묻고 답해요
161만명의 커뮤니티!! 함께 토론해봐요.
인프런 TOP Writers
-
해결됨실무에서 사용중인 AWS 클라우드 IAM 이해와 보안
terraform destroy 로 s3 bucket을 삭제할 경우
1. 무엇을 하고 싶으신가요?해당 실습을 조금 더 빠르고 간편하게 재현하고 싶어서 s3 bucket과 안에 오브젝트 파일을 생성하는 부분까지 테라폼 코드로 프로비저닝 하였습니다. 강의를 보며 결과까지 모두 확인을 하였고, 이제 위 리소스들을 전부 destroy 하고 싶습니다. 2. 언제, 어떤 오류가 발생하시나요?terraform apply를 할 경우,Role 3개와버킷, 버킷 정책, 오브젝트 파일총 6개의 리소스가 생성됩니다. terraform state list를 통해 관리 대상을 확인해보아도 6개의 리소스를 확인할 수 있습니다.그런데 terraform destroy 명령을 수행할 경우버킷을 제외한 5개의 리소스만 삭제 플랜에 출력되는 것을 확인하였고 이대로 진행할 경우결국 empty한 s3 bucket만 남아 따로 cli 명령이나 콘솔에서 삭제를 해주어야합니다. 3. 어떤 시도를 해보셨나요?내부 오브젝트 파일 때문이라는 가설을 세우고force_destroy = true속성을 true로 지정하였지만 버킷 내부 객체까지만 삭제되었고 버킷은 삭제되지 않습니다.이후 권한 문제라는 가설을 세워보았지만 s3 액세스 정책을 deny 기반으로 ListBucket을 지정하였기 때문에 해당 가설도 기각하였습니다. 4. 작성한 코드를 공유해주세요.data "aws_caller_identity" "this" {} # IAM Role resource "aws_iam_role" "this" { count = 2 name = "thbins-${count.index}" path = "/dev/" assume_role_policy = jsonencode({ Version = "2012-10-17" Statement = [ { Action = "sts:AssumeRole" Effect = "Allow" Principal = { # AWS = "${data.aws_caller_identity.this.arn}" AWS = "arn:aws:iam::${data.aws_caller_identity.this.account_id}:root" } }, ] }) managed_policy_arns = ["arn:aws:iam::aws:policy/AdministratorAccess"] } resource "aws_iam_role" "this2" { name = "thbins-2" path = "/" assume_role_policy = jsonencode({ Version = "2012-10-17" Statement = [ { Action = "sts:AssumeRole" Effect = "Allow" Principal = { # AWS = "${data.aws_caller_identity.this.arn}" AWS = "arn:aws:iam::${data.aws_caller_identity.this.account_id}:root" } }, ] }) managed_policy_arns = ["arn:aws:iam::aws:policy/AdministratorAccess"] } # S3 variable "bucket_name" { description = "S3 bucket name (must be globally unique)" type = string } resource "aws_s3_bucket" "test" { bucket = var.bucket_name force_destroy = true # 버킷 안에 객체를 생성하기 때문에 해당 속성을 true로 지정한다. } data "aws_iam_policy_document" "test_bucket" { statement { sid = "Statement1" effect = "Deny" principals { type = "AWS" identifiers = ["*"] } actions = [ "s3:ListBucket", ] resources = [ aws_s3_bucket.test.arn, "${aws_s3_bucket.test.arn}/*", ] condition { test = "StringNotLike" variable = "aws:PrincipalArn" values = [ # 여기서 account_id를 하드코딩하지 않고 자동으로 맞춰줌 "arn:aws:iam::${data.aws_caller_identity.this.account_id}:role/dev/*", ] } } } resource "aws_s3_bucket_policy" "test" { bucket = aws_s3_bucket.test.id policy = data.aws_iam_policy_document.test_bucket.json } resource "aws_s3_object" "test_file" { bucket = aws_s3_bucket.test.id key = "test_success.txt" content = "This is a test file for IAM path-based S3 access demo.\n" # 선택: 텍스트 파일임을 명시 content_type = "text/plain" }
-
해결됨AWS SAA-C03 자격증 대비-문제 풀이
선생님 정말 죄송하지만 수강기간 조금만 연장 안될까요?
먼저 유사한 질문이 있는지 검색해보세요.학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요. 핑계지만 여러사정상 이제서야 수강 하려고 하는데 기간이 얼마 남지 않아서요...꼭 강의 듣고 합격해서 합격 수기 수강평 남겨놓겠습니다 ㅠㅠ부탁드립니다
-
해결됨AWS SAA-C03 자격증 대비-문제 풀이
부탁드립니다
강의 연장 가능할까요? 회사일로 시간을 못내서 거의 듣지 못했습니다. 부탁드립니다.
-
해결됨AWS SAA-C03 자격증 대비-핵심 정리
50강 질문이 있습니다
EKS 공부하면서 Kubernates의 Control Plane은 관리형이고, Data Plane은 Fargate를 쓰지않으면 비관리형이라 하셨는데, B 선택지는 Kubernates Control Plane을 배포한다고 되어있고 이건 관리형이 아닌가요?? 갑자기 비관리형이니까 답이 아니라고 하셔서 여쭤봅니다
-
미해결차이를 만드는 AWS 클라우드 보안 첫걸음
ami 검색이 안돼요
ami 검색이 안돼요.혹시 지우셨나요?
-
해결됨AWS SAA-C03 자격증 대비-핵심 정리
udemy url로 들어가니 페이지를 찾을 수 없다네요.
먼저 유사한 질문이 있는지 검색해보세요.학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요!인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.
-
해결됨AWS SAA-C03 자격증 대비-핵심 정리
핵심 요약 정리집이 어딜봐도 없는데 어디서 다운로드 받아야하지요?
핵심 요약 정리집이 어딜봐도 없는데 어디서 다운로드 받아야하지요?
-
미해결차이를 만드는 AWS 클라우드 보안 첫걸음
강의자료 문의드립니다.
강의에 사용하시는 강의 자료는 따로 제공이 안되는걸까요?
-
해결됨실무에서 사용중인 AWS 클라우드 IAM 이해와 보안
IRSA 의 토큰이 최대 24시간인데 만료되면 어떻게 되나요?
안녕하세요우선 좋은 강의 감사합니다. 강의 시청 중 IRSA 부분을 진행 중인데, 웬만한 것들은 이해가 되는데 한가지 궁금한 것이 있습니다.결국 파드가 AWS 리소스에 접근할 수 있는 토큰을 특정 마운트 경로에 가지고 있는 것인데, 임시 자격 증명은 영구적인 것이 아니고 최대 24시간까지만 유지가 되는데, 이 유효 시간이 지나면 어떻게 되나요? 예를 들어 파드 A 는 S3 에 접근을 해야 해서 IRSA 를 사용하고 있습니다. 최대 만료 시간인 24시간 지난 후에도 여전히 S3 에 접근이 가능한데, 이게 왜 가능한지가 궁금합니다. 무언가 토큰을 갱신해주는 쿠버네티스 컨트롤러나 오퍼레이터 같은 것이 있는 걸까요?(근데 암만 찾아봐도 mutatingwebhookconfigurations 의 pod-identity-webhook 외에는 관련된 것을 못찾겠네요 ㅜㅜ)
-
해결됨AWS SAA-C03 자격증 대비-핵심 정리
Cross Origin 관련 질문 있습니다.
강의명 : S3 액세스 제어-버킷정책, CORS, 액세스포인트. pre-signed URL에서 4분 22초 부분의 설명 중 왜 정적 웹사이트 https://a.com과 S3 Bucket의 origin이 다른건가요??? S3 Bucket으로 요청을 하는 https://a.com의 프로토콜, 포트번호, 도메인은 모두 Browser의 프로토콜, 포트번호, 도메인 인건가요? orgin은 프로토콜, 도메인(=호스트), 포트번호 이 3개가 같아야 동일한 것으로 인식을 한다고 하는거 같은데.... 3개 중 뭐가 달라서 오리진이 달라지는 건가요?
-
해결됨AWS SAA-C03 자격증 대비-문제 풀이
핵심정리 pdf
핵심정리 pdf 어디서 받을 수 있나요??
-
해결됨AWS SAA-C03 자격증 대비-문제 풀이
연습문제 2차 24번 문제 질문입니다
안녕하세요!강의를 듣던 도중 조금 헷갈리는 부분이 있어서 질문을 남깁니다.연습문제 2차 24번 문제에서 '높은 IOPS' 성능을 지원해야 한다라는 문제 지문 때문에 A,C,D 가 소거가 되었는데, A 번 지문에서 '암호화된 EBS' 볼륨이라는 건 '범용 SSD' 를 칭한다고 생각하면 되는걸까요?이유가 EBS 에서도 프로비저닝 된 IOPS SSD 가 존재한다고 핵심정리 25 page 에 나와있어서 '프로비저닝 된' 이라는 단어가 적혀있지 않은 EBS 는 그냥 기본 EBS 로 생각해도 되는건지가 궁금합니다!감사합니다.
-
해결됨AWS SAA-C03 자격증 대비-문제 풀이
핵심정리 pdf 에 있는 '문제 유형 확인' 에 대한 답은 따로 없는걸까요?
안녕하세요.강의를 잘 듣고 있는 학생입니다.다름이 아니라 문제를 풀고 강의를 듣고 모르는 부분들에 대해 핵심정리 pdf 로 찾아보고 있는데 여기에 있는문제유형확인 에 대한 답은 따로 없는 것 같더라구요.문제풀이 강의만 결제했는데 해당 문제에 대한 답은 따로 없는걸까요?
-
해결됨실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
RDS의 서브넷 그룹, 파라미터 그룹, 옵션 그룹은 뭔가요?
RDS의 서브넷 그룹이랑 VPC의 서브넷이랑 무엇이 다른가요?파라미터 그룹이 뭔가요? 어떻게 쓰이는지 간단한 예시 부탁드립니다.옵션 그룹도 마찬가지로, 그게 무엇인지, 어떻게 쓰이는지 간단하게 설명 부탁드립니다.
-
미해결실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
CF의 캐시에 대해서 궁금합니다.
몇가지 의문점이 생겨서 질문드립니다. CF - ALB - EC2(API서버) 로 연결이 되어있다고 가정합니다. https://api.example.com/posts/1 로 GET 요청을 하고 해당 Respose 값이 dynamic하게 생성된다면 캐싱기능을 사용할 수 없는 것인가요? 만약 사용한다면 TTL이 끝난 이후 첫 Reqeust에 대한 Response만 해당 TTL동안 반환하나요?CF - S3 로 연결이 되어있다고 가정합니다. S3의 버킷에 버전 옵션이 설정되어있습니다. 버킷의 오브젝트를 업로드 합니다. 새 오브젝트는 이전 버전의 오브젝트와 같은 KEY를 공유하지만, CF로의 캐싱은 TTL이 끝나기 전까지 이전 버전의 오브젝트를 반환하나요?CF - S3 로 연결이 되어있다고 가정합니다. 버킷 안의 리소스를 가져오는건 이해가 됩니다. 하지만 EC2(예: EC2의 node.js 환경에서)에서 S3로 업로드하는건 CF를 타지 않고 업로드 할 수 가 있습니까? 버킷을 private 설정으로 해놓고 EC2에 S3 Full Access role을 부여하고, 버킷 policy에 EC2를 Allow, putObject 정도로 설정해놓으면 가능한가요?
-
해결됨실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
타겟그룹에 표시되는 포트번호의 역할은 무엇인가요?
로드벨런서에서 타겟그룹으로 포인팅을 할 때의 리스너가 80번 포트(http)라고 가정합니다. 타겟그룹의 포트는 3000번이라고 한다면데이터의 흐름이 다음과 같습니까? 사용자가 80번 포트로 request (즉, http://example.com )로드벨런서의 보안그룹의 인바운드에 80번이 열려있는지 확인로드벨런서에 80번포트로 들어왔을 때 타깃그룹으로 포이팅하는 리스너 확인80번으로 받은 request를 타깃그룹이 대상 인스턴스로 보낼 때 3000번 포트로 변환대상 인스턴스의 보안그룹의 인바운드에 3000번이 열려있는지 확인대상 인스턴스의 3000번 포트에 웹 요청이 들어옴(즉, 웹 서버가 3000번 포트에 열려있어야 함).제가 이해한 것이 맞을까요?타깃그룹에 포트번호가 있는것이 헷갈립니다.왜 있는지도 모르겠고...
-
해결됨실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
Route53 유형에 MX, TXT는 무엇인가요?
Route53 의 유형에 보면 여러가지가 있지만 그 중에서 MX와 TXT가 궁금합니다.MX는 메일서버라고는 알고 있는데 DNS쿼리할때 어떻게 동작하는지 감이 잘 안옵니다. 사내메일 서비스를 이용하는 업체가 있는데 서로 어떻게 커넥트를 하는지도 감이 안옵니다. TXT는 예전에 WIX서비스를 이용할 때 입력하는 칸이 있어서 궁금합니다.마찬가지로 DNS쿼리할 때 어떻게 동작하는지 궁금합니다. 감사합니다.
-
해결됨실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
가비아 같은 도메인 호스팅 서비스를 이용할 때 DNS Query 순서가 궁금합니다.
가비아 (도메인 등록업체) 에서 도메인을 구입하면 그곳에 Route53에서 제공하는 NS 레코드를 입력하는 것으로 알고 있습니다. 로컬 DNS 서버와, ISP DNS 서버 둘 다 도메인 등록이 되어 있지 않다고 가정합니다. Root DNS Server -> TLD -> SLD -> 가비아 서버-> Route 53 인것인가요? 가비아 서버로 DNS 쿼리가 갔다가 그곳에 등록된 NS가 Route53을 가리키고 있기 때문에 Route53 호스팅영역으로 리다이렉트 되는 것인가요?그럼 NS레코드의 값인 ns.어쩌구는 사실상 DNS인가요? 만약 그렇다면 ns.어쩌구를 ip로 변환하는 과정이 또 필요하다면 제자리걸음이 아닌가요? NS 레코드에 나오는 ns.어쩌구 문자열이 하는 역할이 무엇인지 궁금합니다..감사합니다.
-
해결됨실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
private subnet에 있는 rds를 접근하려면?
rds가 private subnet에 있어서 외부에서 접근이 불가능하다면 로컬에서 사용 하는 DB툴로 접근이 안되잖아요.그렇다고 같은 VPC 내의 EC2로 매번 SSH연결을 해서 터미널창에서 쿼리날릴수도 없고..보통은 어떤식으로 하나요? rds를 public / private 스위칭하면서 접근하나요?
-
해결됨실리콘밸리 엔지니어와 함께하는 아마존 웹서비스(Core)편
RDS Security에 Auditing and Logging의 범위가 궁금합니다.
수동으로 EC2에서 RDS로 connect한 상황이라고 가정하겠습니다. 코드상에서 TypeORM 또는 SDK 라이브러리를 사용하여 쿼리를 날리면해당 쿼리가 무엇인지도 CloudWatch에 로깅이 될 수 있는 건가요? 뿐만아니라 DB툴을 이용해서 DB를 조작하더라도 SQL이 로깅이 되는건가요? 그게 아니라면 auditing and logging의 범위가 어디까지인지 간단한 설명 부탁드립니다.
