Target State Target state Shows the state of the route. (ex. active, blackhole) BlackHole Above state indicates that the route's target isn't available (for example, the specified gateway isn't attached to the VPC, or the specified NAT instance has been terminated). In this case, the target is IGW. then, the reason of this situation is that the IGW isn't attached to the VPC.) Res..
Amazon DNS 서버 Amazon DNS 서버는 Route53 프라이빗 호스팅 영역에서 지정하는 DNS 도메인 이름을 확인하는 데에 사용합니다. Amazon에서는 VPC용 DNS를 제공하며, 자체 DNS 서버를 사용하기 위해선 VPC에 대해 새로운 DHCP option sets를 생성하여 연결하여야합니다. 새로운 DHCP 옵션 세트 연결하는 법 Amazon DNS Resolver Route53 Resovler란 aws 리전 내의 각 가용 영역에 내장된 DNS Resolver 서비스입니다. Route53 Resolver는 169.254.169.253, fd00:ec2::253, VPC CIDR에서 3번째(기본 프라이빗 IPv4 CIDR 범위에 2를 더한 범위)에 있으며, 위 주소를 통해 Amazon D..
시나리오 전세계를 대상으로 웹 서비스를 제공하고 있는 기업에서 CF를 CDN으로 사용하고, 백엔드 서버는 ALB 뒤에 존재합니다. 사용자는 CF 사용자 지정 도메인으로 service.example.com을 사용하며, CF origin은 service-alb.example을 도메인으로 사용하는 ALB입니다. 기업의 보안 정책에 따라, 사용자와 백엔드 간의 전송되는 모든 트래픽은 암호화되어야합니다. 딱히 복잡하지 않은 시나리오이다. 사용자 -> CF, CF -> ALB, ALB -> EC2 간의 통신이 모두 SSL/TLS로 요청을 전송하도록 구성하면된다. User -> CF간 전송 암호화 CF로 들어오는 요청은 ACM을 사용하여 service.example.com에 대한 인증서를 생성하고, 이 사용자 지정 ..
기본적으로 S3의 리소스에 접근하는 것은 AWS 계정이지만, 버킷 정책을 적용하여 특정 위치의 웹사이트에서 접근할 수 있도록 설정할 수 있습니다. 아래는 aws Docs에 표시된 HTTP referer policy 입니다. "Version":"2012-10-17", "Id":"HTTP referer policy example", "Statement":[ { "Sid":"Allow only GET requests originating from www.example.com and example.com.", "Effect":"Allow", "Principal":"*", "Action":["s3:GetObject","s3:GetObjectVersion"], "Resource":"arn:aws:s3:::DOC-E..
AWS Organizations란? 여러 aws 계정(루트, iam 포함)을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스. 계정 관리 및 통합 결제 기능을 지원하며, 기업의 예산, 보안 및 규정 준수 요구 사항 준수에 도움을 줄 수 있음. 조직 관리자로써 기존 계정 초대 또한 가능함. 모든 AWS 계정의 중앙 집중식 관리 기존 계정을 하나의 조직으로 결합해 중앙에서 계정을 관리할 수 있음. 모든 멤버 계정에 대한 통합 결제 통합 결제에서 관리 계정은 조직에 속한 멤버 계정의 결제 정보, 계정 정보 및 계정 활동에 엑세스할 수도 있으며 이를 통해 Cost Explorer와 같은 서비스를 활용할 수도 있음. 예산, 보안, 규정 준수 필요 충족을 위한 계정의 계층적 그룹화 계정을 조직 단위(OU..
기본 제가 작성한 서버에서는 클라이언트(FE)로부터 파일을 직접 받아서 s3에 업로드하는 방식을 사용했습니다. 하지만 이러한 방식에서는 많은 요청이 입력될 경우 부하가 발생할 수 밖에 없습니다. 때문에 이 문제를 해결하고자 기존 방식에서, FE가 BE를 거치지 않고 직접 S3에 파일을 업로드할 수 있도록 수정하였습니다. 추가적인 S3 upload Diagram 첨부합니다. 기존 S3upload 과정 PresignedURL upload 과정 위와 같이 처리함으로써 비정상적인 파일의 서버 업로드시 발생할 수 있는 위협 제거와 불필요한 네트워크 비용을 획기적으로 줄일 수 있습니다. 기존 UploadAttachment.kt @Async override fun uploadAttachment(request: Gen..
