[ISMS] AWS WorkSpaces Pools + Okta SAML 세부 구성 가이드 (2편)

ISMS 인증심사를 위한 망분리를 위해 WorkSpaces Pools를 구성한 과정을 단계별로 정리했다. Okta SAML SSO 연동, non-persistent Pool, 커스텀 이미지(Chrome 기본)까지 포함한다.개요목적: ISMS 인증심사 대응 망분리. 개인정보 접근 환경을 일반 업무망과 분리한 전용 WorkSpaces Pool 구성사전 준비: 리전(예: ap-northeast-2), VPC(Private 서브넷 2개, NAT), Okta Admin 권한, AWS IAM·WorkSpaces 콘솔 접근관련 글: 구성기 (1편)에서 WSP, 트러블슈팅 확인. 1편 먼저 읽기 권장.[일반 업무망] [개인정보 접근 전용망] 사용자 PC ···············..

[ISMS] AWS WorkSpaces Pools + Okta SAML + 커스텀 이미지 구성기 (1편)

ISMS 인증심사를 위한 망분리가 목적이었다. 개인정보를 다루는 내부 관리 페이지 접속을 일반 업무망과 분리하고, WorkSpaces Pools로 전환하면서 Okta SSO 연동과 Chrome 기본 설치 커스텀 이미지를 구성했다. 이 과정에서 겪은 것들을 정리해봤다.개요목적: ISMS 인증심사 대응 망분리. 개인정보 접근 환경을 일반 업무망과 분리구성: WorkSpaces Pools (non-persistent), Okta SAML, 커스텀 이미지 (Chrome 기본)접속 흐름: Okta 앱 클릭, SAML 인증, Pool 세션 할당, 내부 페이지 접속관련 글: 세부 구성 가이드 (2편)에서 Step 1-12 절차 확인망분리 구조일반 업무망에서는 admin 페이지에 직접 접근할 수 없고, Okta 인증 ..

Aurora MySQL 대용량 테이블 DROP COLUMN

Aurora MySQL 대용량 테이블 DROP COLUMN, 두 번 실패 후 성공한 기록수억 행, 200GB가 넘는 테이블에서 컬럼을 제거해야 할 때가 있다. ALTER TABLE DROP COLUMN은 단순해 보이지만, 테이블 규모가 크면 예상보다 훨씬 오래 걸리고, 리소스 부족으로 실패하기도 한다. 이번에는 두 번 실패한 뒤 세 번째 시도에서 성공한 과정을 정리해봤다.배경: 왜 컬럼을 제거했나개인정보 보호를 위해 기존 평문 컬럼을 제거하고, 암호화된 컬럼만 남기는 작업이었다. 대상 테이블은 감사(audit) 로그용으로, 수억 행에 200GB 이상의 데이터와 인덱스를 가지고 있었다.1차 시도: 일괄 DROP – 실패첫 시도는 3개 컬럼을 한 번에 제거하는 방식이었다.ALTER TABLE target_t..

MongoDB 디스크 공간 정리 (compact 작업 정리) MongoDB에서 WiredTiger 스토리지 엔진을 사용할 때 삭제된 데이터로 인해 **디스크 공간 단편화(fragmentation)**가 발생할 수 있다. 이때 compact 명령어를 사용해 스토리지를 정리할 수 있다.1. Secondary 노드 직접 접속compact는 Primary가 아닌 Secondary 노드에서 실행해야 하므로,특정 노드에 직접 접속할 수 있도록 directConnection 옵션을 사용한 connection string을 사용한다.Compass를 사용해서 작업하면 한결 수월하다.(민감 정보 제거 예시)mongodb://:@:27017/?replicaSet=&directConnection=true&tls=true예시m..

개요Bitwarden을 처음 사용하거나 이전에 어렴풋이 사용했던 상황에서 로그인할 경우 에러가 나는 경우가 종종 있다. 패스워드가 틀렸거나 확인이 안되는 등 다양한 상황에서 제일 강력한 해결 방법중에 하나 해결https://vault.bitwarden.com/#/recover-delete 여기서 내 이메일 계정을 삭제하면 해결되는 경우가 있다. 참고https://vault.bitwarden.com/#/recover-delete

개요Bitwarden enterprise를 사용할 경우 admin이나 owner가 아닌 계정은 my vault (내 보관함)이 안 보인다 해결Owner 계정으로 로그인해서 Policies 에서 Enforce organization data ownership 을 off 하면 일반 계정에서 내 보관함이 확인 된다. 참고https://bitwarden.com/help/policies/#enforce-organization-data-ownership

개요ECR image Scanning을 할 때 지원이 안한다는 메세지와 함께 멈추는 경우가 있다.[ECR] [Scanning]: Ubuntu 24.04 not supported 방법Features & Settings >> Scanning >> Opt in >> Scan Type (Enhanced) 참고https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-basic.htmlhttps://github.com/aws/containers-roadmap/issues/2434https://docs.aws.amazon.com/inspector/latest/user/supported.html#w123aac53c15

개요CloudFront alias로 Route53에서 HTTPS DNS record를 지원 (2025년 7월 1일)https://aws.amazon.com/ko/blogs/networking-and-content-delivery/boost-application-performance-amazon-cloudfront-enables-https-record/ 장점DNS 쿼리 비용 절감DNS RTT 절감HTTPS 바로 시작 적용방법1. CloudFront HTTP/2, HTTP/3 enable2. Route53 a record alias CloudFront 생성3. Route53 HTTPS record alias CloudFront 생성 확인방법### MAC 기본 유틸 dig# dig -vDiG 9.10.6# d..

1. 사용하지 않고 Disable 되어 있는 리전에는 CloudWatch LogGroup이 안 생기는가? - Disable 된 리전에는 CloudWatch LogGroup이 생성되지 않음. - 이는 Disable 가능한 리전에는 REC(Regional Edge Cache) 가 없기 때문. - Lambda@Edge는 엣지 로케이션에서 가장 가까운 REC가 있는 리전에서 실행되며, 해당 리전에 로그 그룹이 생성. - 참고로 REC가 있는 리전은 Disable이 불가능한 리전이기 때문에, 실제 로그가 생성되는 리전은 항상 활성화.2. 그 외 활성화된 리전은 전부 Retention 을 1days로 적용해서 로그 관리 및 비용 관리중입니다. 그러면 근본적으로 Lambda Edge의 Loggroup을 생기지 않게 ..

개요git checkout을 하는 과정에서 github actions이나 git cli를 사용할 때 아래와 같은 에러가 발생하는 경우상황could be both a local file and a tracking branch.원인'git checkout'을 통해 branch를 변경할 경우 명시적인 명령어 'git switch' 를 추천한다참고https://git-scm.com/docs/git-switch