◇ 공부 기록용으로 작성하였으니 틀린 점, 피드백 주시면 감사하겠습니다 ◇
AMI 공유
문제: [Dev 환경 AWS계정] → [Prod 환경 AWS계정]
개발 환경의 AWS 계정에서 EC2 AMI를 개발했는데 Prod 환경에 AMI를 공유하고 싶다.
대상의 AMI는 EBS의 Snapshot으로 인해 백업되어 있다. AWS KMS를 통해 Snapshot을 암호화했다.
Dev 환경에서 Prod 환경에 AMI를 안전하게 공유하는 방법은?
- AMI를 Public 공유 설정하여, Prod의 AWS 계정만 접근 권한을 부여한다. Prod 계정으로 작성한 KMS 키를 암호화된 Snapshot이랑 연관 짓는다.
- Prod AWS 계정을 AMI의 공유계정에 추가한다. KMS 키의 사용을 Prod AWS 계정에게 허가한다.
- AMI를 Public 공유 설정하여, Prod의 AWS 계정만 접근 권한을 부여한다. KMS 키의 사용을 Prod AWS 계정에게 허가한다.
- Prod AWS 계정을 AMI의 공유계정에 추가한다. Prod 계정으로 작성한 KMS 키를 암호화된 Snapshot이랑 연관 짓는다.
- 정답. 2 -
해설: 암호화된 EBS Snapshot을 통해 백업된 AMI를 공유할 경우에는 AMI의 공유설정(launchPermission)과 Snapshot의 암호화에 사용한 KMS키의 사용 허가가 필요하다.
AMI의 공유설정(launchPermission)
AMI의 공유설정에서 공유할 AWS 계정을 추가한다.
참고자료) https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html
Snapshot의 암호화에 사용한 KMS키
KMS키의 사용허가설정에는 "Key Policy"의 대상에 AWS계정을 추가한다.
아래의 이미지에서는 123456789000라는 AWS의 root 계정에게 KMS 키의 사용을 허락하고 있다.
참고자료) https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-viewing.htm
오답: AMI를 Public 공유 설정
AMI의 Public 공유 설정을 하게 되면 Region안에 있는 모든 AWS 유저에게 공유되어 버린다.
참고자료) https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-intro.html
'클라우드(AWS) > EC2' 카테고리의 다른 글
| [AWS] key pair(키 페어)란?? 쉽게 정리 (0) | 2024.07.19 |
|---|---|
| [AWS] EC2의 Auto Scaling Group (ASG)이란? 쉽게 정리 (Scaling Policy, Termination Policy, Instance Protection) (0) | 2024.06.28 |
| [AWS] User data와 Metadata란? 쉽게 개념 정리 (0) | 2024.05.30 |
| [AWS] EC2의 남은 용량 확인하기 (0) | 2024.05.13 |
| [AWS] EC2의 Placement Group란? 쉽게 개념 정리 (Cluster, Partition, Spread 차이점 비교) (0) | 2024.03.27 |
