ENV 단위로 AWS 계정 분리
> prod, stg, dev
> AWS 계정별로 비용 관리, 리소스 쿼터, 보안 분리, 운영환경 최적화 등
계정 네이밍
> aws-public-chain+{{project명}}-{{ENV}} (ENV가 없으면 기본 PROD 환경)
> aws-public-chain+infradev
> aws-public-chain+infraprod
AWS Resource 의 효율적인 관리 및 자산파악을 위해 Naming 및 Tag 규칙을 마련
| 구분 |
종류 |
설명 |
| {{project_name}} |
project 이름 |
대분류 서비스 이름이나 프로젝트 이름 |
| {{environment}} |
prod/beta/dev/sandbox |
stage 단계 |
| {{az}} |
1a,2a,1b,2b,1c,2c |
가용영역 |
| {{sequence_number}} |
01,02,03,XX |
오토스케일등 증설등에 대한 일련번호 |
Resource 별 Naming 규칙
네트워크 관련
- VPC {{project_name}}-{{environment}}-vpc
- infra-prod-vpc
- infratest-dev-vpc
- Subnet {{project_name}}-subnet-{{zone_name}}-{{az}}{{sequence_number}}
- infra-prod-dbzone-1a
- infra-prod-publiczone-1a
- infra-dev-etczone-2c
- infra-prod-dmzzone-2a
- Security Group
- 리소스 기반 {{project_name}}-{{environment}}-{{resource_name}}-sg
- infra-prod-elbhttp-sg
- infratest-dev-nfs-sg
- 서브넷 기반 {{project_name}}-{{environment}}-{{zone_subnet_name}}-sg
DR을 위해 동일한 역할을 하는 multi-AZ 가 있을대 동일 sg 사용을 원칙으로 한다
- NACL {{project_name}}-{{environment}}-nacl
리소스 관련
- AMI {{ami_name}}-{{environment}}-{{date(YYYYMMDD}}-{{version}}
- albertcentos-dev-20220110-1.0
- nexsusamlinux-prod-20211231-2.0
- S3 {{project_name}}-{{environment}}-{{bucket_name}}
- dataplatform-beta-staticweb
- infra-prod-webpage
- EC2 {{project_name}}-{{environment}}-{{role}}{{sequence_number}}
- dataplatform-dev-web01
- infra-prod-nexus02
- EKS {{cluster_name}}-{{environment}}-{{sequence_number}}
- ElasticCache {{cache_name}}-{{environment}}-{{cache_type}}
- RDS {{db_name}}-{{environment}}-{{db_type}}
IAM 관련
- Role {{role_name}}-{{role_purpose}}-role
- api-execution-role
- web-s3access-role
- Group {{group_name}}-{{group_purpose}}
- dataplatform-developer
- infra-admin
- Resource Access User {{project_name}}-{{resource_name}}-access
- dataplatform-ec2_s3-access
Tag 명명 기본규칙
- 패스워드등 민감한 정보는 태그에 저장 금지
- 각 리소스당 최대 50개 태그를 생성 가능
- Tag 키의 길이는 최소 1자 ~ 최대 127 자의 UTF-8 형식 유니코드 허용
- Tag 값의 최소 0 ~ 최대 255 자의 UTF-8 형식 유니코드 혀용
- Tag 키와 값은 대 소문자를 구분한다.
- 리소스당 Tag 키는 고유 해야 한다.
- “aws:” 로 시작되는 Tage는 AWS 가 사용하도록 예약되어 있으므로 사용하지 말아야 한다.
Type
| Tag 종류 |
예시 |
설명 |
| Name |
infra-prod-vpc |
위에 Resource Name |
| Team |
infrateam |
담당팀 또는 조직 |
| Environment |
dev/beta/sandbox/prod |
stage |
| Project |
dataplatform |
프로젝트 이름 |
| Owner |
albert |
생성자 또는 리소스 관리자 |
| Service |
web/was/cache/db/vpn/storage/cdn/email/network/security/bigdata/vpc/sg |
서비스 종류 |
| Application |
nginx/php-fpm/redis/mysql/grafana/apache/tomcat |
올라가는 어플리케이션 종류 |
AWS Organization
> 정보보안에서 마련한 SSO 구성 및 OU/SCP 보안 정책 구성 ?
인스턴스 IMDSv2