1. Amazon VPC Flow Logs 구성
이번 실습은 Amazon VPC Flow Logs를 구성하고 트래픽을 확인하는 간단한 실습입니다.
Amazon VPC Flow Logs를 구성하기 위한 설정을 마치고 기본 VPC에 활성화 후 테스트합니다.
1.1. IAM 정책 및 역할 생성
Amazon VPC Flow Logs가 특정 AWS 자원 관리할 수 있는 권한 위임을 위해 IAM 정책과 역할이 필요합니다.
IAM 정책 생성
•
IAM 서비스 → 액세스 관리 → 정책 (메뉴 진입) → 정책 생성 (버튼 클릭)
1단계 - 권한 지정
◦
정책 편집기: JSON (선택) → 아래 입력
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
JSON
복사
# IAM 정책 구성 - JSON
◦
다음 (버튼 클릭)
2단계 - 검토 및 생성
◦
정책 이름: CNANI-FlowLogs (입력)
◦
정책 생성 (버튼 클릭)
IAM 역할 생성
•
IAM 서비스 → 액세스 관리 → 역할 (메뉴 진입) → 역할 생성 (버튼 클릭)
1단계 - 신뢰할 수 있는 엔터티 선택
◦
신뢰할 수 있는 엔터티 유형: 사용자 지정 신뢰 정책 (선택)
◦
사용자 지정 신뢰 정책: 아래 입력
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
JSON
복사
◦
다음 (버튼 클릭)
2단계 - 권한 추가
◦
검색: CNANI (입력)
◦
선택: CNANI-FlowLogs (체크)
◦
다음 (버튼 클릭)
3단계 - 이름 지정, 검토 및 생성
◦
역할 이름: CNANI-FlowLogs-Role (입력)
◦
역할 생성 (버튼 클릭)
1.2. CloudWatch 로그 그룹 생성
Amazon VPC Flow Logs를 게시하기 위한 CloudWatch 로그 그룹을 생성합니다.
CloudWatch 로그 그룹 생성
•
CloudWatch 서비스 → 로그 → 로그 그룹 (메뉴 진입) → 로그 그룹 생성 (버튼 클릭)
◦
로그 그룹 이름: CNANI-LogGroup (입력)
◦
생성 (버튼 클릭)
1.3. Amazon VPC Flow Logs 생성 및 확인
VPC Flow Logs 생성
•
VPC 서비스 → VPC (메뉴 진입) → 기본 VPC (선택)
◦
작업 → 플로우 로그 생성 (선택)
▪
이름: CNANI-FlowLog (입력)
▪
필터: 모두 (선택)
▪
최대 집계 간격: 1분 (선택)
▪
대상: CloudWatch Logs로 전송 (선택)
▪
대상 로그 그룹: CNANI-LogGroup (선택)
▪
서비스 역할: CNANI-FlowLogs-Role (선택)
▪
플로우 로그 생성 (버튼 클릭)
EC2 인스턴스 생성
•
EC2 서비스 → 인스턴스 (메뉴 진입) → 인스턴스 시작 (버튼 클릭)
◦
이름: TEST-EC2
◦
Amazon Machine Image(AMI): Amazon Linux 2023 AMI
◦
인스턴스 유형: t2.micro or t2.nano
◦
키 페어 이름 - 필수: 생성한 키 페어 선택
◦
나머지 기본 값 유지
◦
인스턴스 시작 (버튼 클릭)
다음 단계를 진행하기 위해 세부 정보 → 퍼블릭 IPv4 주소를 복사하고, 인스턴스에 SSH 접근을 수행합니다.
EC2 인스턴스에서 통신 수행
ping 8.8.8.8
Bash
복사
# 8.8.8.8로 ping 테스트 (연속)
CloudWatch 로그 확인
•
CloudWatch 서비스 → 로그 → 로그 그룹 (메뉴 진입)
◦
로그 스트림: 대상 로그 스트림 (클릭)
▪
이벤트 필터링: 8.8.8.8 (입력)
2. Amazon VPC Flow Logs 삭제
간단하게 Amazon VPC Flow Logs를 구성하고 통신 패킷을 확인해 보았습니다.
이제 실습에 사용한 자원을 삭제하겠습니다.
EC2 인스턴스 삭제
•
EC2 서비스 → 인스턴스 (메뉴 진입) → TEST-EC2 선택 (체크)
◦
인스턴스 상태 → 인스턴스 종료 (선택)
VPC Flow Logs 삭제
•
VPC 서비스 → VPC (메뉴 진입) → 기본 VPC (선택)
◦
플로우 로그 (탭 진입) → 대상 플로우 로그 선택 (체크)
▪
작업 → 플로우 로그 삭제 (선택)
▪
삭제 (입력) → 삭제 (버튼 클릭)
CloudWatch 로그 그룹 삭제
•
CloudWatch 서비스 → 로그 → 로그 그룹 (메뉴 진입)
◦
CNANI-LogGroup 선택 (체크) → 작업 → 로그 그룹 삭제 (선택)
◦
삭제 (버튼 클릭)
IAM 역할 삭제
•
IAM 서비스 → 액세스 관리 → 역할 (메뉴 진입)
◦
CNANI-FlowLogs-Role 선택 (체크)
◦
삭제 (버튼 클릭)
◦
CNANI-FlowLogs-Role (입력) → 삭제 (버튼 클릭)
IAM 정책 삭제
•
IAM 서비스 → 액세스 관리 → 정책 (메뉴 진입)
◦
검색: CNANI (입력)
◦
CNANI-FlowLogs (선택) → 삭제 (버튼 클릭)
▪
CNANI-FlowLogs (입력) → 삭제 (버튼 클릭)
여기까지 3장 - Amazon VPC Flow Logs 구성 실습을 마칩니다.
수고하셨습니다 :)