaz edited this page Mar 30, 2026
·
21 revisions
DevOps 엔지니어를 위한 AWS 핵심 개념 정리. 상세 내용은 각 링크를 클릭하세요.
- Assume Role: 임시 보안 자격 증명을 통해 다른 계정 또는 동일 계정 내 다른 역할 권한을 획득
- sts:AssumeRole: IAM 자격 증명 기반 역할 위임 — 교차 계정 액세스에 활용
- sts:AssumeRoleWithWebIdentity: OIDC/SAML 토큰 기반 역할 위임 — GitHub Actions, Kubernetes SA 등 외부 ID 공급자 연동
- 임시 자격 증명: 액세스 키 + 보안 액세스 키 + 세션 토큰으로 구성, 유효 기간 설정 가능
-
Ingress Group: 여러 Ingress를 하나의 ALB로 통합 관리 (
alb.ingress.kubernetes.io/group.name) - group.order: Ingress 규칙 우선순위 설정 — 낮은 숫자가 먼저 적용
- listen-ports: ALB가 수신하는 포트 지정 (HTTP/HTTPS)
- ssl-redirect: HTTP → HTTPS 리디렉션 포트 설정
-
target-type:
instance(NodePort 경유) 또는ip(Pod 직접 라우팅) 모드 선택 -
scheme:
internet-facing(공개) 또는internal(VPC 내부) ALB 접근 유형 설정 - inbound-cidrs: ALB 접근 허용 IP 범위 제한
- security-groups: 로드밸런서에 연결할 보안 그룹 지정
- Security Group (Stateful): 인스턴스 단위 보안 — 허용 규칙만 지원, 아웃바운드 응답 자동 허용
- Network ACL (Stateless): 서브넷 단위 보안 — 허용·거부 규칙 모두 지원, 번호순 평가
- VPC: 격리된 가상 네트워크 — 서브넷·라우트 테이블·인터넷 게이트웨이로 구성
AWS STS의 sts:AssumeRole을 사용한 교차 계정 액세스 방법(4단계: IAM 역할 생성 → 정책 연결 → 역할 위임 → 임시 자격 증명 사용)과 OIDC/SAML 기반 sts:AssumeRoleWithWebIdentity의 차이를 비교한다.
→ 상세 보기
여러 Ingress를 단일 ALB로 통합하는 IngressGroup 구성, 포트 수신(listen-ports) 및 SSL 리디렉션 설정, instance/ip 모드 트래픽 라우팅 어노테이션, 그리고 scheme·inbound-cidrs·security-groups를 활용한 접근 제어 방법을 정리한다.
→ 상세 보기
Stateful Security Group(인스턴스 단위·허용 규칙만)과 Stateless Network ACL(서브넷 단위·허용·거부 규칙·번호순 평가)의 동작 방식 차이와 VPC 내 트래픽 흐름(IGW → Router → Route Table → ACL → Subnet → SG → EC2)을 mermaid 다이어그램으로 설명한다.
→ 상세 보기