태그 Archives: AWS

AWS – AMI 리전 복사

AWS 에서 생성하여 운영중인 EC2 를 AMI(Amazon 머신 이미지) 를 생성하여 다른 Region 으로 복사 할 수 있다.

즉 서버 이동이 리전을 이동하여 생성할 수 있기 때문에 많이 쓰이지는 않겠지만…

 

사용된 OS 는 CentOS 7 이고 AMI 복사 및 인스턴스 시작은 문제 없이 진행이 되었다.

리전간 복사한 AMI를 이용하여 인스턴스를 시작할 경우 SSH로 로그인을 할수 없는 경우가 발생 하였다.

2018-06-18_120712

발생한 사유는 selinux 의 fcontext 가 리전간 복제 후 인스턴스를 시작할때 풀려버리는 문제가 있다.

Server refused our key

Disconnected: No supported authentication methods available.

 

정상 값 ssh_home_t

비 정상 값 default_t

 

해결 방법은 아래와 같이 해결이 가능할 것으로 보인다.

  1. 원본 서버에서 selinux 를 disabled 시킨다. ( vi /etc/sysconfig/selinux )
  2. AMI를 생성 한다.
  3. AMI를 다른 리전으로 복사 한다.
  4. 복사된 AMI를 이용하여 인스턴스를 새롭게 띄운다.
  5. selinux 를 enforcing 시킨다.

 

아울러서 복사전에 다음과 같이 authorized_keys 파일의 컨텍스트를 선언해 두는것도 도움이 될 수 있다.

 

AWS – IAM ( Identity & Access Management )

AWS – IAM 은 AWS 에서 각 사용자의 계정을 생성 하는 기능 이다.

개인 계정의 경우 딱히 필요로 한 부분은 아니지만

아마존에서 권고 하기로는 주계약 계정의 경우 최초 계정을 생성할때 사용을 하고 이후의 모든 작업은 IAM 에서 계정을 추가 하여 진행할 것을 권고 하고 있다.

아울러 MFA 인증을 사용하여 계정 보호를 할것을 권고 하고 있다.


AWS IAM ( https://console.aws.amazon.com/iam/home )

  • 접속 URL변경

접속을 하고 주 계약 계정으로 로그인을 하면 아래와 같이 IAM 대시보드를 확인할 수 있다.

빨간색 네모칸 부분이 추후에 자신이 생성한 ID들의 로그인 URL 이다. (계약번호가 노출되기 때문에 모자이크 하였음)

2018-05-23_150955

계약번호는 외우기도 어렵고 노출하는것보다는 다음 그림과 같이 변경하여 운영하는것이 좋다.

2018-05-23_151424

2018-05-23_151441

 

  • 계정 생성

사용자 추가는 아래와 같이 진행한다.

2018-05-23_151025

AWS Management Console 액세스 는 웹 브라우져로 접근하는것을 의미 한다.

즉 일반 사용자를 위한 계정은 이것을 선택 하며, 서버에서 자동화 구현을 위한 프로그램 구동방식을 생성할때 프로그래밍 방식 엑세스를 선택한다.

2018-05-23_151226

AdministratorAccess 권한을 주어 주계약 계정과 동등한 권한을 할당 한다.

2018-05-23_151254

2018-05-23_151310

마지막 화면에서 자동 생성된 비밀번호를 확인할 수 있다.

자동 생성된 패스워드는 최초에 웹 접근시에 변경하여 사용하도록 되어 있다.

2018-05-23_151324


  • IAM 생성 계정으로 로그인 ( https://enteroa.signin.aws.amazon.com/console )

2018-05-23_153947


  • 최고 관리자 권한이 있는 아이디는 MFA (멀티 팩터) 인증을 걸어 사용한다.

주계약 계정 MFA 인증을 설정하는 방법은 아래와 같다.

2018-05-23_154317

2018-05-23_154336

2018-05-23_154448

위와 같이 나온 화면을 스마트폰에서 authenticator 를 검색하여 설치 하여 추가 진행을 한다.
여기서는 Microsoft Authenticator 를 사용하였다. ( 이름을 수정할 수 있는 기능이 있어 google 보다 관리 하기 쉽다. )
인증코드 1 -> 인증코드 2 는 화면에 MFA 인증번호 6자리를 나오는 순서대로 순차 입력을 하면 다음으로 넘어갈 수 있다.

20180523_IMG_1257 20180523_IMG_1255 20180523_IMG_1258 20180523_IMG_1259 20180523_IMG_1256

2018-05-23_154611 2018-05-23_154619

 

MFA 가 등록된 뒤에 스마트폰을 잊어버리면 난감한 상황이 나오기 때문에 QR코드는 이미지 파일등으로 저장 하여 메일로 발송하여 보관 하는것이 좋다.


  • IAM 에서 생성한 계정의 MFA 등록

생성한 유져의 MFA 등록은 IAM 에서 아래와 같이 이루어 진다.

2018-05-23_160253 2018-05-23_160312