- 개요 AWS Security Token Service (AWS STS)은 global 서비스지만, 보안상 region 별로 enable을 권장 - 방법 IAM -> Account Settings -> Security Token Service (STS) -> Specific Region enable -참고 https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

- 개요 Cross region(multi region) 운영시 ECR image replication으로 여러 region에서 같은 image 사용 가능 - 설정 방법 ECR (Source Region에서 설정) >> Private Registry >> Replication >> Add rule >> Cross-region에서 대상 Region 선택 - reference https://aws.amazon.com/blogs/containers/cross-region-replication-in-amazon-ecr-has-landed https://docs.aws.amazon.com/AmazonECR/latest/userguide/registry-settings-configure.html

- 개요 fail count가 특정 횟수 이상 시 deployment state로 돌아가는데, 초기 구축은 이전 상태가 없으므로 삭제된다. - 특징1 ECS 초기 구성을 console로 할 경우 아래 설정이 Default인데, 초기 구축 특성상 deployment fail일 날 경우 특정 횟수 이상이 되면 service가 삭제된다. 따라서 아래 설정을 빼고 테스트를 권장한다. - 특징2 이 설정은 circuit breaker 뿐만 아니라 예상 치 못한 배포 실패시 무한 재시작되는 현상을 막을 수 있어서 잘 사용하면 좋을 것 같다. - 설정 Deployment failure detection >> Use the Amazon ECS deployment circuit breaker >> Rollback on ..

- 개요 기본적인 보안 가이드를 준수하려면 필수 - Cloudfront - Security policy (2023년 10월 기준) TLSv1.2_2021 - ELB - Security policy (2023년 10월 기준) ALB : ELBSecurityPolicy-TLS13-1-2-2021-06 NLB : ELBSecurityPolicy-TLS13-1-2-2021-06* - reference https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html?icmpid=docs_cf_help_panel#DownloadDistValuesOriginSSLProtocols https://d..

- 현상 ERROR: [1] bootstrap checks failed [1]: max virtual memory areas vm.max_map_count [65530] is too low, increase to at least [262144] - 해결 sysctl -a | grep vm.max_map_count vm.max_map_count = 262144

- 개요 AWS resouce tag관리를 위해 Task Definition이나 Service의 Tag를 Task도 상속 - 방법 (AWS Web Console) ECS Service "enableECSManagedTags": "True" "propagateTags": "Task Definition" "Tags xxxx" - 방법 (CLI) aws ecs describe-services --services --cluster --region --query 'services[*].propagateTags' --output text aws ecs describe-services --services --cluster --region --query 'services[*].enableECSManagedTags' -..

- 개요 AWS 사용중에 Hacking 의심이나 외부 노출이 된 계정에 AWS에서 자동으로 policy를 할당해서 추가 피해를 막고 고객 대응을 유도하는 권한 - 내용 Denies access to certain actions, applied by the AWS team in the event that an IAM user's credentials have been compromised or exposed publicly. Do NOT remove this policy. Instead, please follow the instructions specified in the support case created for you regarding this event. { "Version": "2012-10-17..

- 개요 ARN은 AWS resource의 고유 정보로 많은 CLI에서 유용하게 사용되나, S3 bucket ARN은 CLI를 통해 추출이 불가하다. - S3 bucket ARN 추출하는 법 aws s3 ls | awk '{print $3}' | sed 's/^/arn:aws:s3:::/' - ChatGPT (X)

- User-defined cost allocation tags 개인 생성한 Tag를 Cost allocation tags로 사용하기 - 방법 AWS Billing Console Cost allocation tags User-defined cost allocation tags에서 원하는 Tag 선택 (사전에 미리 생성해놔야함) Activate - 참고 tag active되는데 최대 24시간 소요 active 된 이후 비용부터 확인 가능 - reference https://docs.aws.amazon.com/ko_kr/awsaccountbilling/latest/aboutv2/activate-built-in-tags.html https://docs.aws.amazon.com/awsaccountbilling..

- CLI aws cloudtrail lookup-events --lookup-attributes AttributeKey=,AttributeValue= - attribute AccessKeyId EventId EventName EventSource ReadOnly ResourceName ResourceType Username - delete ECS service event (example) aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=DeleteService --query Events[].Resources[].ResourceName - reference https://docs.aws.amazon..