[ 14 ] - 보안 모니터링

1.  개념

 ➜  cognito

    ✅  AWS Cognito는 웹 및 모바일 앱에 대한 인증과 권한 부여 그리고 사용자 관리를 제공하고 기존의 아이디, 패스워드 방식 이외에도 Facebook, Amazon, Google 그리고 Apple과 같은 여러 회사의 소셜 로그인 기능을 제공하는 서비스

    ✅  Cognito는 사용자 풀(user pool)과 자격 증명 풀(identity pool)으로 구성되어 있는데, 이 둘을 조합하거나 또는 각각 별개의 형태로 사용할 수 있음

    ✅  사용자 풀 [ 사용자의 가입과 로그인을 제공하는 사용자 저장소 ], 자격 증명 풀 [ 사용자 풀에 저장된 정보를 바탕으로 로그인 또는 회원가입에 성공한 사용자에게 AWS 인프라의 여러 서비스에 대한 권한을 부여할 수 있는 서비스 ]의 두 가지 역할이 있음

 

 ➜  Managed policy

    ✅  AWS계정에 속한 (User,Group,Role)에게 연결할 수 있는 자격 증명 기반 정책

 

 ➜  Customer policy

    ✅  사용자가 자신의 AWS 계정에서 생성 및 관리하는 관리형 정책

 

 ➜  Inline policy

    ✅  User나 Group 을 생성할때 직접 Policy를 심어주는 것

    ✅  중요한 점은 User, Group, Policy는 1대1 관계여야 한다는 것

    ✅  꼭 하나의 Inline Policy는 하나의 개체에만 존재해야하며, User나 Group을 삭제하면 Inline Policy도 같이 삭제됨

 

 ➜  WIF [ Web Identity Federation ] : 제 3자 인증 토큰

    ✅  외부 ID로 GCP 단기 액세스 토큰을 발급받고 서비스 계정을 가장하여 GCP 리소스에 접속하는 개념

    ✅  WIF 풀에서 인증된 공급자만 단기 액세스 토큰이 살아있는 시간에 접속이 가능

    ✅  GCP의 WIF 풀 공급 업체는 AWS, OICD, Azure 등을 지원

 

 

 

2.  Amazon Cognito 실습

 

 

 

 

 

 ➜  사용자 풀 이름 : cognito_pool, 앱 클라이언트 이름 : cognito_app_client, 클라이언트 보안키 생성, 고급 앱 클라이언트 설정 : ALLOW_CUSTOM_AUTH 추가

 

 ➜  생성 확인

 

 

 ➜  Cognito 도메인 생성

    ✅  https://juhee23.auth.ap-northeast-3.amazoncognito.com

 

 

 ➜  앱 클라이언트 및 분석

    ✅  cognito_app_client 호스팅 UI 편집

 

 

 

 

 

 ➜  이미지 업로드

 

    ✅  client ID 복사 : 71ulk50okdmgaq426akvnr7eaf

    ✅  cognito 도메인 복사 : https://juhee23.auth.ap-northeast-3.amazoncognito.com

    ✅  주소 : https://juhee23.auth.ap-northeast-3.amazoncognito.com/login?response_type=token&client_id=71ulk50okdmgaq426akvnr7eaf&redirect_uri=https://example.com

 

 

 

 

** 참고 **

https://docs.aws.amazon.com/ko_kr/aazondynamodb/latest/developerguide/WIF.html

 

 

** 실제 적용 사례 **

https://www.youtube.com/watch?v=BqgCJzSOT2k