AWS Ground Rules

- Good for Security (Zero Trust) and save traffic cost

Do not use root user for commom case.
Use individual IAM user.
Use MFA for Every IAM user include root account.
Use Role not accesskey.
Separate VPC for ENV such as dev, staing, production.
Separate private and public subnets on VPC.
Use individual routing tables for private and public subnets on VPC. (NAT Gateway, Internet Gateway)
Internet traffic from AWS private subnet : EC2(Private Subnet) -> NAT Gateway (Public Subnet)
Internet traffic from AWS public subnet : Intert Gateway -> ELB(Public Subnet) -> EC2(Private Subnet)
Using AWS internal traffic routing such as s3-endpoint, internal-alb and internal DNS.
Locate the EC2, RDS, Cache on private subnet and Internet-facing ELB and bastion host ar only on Public Subnet.
Open SG rule only from SG on AWS internal traffic if you can. (ex. ELB SG -> EC2 SG)
Use non-default port for application.
Use ELB by rule set based routing.
Use Savings Plans and Rightsizing recommendations.
Use EBS GP3 volumes not GP2.
일반적인 경우에는 루트 사용자를 사용하지 마십시오.
개별 IAM 사용자를 사용합니다.
모든 IAM 사용자에 대해 MFA를 사용하여 루트 계정을 포함합니다.
액세스 키가 아닌 역할을 사용하십시오.
개발, 염색, 생산 등 ENV를 위한 별도의 VPC. VPC에서 프라이빗 서브넷과 퍼블릭 서브넷을 분리합니다.
VPC의 프라이빗 및 퍼블릭 서브넷에 개별 라우팅 테이블을 사용합니다. (NAT 게이트웨이, 인터넷 게이트웨이)
AWS 프라이빗 서브넷의 인터넷 트래픽 : EC2(프라이빗 서브넷) -> NAT 게이트웨이(퍼블릭 서브넷)
AWS 퍼블릭 서브넷의 인터넷 트래픽 : Intert Gateway -> ELB(Public Subnet) -> EC2(Private Subnet)
s3-endpoint, 내부-alb 및 내부 DNS와 같은 AWS 내부 트래픽 라우팅을 사용합니다.
프라이빗 서브넷에서 EC2, RDS, 캐시를 찾고, 퍼블릭 서브넷에서만 인터넷 연결 ELB와 배스천 호스트를 찾습니다.
가능하다면 AWS 내부 트래픽의 SG에서만 SG 규칙을 엽니다. (예: ELB SG -> EC2 SG)
애플리케이션에 기본이 아닌 포트를 사용하십시오.
규칙 세트 기반 라우팅으로 ELB를 사용하십시오.
Savings Plans 및 규모 조정 권장 사항을 사용하세요.
GP2가 아닌 EBS GP3 볼륨을 사용하세요.

 

 

- Good for High Availability

Using rds cluster writer,reader endpoint not instance endpoint.
Using Multi AZ for every AWS resources such Subnet, Nat GW, RDS, EC2, ECS and so on.
RDS 엔드포인트는 인스턴스 엔드포인트가 아닌 클러스터 엔드포인트를 사용합니다.
서브넷, Nat GW, RDS, EC2, ECS 등과 같은 모든 AWS 리소스에 다중 AZ를 사용합니다.