Monday, December 9, 2024

NAT Gateway

 NAT Gateway je potpuno upravljani AWS servis koji omogućava instancama u privatnim subnetima u Amazon VPC-u da uspostave izlazne veze ka Internetu ili drugim AWS servisima, ali sprečava da iniciraju dolazne veze iz Interneta. NAT Gateway omogućava siguran, skalabilan i visoko dostupan način za upravljanje mrežnim izlaznim saobraćajem.

Ključne karakteristike NAT Gateway:

  1. Jednosmerna komunikacija:

    • NAT Gateway omogućava instancama u privatnim subnetima da pristupaju Internetu (na primer, za preuzimanje softverskih ažuriranja), ali blokira sav ulazni saobraćaj sa Interneta.

  2. Visoka dostupnost:

    • Kada kreirate NAT Gateway, on se automatski postavlja u Availability Zone (AZ) gde je kreiran i koristi redundantnu infrastrukturu za visoku dostupnost unutar te zone.

  3. Skalabilnost:

    • NAT Gateway automatski skalira kako bi obradio količinu mrežnog saobraćaja koji mu je dodeljen, pružajući dosledne performanse bez potrebe za ručnim prilagođavanjem.

  4. Sigurnost:

    • NAT Gateway koristi security groups i network ACLs iz privatnih subnets-a da kontroliše saobraćaj, ali ne prihvata direktne dolazne veze sa Interneta.

  5. Podrška za Elastic IP:

    • NAT Gateway zahteva dodeljivanje Elastic IP address kako bi se omogućila komunikacija sa Internetom.

  6. Integracija sa VPC Route Tables:

    • Za korišćenje NAT Gateway-a, morate konfigurirati route table privatnih subnets-a tako da sav izlazni saobraćaj (0.0.0.0/0) ide prema NAT Gateway-u.

Kada se koristi NAT Gateway?

  1. Privatni subneti:

    • Ako imate EC2 instance u private subnet-u i želite da one pristupaju Internetu (na primer, za preuzimanje ažuriranja ili komunikaciju sa AWS servisima), NAT Gateway je idealno rešenje.

  2. Siguran izlazni saobraćaj:

    • NAT Gateway omogućava instance u privatnim subnetima da ostanu izolovane od dolaznog saobraćaja sa Interneta, čime se poboljšava sigurnost.

  3. Zamena za NAT Instance:

    • NAT Gateway pruža istu funkcionalnost kao tradicionalna NAT instanca, ali je skalabilniji, lakši za upotrebu i ne zahteva održavanje.

Kako se koristi NAT Gateway?

1. Kreiranje NAT Gateway-a:

  • Idite na AWS Management Console → VPC Dashboard → NAT Gateways → Create NAT Gateway.
  • Odaberite subnet u kojem želite da postavite NAT Gateway. (Obično je to public subnet jer NAT Gateway zahteva pristup Internet Gateway-u.)
  • Dodelite Elastic IP adresu NAT Gateway-u.

2. Ažuriranje Route Table-a:

  • Idite na Route Tables i izaberite tabelu koja je dodeljena privatnim subnetima.
  • Dodajte rutu za izlazni saobraćaj (0.0.0.0/0) i postavite kao "Target" kreirani NAT Gateway.

3. Testiranje:

  • Pokrenite instancu u privatnom subnetu i proverite da li može da pristupi Internetu (na primer, putem curl komande prema javnom URL-u).

Primer upotrebe:

Scenarij:

  • Imate EC2 instance u privatnom subnetu koje treba da preuzmu ažuriranja sa Interneta.

Rešenje:

  1. Kreirajte NAT Gateway u public subnet-u.
  2. Dodajte rutu u route table privatnog subneta koja usmerava sav izlazni saobraćaj ka NAT Gateway-u.
  3. Instance u privatnom subnetu sada mogu pristupati Internetu preko NAT Gateway-a, ali ne mogu primati dolazne veze sa Interneta.

Razlika između NAT Gateway-a i NAT Instance-a:

KarakteristikaNAT GatewayNAT Instance
UpravljanjePotpuno upravljan od AWS-aRučno upravljanje od strane korisnika
SkalabilnostAutomatski se skaliraMora se ručno skalirati (povećanje veličine instance)
Visoka dostupnostAutomatski redundantanPotrebno je ručno konfigurirati redundanciju
PerformanseBolje performanseZavisi od instance tipa i opterećenja
TroškoviVeći troškovi u poređenju sa NAT Instance-om za male mrežeManji troškovi za male mreže
at No comments:
Labels:

AWS Elastic IP Address

 AWS Elastic IP Address (EIP) je statička IPv4 adresa dodeljena korisnicima AWS-a, koja je vezana za njihov AWS nalog i može biti dodeljena resursima unutar Amazon VPC (Virtual Private Cloud). Elastic IP je dizajniran da bude fleksibilan i omogućava korisnicima da dodeljuju i ponovo dodeljuju IP adrese EC2 instancama ili drugim resursima u AWS-u, čak i ako se instance ili resursi pomeraju ili restartuju.

Glavne karakteristike Elastic IP Address:

  1. Statička IP adresa:

    • Elastic IP je statička, što znači da ostaje ista čak i kada je resurs (npr. EC2 instanca) pokrenut ili zaustavljen, ili ako se promeni ili migrira u različite Availability Zone. Ovo omogućava bolju kontrolu nad adresiranjem i povezivanjem sa spoljnim svetom.

  2. Fleksibilnost:

    • Elastic IP može biti vezan za bilo koju EC2 instancu u VPC-u, a može se lako promeniti i dodeliti novoj instanci ako je potrebno. Ovo omogućava korisnicima da održavaju stalnu IP adresu i upravljaju saobraćajem koji dolazi prema njihovim resursima, bez potrebe za promenom konfiguracija saobraćaja (kao što je DNS ili firewall).

  3. Javni pristup:

    • Elastic IP adresa omogućava javni pristup EC2 instanci ili drugim resursima unutar VPC-a. Ako želite da vaš resurs bude dostupan sa Interneta, dodela Elastic IP adresu vašem EC2 serveru omogućava stabilan pristup spoljnim korisnicima i servisima.

  4. Nezavisnost od instanci:

    • Elastic IP je vezan za AWS nalog, što znači da čak i ako se EC2 instanca zaustavi ili pokrene ponovo, Elastic IP ostaje vezan za nalog, i možete ga ponovo dodeliti novoj instanci ako je potrebno. Ovo je korisno za visoku dostupnost i failover scenarije.

  5. Bezbednost i pristup:

    • Kao i druge IP adrese u AWS-u, Elastic IP se koristi u kombinaciji sa security groups i network ACLs za kontrolu pristupa. Možete definisati pravila koja kontrolišu koji saobraćaj može da pristupi vašoj Elastic IP adresi (npr. dopuštanje samo HTTP ili HTTPS saobraćaja).

  6. **Povezivanje sa Internet Gateway:

    • Elastic IP se često koristi zajedno sa Internet Gateway za omogućavanje EC2 instanci da komuniciraju sa Internetom. Kada dodelite Elastic IP instanci u public subnet-u, ta instanca postaje direktno dostupna sa Interneta.

Kako koristiti Elastic IP Address:

  1. Kreiranje Elastic IP adrese:

    • U AWS Management Console-u, možete kreirati Elastic IP putem VPC Dashboard i odabrati opciju Allocate Elastic IP address. To će dodeliti novu statičku IPv4 adresu vašem AWS nalogu.

  2. Dodela Elastic IP-a EC2 instanci:

    • Kada ste kreirali Elastic IP, možete ga dodeliti EC2 instanci u public subnet-u. To omogućava instanci da bude dostupna sa Interneta koristeći stabilnu IP adresu.

  3. Ponovno dodeljivanje Elastic IP-a:

    • Ako želite da promenite instancu koja koristi Elastic IP, možete lako ponovo dodeliti tu IP adresu drugoj instanci. Ovo omogućava visoku dostupnost i failover mogućnosti jer se IP adresa može brzo preusmeriti sa jedne instance na drugu.

  4. Oslobađanje Elastic IP-a:

    • Ako Elastic IP više nije potreban, možete ga osloboditi i prestati da ga koristite, što omogućava oslobađanje resursa. Ipak, AWS naplaćuje Elastic IP adrese koje nisu u upotrebi ili koje nisu vezane za radnu instancu, pa je preporučljivo da ih oslobodite kada nisu potrebne.

  5. Korišćenje u failover scenarijima:

    • Elastic IP može biti koristan za failover ili visoku dostupnost, jer se može brzo preusmeriti sa jedne instance na drugu u slučaju kvara ili kada je potrebno da prebacite saobraćaj na drugu instancu.

Prednosti Elastic IP Address:

  • Stabilnost i fleksibilnost: Elastic IP adresa daje stabilnu, statičku adresu za resurse u AWS-u, koja se može promeniti ili preusmeriti prema potrebi.
  • Visoka dostupnost: Mogućnost prebacivanja Elastic IP-a na drugu instancu omogućava brz oporavak u slučaju kvara.
  • Povezanost sa spoljnim svetom: Elastic IP je ključan za omogućavanje pristupa EC2 instancama sa Interneta, posebno u slučajevima kada je potrebno koristiti javnu IP adresu.

Troškovi Elastic IP:

  • Dodela i korišćenje: Elastic IP je besplatan dok je dodeljen aktivnoj EC2 instanci koja koristi tu IP adresu za pristup spoljnim resursima.
  • Neaktivnost: Ako Elastic IP nije dodeljen nijednoj instanci ili nije u upotrebi, AWS naplaćuje naknadu za njegovo održavanje. Zbog toga je važno da oslobodite Elastic IP kada ga ne koristite.

Zaključak:

Elastic IP Address je korisna AWS funkcionalnost koja omogućava korisnicima da dodeljuju statičke, javne IP adrese njihovim instancama u Amazon VPC-u, omogućavajući im stabilan i fleksibilan pristup sa Interneta. Elastic IP je idealan za aplikacije koje zahtevaju javni pristup, kao i za scenarije visoke dostupnosti i failover.

at No comments:
Labels:

AWS Route Table

 Route Table (ruter tabela) u okviru Amazon VPC (Virtual Private Cloud) je skup pravila (ruta) koji određuju kako se saobraćaj usmerava između različitih mrežnih entiteta unutar VPC-a ili između VPC-a i spoljnog sveta (na primer, Internet ili on-premises mreže). Rute u tabelama definišu putanje koje saobraćaj treba da prati kako bi došao do odredišta, i omogućavaju pravilno usmeravanje podataka kroz mrežnu infrastrukturu AWS-a.

Ključne karakteristike Route Table:

  1. Usmeravanje saobraćaja:

    • Route table omogućava usmeravanje saobraćaja sa jednog kraja na drugi unutar AWS infrastrukture. Na primer, saobraćaj između različitih subnets-a u VPC-u ili saobraćaj sa VPC-a prema Internetu ili drugim VPC-ovima.

  2. Rute:

    • Rute su definisane u obliku parova destinacija i izlazne tačke (npr. sledeći hop). Ruta se sastoji od dve komponente:
      • Destinacija: CIDR blok adresa (npr. 0.0.0.0/0 za sav saobraćaj prema Internetu).
      • Izlazna tačka (next hop): Mesto na koje saobraćaj treba da ide. To može biti Internet Gateway, NAT Gateway, VPC peering, Virtual Private Gateway ili drugi resursi.

  3. Vrste ruta:

    • Default route: Rute koje upućuju saobraćaj ka Internet Gateway za destinaciju 0.0.0.0/0 (to je ruter za sav saobraćaj prema Internetu).
    • VPC peering: Rute koje omogućavaju komunikaciju između dva različita VPC-a koji su povezani putem VPC peering-a.
    • VPN ili Direct Connect: Rute koje omogućavaju komunikaciju između VPC-a i on-premises mreže preko VPN ili Direct Connect veze.

  4. Podmreže i Route Tables:

    • Svaka subnet u VPC-u je povezana sa određenom route table. To znači da saobraćaj unutar određene podmreže (npr. public subnet) može biti usmeren prema Internet Gateway-u, dok saobraćaj iz private subnet-a može biti usmeren prema NAT Gateway-u za izlazni saobraćaj.

  5. Privatne i javne rute:

    • Public subnet-i imaju rutu koja upućuje sav saobraćaj ka Internet Gateway, što omogućava resursima u toj podmreži da komuniciraju sa Internetom.
    • Private subnet-i nemaju direktnu rutu ka Internet Gateway i obično koriste NAT Gateway ili NAT Instance za izlazne veze sa Internetom.

  6. Specijalne rute za pristup resursima u drugim VPC-ovima:

    • VPC peering omogućava rute koje omogućavaju međusobnu komunikaciju između dva VPC-a, dok VPN ili Direct Connect omogućavaju rute koje omogućavaju povezivanje VPC-a sa on-premises mrežama.

  7. Default Route Table:

    • Svaka VPC ima podrazumevanu rutu tabelu koja je dodeljena svim podmrežama u VPC-u prilikom kreiranja. Ova tabela sadrži osnovne rute, uključujući rutu za komunikaciju sa Internet Gateway (ako je postavljen) i rutu za lokalnu komunikaciju unutar VPC-a.

Kako funkcioniše Route Table?

  • Kada instanca unutar VPC-a pokušava da komunicira sa resursima van svog VPC-a (na primer, pristupanje Internetu ili drugim VPC-ovima), route table određuje gde treba da ide saobraćaj.
  • Na primer, ako EC2 instanca u public subnet-u treba da pristupi web stranici na Internetu, ruter tabela će imati rutu sa destinacijom 0.0.0.0/0 koja upućuje ka Internet Gateway, omogućavajući instanci da pošalje saobraćaj ka Internetu.

Kako se koristi Route Table?

  1. Kreiranje i modifikacija rute:

    • U AWS Management Console-u, možete kreirati ili modifikovati route table. Ovo je obično potrebno prilikom postavljanja novih subnets, dodavanja novih ruta za pristup Internetu ili kada postavljate VPC peering ili VPN konekcije.

  2. Dodeljivanje route table-a subnets:

    • Svaka podmreža u VPC-u mora biti dodeljena tačno jednoj ruti tabeli. Kada se podmreža dodeli određenoj tabeli, sve instance u toj podmreži će koristiti rute definisane u toj tabeli.

  3. Dodavanje novih ruta:

    • Rute se mogu dodavati za specifične destinacije, kao što su lokalne mreže (za VPC peering ili VPN), Internet Gateway (za javni saobraćaj) ili NAT Gateway (za privatni saobraćaj).

  4. Upotreba sa specifičnim uslugama:

    • NAT Gateway: Ako imate private subnet i želite omogućiti pristup sa Internetom, morate dodati rutu u route table koja upućuje sav saobraćaj prema NAT Gateway.
    • VPC Peering: Ako želite omogućiti komunikaciju između dva VPC-a, treba da dodate rutu koja upućuje saobraćaj iz jednog VPC-a ka drugom putem VPC peering veze.

Primer konfiguracije Route Table:

  • Public subnet: Ruta ka Internet Gateway-u (rutu 0.0.0.0/0 postavljate ka Internet Gateway).
  • Private subnet: Ruta ka NAT Gateway-u (rutu 0.0.0.0/0 postavljate ka NAT Gateway).

Zaključak:

Route Table je ključna komponenta za usmeravanje saobraćaja u AWS VPC-u. Ona omogućava korisnicima da precizno definišu kako saobraćaj teče između subnets-a, drugih VPC-ova, Interneta i drugih spoljnog resursa, čime se omogućava pravilan rad aplikacija u oblaku.

at No comments:
Labels:

Internet Gateway

 Internet Gateway (IGW) je resurs u Amazon VPC (Virtual Private Cloud) koji omogućava komunikaciju između VPC-a i Interneta. Internet Gateway se koristi za omogućavanje dvosmernog saobraćaja između resursa unutar VPC-a (kao što su EC2 instance) i spoljnog sveta. To znači da resursi u public subnet-ima mogu da šalju i primaju saobraćaj sa Interneta putem Internet Gateway-a.

Glavne karakteristike Internet Gateway-a:

  1. Dvosmerna komunikacija: IGW omogućava resursima unutar VPC-a da komuniciraju sa spoljnim svetom (Internetom), i obrnuto, omogućavajući pristup spoljnim korisnicima vašim resursima, kao što su web serveri.

  2. Javna IP adresa: Internet Gateway omogućava pristup resursima sa public IP adresama ili Elastic IP adresama. Resursi u private subnet-ima, koji nemaju direktan pristup Internetu, mogu koristiti NAT Gateway ili NAT Instance kako bi imali izlazne veze sa Internetom.

  3. Povezivanje sa ruterom: Internet Gateway se povezuje sa ruterom unutar VPC-a (takozvani route table), koji omogućava usmeravanje saobraćaja između subnets i Interneta. Kada VPC instanca sa javnom IP adresom treba da pristupi Internetu, rute koje vode do IGW-a se koriste za omogućavanje saobraćaja.

Kako koristiti Internet Gateway:

  1. Kreiranje Internet Gateway-a:

    • U AWS Management Console-u, možete kreirati Internet Gateway tako što ćete otići na VPC Dashboard, a zatim odabrati Internet Gateways i kliknuti na Create Internet Gateway.

  2. Priključivanje Internet Gateway-a na VPC:

    • Nakon što ste kreirali IGW, potrebno je da ga povežete sa specifičnim VPC-om. Ovo se radi odabirom stvorenog IGW-a u VPC Dashboard i klikom na opciju Attach to VPC.

  3. Konfiguracija rute u Route Table:

    • Da bi resursi unutar public subnet-a imali pristup Internetu putem IGW-a, potrebno je dodati odgovarajuću rutu u Route Table:
      • U Route Table-u, dodajte rutu sa destinacijom 0.0.0.0/0 (što znači sav saobraćaj prema Internetu) i odaberite Internet Gateway kao izlaz.
      • Ova ruta će omogućiti svim resursima u public subnet-u da komuniciraju sa Internetom.

  4. Podesite sigurnosne grupe i ACLs:

    • Sigurnosne grupe i Network ACLs treba pravilno konfigurisati kako bi omogućili saobraćaj sa Interneta prema resursima unutar public subnet-a. Na primer, EC2 instance mogu imati sigurnosne grupe koje omogućavaju HTTP/HTTPS saobraćaj sa Interneta.

  5. Elastic IP za javni pristup:

    • Ako želite da vaša EC2 instanca bude direktno dostupna sa Interneta, možete dodeliti Elastic IP adresu toj instanci. Elastic IP je statička javna IP adresa koja je povezana sa vašim AWS nalogom i može biti dodeljena resursima unutar VPC-a.

Tipični scenariji korišćenja Internet Gateway:

  1. Pristup web aplikacijama: Ako imate EC2 instancu u public subnet-u koja hostuje web aplikaciju, možete koristiti Internet Gateway da omogućite korisnicima pristup toj aplikaciji putem Interneta (preko javne IP adrese).

  2. Povezivanje sa spoljnim servisima: Resursi unutar public subnet-a, kao što su aplikacije ili serveri, mogu koristiti IGW da komuniciraju sa spoljnim servisima na Internetu, kao što su API-jevi ili baze podataka, ili za preuzimanje softverskih ažuriranja.

  3. Kreiranje web servera: Ako kreirate infrastrukturu za web sajt ili API, možete postaviti EC2 instancu u public subnet i omogućiti pristup sa Interneta koristeći IGW.

Napomena: Resursi u private subnet-ima (kao što su baze podataka ili backend serveri) neće imati direktan pristup sa Interneta. Za omogućavanje izlaznog saobraćaja sa privatnih instanci, koristi se NAT Gateway ili NAT Instance.

Ukratko, Internet Gateway je ključna komponenta za omogućavanje pristupa sa Interneta resursima u public subnet-ima unutar vašeg VPC-a i omogućava komunikaciju između vaših resursa u AWS-u i spoljnog sveta.

at No comments:
Labels:

Amazon VPC

 Amazon VPC (Virtual Private Cloud) je usluga u okviru AWS-a koja omogućava korisnicima da kreiraju izolovane virtuelne mreže unutar AWS infrastrukture. Sa Amazon VPC-om, korisnici mogu definisati vlastite mrežne postavke, kao što su opseg IP adresa, subnets (podmreže), rute, sigurnosne grupe, i druge komponente koje omogućavaju kontrolu nad pristupom resursima u oblaku.

Glavne karakteristike Amazon VPC uključuju:

  1. Izolovana mreža u AWS-u:

    • VPC omogućava korisnicima da kreiraju sopstvene mreže unutar AWS-a koje su izolovane od drugih korisnika. To znači da resursi unutar VPC-a mogu komunicirati međusobno, ali mogu biti ograničeni u pogledu pristupa spoljnim mrežama (ili drugih VPC-a) prema potrebama.

  2. Subnets:

    • VPC se deli na subnets (podmreže), koje su manji delovi VPC-a i služe za organizaciju i upravljanje resursima. Svaka podmreža je dodeljena određenom IP opsegu, i može biti:
      • Public subnet: Podmreža kojoj je omogućen pristup sa Interneta, obično za resurse kao što su web serveri.
      • Private subnet: Podmreža koja nije direktno dostupna sa Interneta, obično se koristi za baze podataka ili aplikacije koje ne treba da budu izložene spoljnim korisnicima.

  3. IP opsezi i CIDR blokovi:

    • Prilikom kreiranja VPC-a, korisnici biraju CIDR blok (Classless Inter-Domain Routing), koji određuje opseg IP adresa dostupnih u toj mreži. Na primer, CIDR blok može biti 10.0.0.0/16, što znači da će biti dostupno 65,536 IP adresa.

  4. Routing i rute:

    • Route tables (rute) omogućavaju korisnicima da definišu kako se saobraćaj usmerava unutar VPC-a, kao i između VPC-a i drugih mreža (kao što su Internet ili on-premises mreže). Na primer, možete definisati rute koje omogućavaju komunikaciju između public i private subnets.

  5. Internet Gateway i NAT Gateway:

    • Internet Gateway (IGW) je resurs koji omogućava VPC-ju da komunicira sa Internetom. Obično je dodeljen public subnet-ima kako bi se omogućio pristup spoljnim resursima.
    • NAT Gateway (Network Address Translation) omogućava privatnim resursima u private subnets da uspostave izlazne veze sa Internetom (npr. za preuzimanje ažuriranja) bez direktnog izlaganja tih resursa spoljnim mrežama.

  6. VPC Peering:

    • VPC Peering omogućava međusobnu komunikaciju između dva različita VPC-a. VPC-ovi mogu biti u istom ili različitim AWS regionima, što omogućava povezivanje resursa u različitim VPC-ovima.

  7. VPN i Direct Connect:

    • AWS VPN omogućava bezbednu i šifrovanu vezu između VPC-a i on-premises infrastrukture ili drugih VPC-a putem Interneta.
    • AWS Direct Connect omogućava privatnu, visoko-propusnu vezu između on-premises infrastrukture i VPC-a, čime se smanjuje latencija i povećava sigurnost.

  8. Security Groups i Network ACLs:

    • Security Groups su virtuelni firewall-i koji kontrolišu ulazni i izlazni saobraćaj za EC2 instance i druge resurse unutar VPC-a. Svaka instanca može biti dodeljena jednoj ili više sigurnosnih grupa.
    • Network ACLs (Access Control Lists) su još jedan nivo zaštite koji kontroliše pristup podmrežama u VPC-u. Za razliku od sigurnosnih grupa, ACL-ovi rade na nivou podmreže i mogu biti konfigurirani za odobravanje ili odbijanje saobraćaja prema specifičnim pravilima.

  9. Elastic IP adrese:

    • Elastic IP je statička IPv4 adresa koja je dodeljena korisniku i može se ponovo dodeliti bilo kojoj instanci u VPC-u. Ove adrese se često koriste za pristup javnim resursima (npr. web serverima) sa Interneta.

  10. VPC Flow Logs:

    • VPC Flow Logs omogućavaju korisnicima da prate i bilježe podatke o mrežnom saobraćaju koji ulazi i izlazi iz VPC-a. Ovo je korisno za sigurnost i rešavanje problema sa mrežnim pristupom.

  11. AWS PrivateLink:

    • PrivateLink omogućava siguran privatni pristup AWS servisima i aplikacijama koje rade u drugim VPC-ovima, bez potrebe za prolaskom saobraćaja kroz Internet.

Amazon VPC je ključna komponenta za izgradnju sigurnih, skalabilnih i izolovanih mrežnih okruženja unutar AWS infrastrukture. Korišćenjem VPC-a, korisnici mogu precizno kontrolisati mrežnu povezanost, sigurnost i pristup resursima, stvarajući tako optimalno i sigurno okruženje za svoje aplikacije.

at No comments:
Labels:

AWS IAM

 AWS IAM (Identity and Access Management) je servis koji omogućava upravljanje korisnicima, grupama i njihovim privilegijama u okviru AWS naloga. IAM omogućava preciznu kontrolu pristupa resursima u AWS-u, omogućavajući korisnicima da definišu ko ima pristup određenim servisima i resursima, kao i koji su nivoi privilegija dodeljeni tim korisnicima.

Glavne karakteristike AWS IAM uključuju:

  1. Kreiranje i upravljanje korisnicima:

    • IAM korisnici su entiteti koji omogućavaju osobama ili aplikacijama pristup AWS resursima. Svaki IAM korisnik ima svoje jedinstvene akreditive (korisničko ime i lozinku, ili pristupne ključeve) i može imati dodeljene privilegije putem polisa.

  2. Kreiranje i upravljanje grupama:

    • IAM grupe omogućavaju organizovanje korisnika u logičke jedinice. Na primer, možete stvoriti grupu za administratore, developere ili čitaoce, i dodeliti grupi određene privilegije. Grupa olakšava dodeljivanje prava više korisnicima istovremeno.

  3. Dodela privilegija putem polisa:

    • Polise (policies) su dokumenti u JSON formatu koji definišu dozvole za korisnike ili grupe. Polisa može specificirati koji servisi i resursi su dostupni i koji su dopušteni ili zabranjeni zahtevi.
    • Polise mogu biti:
      • Inline polise: Direktno dodeljene korisnicima ili grupama.
      • Managed polise: Polise koje AWS ili korisnik upravljaju, i koje mogu biti dodeljene više korisnicima ili grupama.

  4. Pristup resursima putem rola:

    • IAM Role (rola) je entitet koji ima dozvole koje omogućavaju korisnicima, uslugama ili aplikacijama da preuzmu te privilegije i pristupe AWS resursima. Rola je često korišćena za omogućavanje pristupa između različitih AWS servisa ili za delegiranje prava pristupa izvan AWS okruženja.

  5. Dvofaktorska autentifikacija (MFA):

    • AWS IAM omogućava primenu MFA (Multi-Factor Authentication) na korisnike kako bi se poboljšala sigurnost naloga. Ovo zahteva da korisnici prilikom prijave, osim lozinke, unesu i kod koji generiše aplikacija (kao što je Google Authenticator), ili fizički uređaj (kao što je hardware token).

  6. Kontrola pristupa na osnovu uloga i uslova:

    • IAM omogućava uslovne politike koje omogućavaju dodatnu kontrolu pristupa na temelju faktora kao što su IP adresa, vreme, ili specifični parametri kao što su tagovi na resursima.

  7. Praćenje i auditovanje aktivnosti:

    • Korišćenjem AWS CloudTrail i IAM logova, moguće je pratiti ko je pristupio kojim resursima i kada, što omogućava audit i bolju sigurnost u okruženju.

  8. Privilegije sa najmanjom dozvolom:

    • Preporučuje se primena principa najmanje privilegije, što znači da se korisnicima dodeljuju samo one privilegije koje su im zaista potrebne za obavljanje posla. Ovaj princip pomaže u smanjenju potencijalnog rizika od grešaka i zlonamernih napada.

  9. Integracija sa drugim AWS servisima:

    • IAM je integralni deo AWS ekosistema i koristi se u svim AWS servisima, uključujući EC2, S3, RDS, Lambda, i mnoge druge, kako bi omogućio pristup i zaštitu podataka i resursa.

AWS IAM omogućava organizacijama da precizno definišu ko može da pristupi određenim resursima, u kojim uslovima i sa kojim privilegijama, čime se osigurava sigurnost i kontrola pristupa u AWS okruženju.

at No comments:
Labels:

AWS Account Root User

 AWS Account Root User je korisnik koji ima najviši nivo privilegija i kontrole nad AWS nalogom. Ovaj korisnik je kreiran automatski prilikom registracije za AWS nalog i ima potpun pristup svim resursima i servisima u tom nalogu. Root korisnik ima sposobnost da menja postavke naloga, upravlja sigurnosnim postavkama, kao i da kreira, menja ili briše druge korisnike (IAM korisnike) i njihove privilegije.

Glavne karakteristike AWS Account Root User uključuju:

  1. Neograničen pristup: Root korisnik ima potpun pristup svim resursima, uslugama i podešavanjima u AWS nalogu. To uključuje mogućnost da menja podatke o naplati, kreira i briše IAM korisnike, pristupa svim servisima, i upravlja svim sigurnosnim postavkama.

  2. Privilegije za upravljanje nalogom: Root korisnik može pristupiti AWS Management Console, AWS CLI i API, i to bez ograničenja. Može upravljati svim aspektima naloga, uključujući naplatu, pristup resursima, i postavke sigurnosti.

  3. Sigurnosna odgovornost: Zbog visokih privilegija koje root korisnik ima, veoma je važno da se koristi sa visokim nivoom pažnje. AWS preporučuje da se root korisnik koristi samo za osnovne administrativne zadatke i da se za svakodnevne operacije kreiraju i koriste IAM korisnici sa specifičnim, ograničenim privilegijama.

  4. Sigurnosne preporuke:

    • Dvofaktorska autentifikacija (MFA): Preporučuje se da se na root korisnika omogući dvofaktorska autentifikacija (MFA), kako bi se dodatno zaštitio nalog.
    • Korišćenje IAM korisnika: Preporučuje se da root korisnik bude korišćen samo kada je to neophodno, dok se za svakodnevne zadatke koriste IAM korisnici sa minimalnim privilegijama.
    • Zabezbeđivanje pristupa: Root korisnik treba imati pristup samo onim osobama koje su odgovorne za upravljanje nalogom, a svi pristupi bi trebalo da budu pažljivo kontrolisani.

  5. Promene u nalogu: Root korisnik može promeniti informacije o naplati, upravljati AWS support planovima, pristupati postavkama za zaštitu podataka, kao i pristupati svim postavkama u vezi sa servisima kao što su IAM, CloudTrail, i AWS Config.

  6. Podrška za naplatu i informacije o nalogu: Root korisnik je jedini korisnik koji može menjati informacije o naplati, obraditi plaćanja, i postavljati ili ukloniti billing informacije povezane sa AWS nalogom.

Zbog visoke moći koju root korisnik ima, AWS savetuje da se pristup ovom korisniku ograniči, i da se koriste IAM korisnici sa odgovarajućim privilegijama za svakodnevne administrativne zadatke.

at No comments:
Labels:
Subscribe to: Posts (Atom)

NAT Gateway

  NAT Gateway je potpuno upravljani AWS servis koji omogućava instancama u privatnim subnetima u Amazon VPC -u da uspostave izlazne veze ka...

  • AWS Elastic IP Address
      AWS Elastic IP Address (EIP) je statička IPv4 adresa dodeljena korisnicima AWS-a, koja je vezana za njihov AWS nalog i može biti dodeljen...
  • AWS IAM
      AWS IAM (Identity and Access Management) je servis koji omogućava upravljanje korisnicima, grupama i njihovim privilegijama u okviru AWS ...
  • 20 Docker komandi koje se najčešće koriste
     Evo 20 Docker komandi i kratkog opisa kako se koriste: docker run: pokreće Docker kontejner na osnovu datog slike. docker start: pokreće ve...