133. IAM 역할 및 정책 실습
IAM 정책의 JSON 을 확인한다.
정책 생성기에서 JSON 정책을 만들 수 있다.
visual editor
역할에 정책이 연결된다.
Section 4 에서 이미 다뤘던 내용이다.
134. AWS 정책 시뮬레이터
AWS Policy Simulator
https://policysim.aws.amazon.com/
https://policysim.aws.amazon.com/home/index.jsp
policysim.aws.amazon.com
시뮬레이션을 할 수 있다.
135. AWS EC2 인스턴스 메타데이터
AWS EC2 Instance Metadata
매우 강력한 기능이다
EC2 가 역할 없이 스스로 배운다?
It allows AWS EC2 instance to "learn about themselves" without using an IAM Role for that purpose.
http://169.254.169.254/latest/meta-data
aws 내의 내부 IP로 컴퓨터에서는 실행되지 않고 EC2 인스턴스에서만 실행된다.
메타 데이터에서 IAM 역할명은 검색할 수 있지만 IAM 정책은 검색할 수 없다.
IAM 정책을 테스트하는 유일한 방법은 정책 시뮬레이터나 드라이 런 옵션을 사용하는 것이다.
메타데이터 = Info about the EC2 instance
사용자 데이터 = launch script of the EC2 instance
EC2 인스턴스에서
curl http://169.254.169.254/latest/dynamic ,meta-dataa, user-data 가 뜬다
curl http://169.254.169.254/latest/meta-data/검색할 수 있는 목록이 뜬다
/ 표시가 있는 건 하위 검색 목록이 더 있다는 것을 의미한다.
중요한 건 이 검색하는 과정이 IAM 역할 권한이 없이도 가능하다는 점이다 .
... 인줄 알았으나
security-credentials/역할이름
에서 확인해보면 AccessKeyID 와
SecretAccessKey
Token을 얻는다.
보안 인증의 기간이 짧다는 것을 알 수 있다.
여러 메타 데이터를 알 수 있다.
136. AWS SDK 개요
Java, .NET와 Node.js가 있고
PHP, Python, Go, Ruby 그리고 C++ 등이 있습니다
AWS CLI 는 파이썬 SDK를 이용한다.
기본 리전을 구성하지 않으면 API 호출을 위해서 SDK 에서 us-east-1 이 기본으로 선택된다.
If you don't specify or configure a default region, then us-east-1 will be chosen by default
Quiz 10: AWS IAM, CLI & SDK 퀴즈
1. EC2 인스턴스에 호스팅된 애플리케이션이 PutObject API 호출을 사용해 S3 버킷에 객체를 업로드하려 합니다. 하지만 요구되는 권한을 가지고 있지 않은 상황입니다. 어떻게 해야 할까요?
IAM 역할은 EC2 인스턴스에 자격 증명 및 권한를 부여하기 위해 사용할 수 있는 적절한 방법입니다.
2. 여러분은 동료와 함께 API 호출을 만들어 AWS 서비스와 상호작용하는 애플리케이션을 개발하고 있습니다. 동료는 아무 문제 없이 자신의 기기에서 애플리케이션을 실행할 수 있으나, 여러분에게는 API 인증 예외 처리가 발생합니다. 어떻게 해야 할까요?
3. 관리자가 Linux EC2 인스턴스를 실행하여 여러분이 SSH를 할 수 있도록 EC2 키 쌍을 제공했습니다. EC2 인스턴스로 들어간 여러분은 EC2 인스턴스 ID를 받으려 합니다. 이를 위한 최선의 방법은 무엇인가요?
169.254.169.254 기억하자!