DevOps 엔지니어를 위한 AWS 핵심 개념 정리. 상세 내용은 각 링크를 클릭하세요.

• Assume Role: 임시 보안 자격 증명을 통해 다른 계정 또는 동일 계정 내 다른 역할 권한을 획득
• sts:AssumeRole: IAM 자격 증명 기반 역할 위임 — 교차 계정 액세스에 활용
• sts:AssumeRoleWithWebIdentity: OIDC/SAML 토큰 기반 역할 위임 — GitHub Actions, Kubernetes SA 등 외부 ID 공급자 연동
• 임시 자격 증명: 액세스 키 + 보안 액세스 키 + 세션 토큰으로 구성, 유효 기간 설정 가능

• Ingress Group: 여러 Ingress를 하나의 ALB로 통합 관리 (alb.ingress.kubernetes.io/group.name)
• group.order: Ingress 규칙 우선순위 설정 — 낮은 숫자가 먼저 적용
• listen-ports: ALB가 수신하는 포트 지정 (HTTP/HTTPS)
• ssl-redirect: HTTP → HTTPS 리디렉션 포트 설정
• target-type: instance (NodePort 경유) 또는 ip (Pod 직접 라우팅) 모드 선택
• scheme: internet-facing (공개) 또는 internal (VPC 내부) ALB 접근 유형 설정
• inbound-cidrs: ALB 접근 허용 IP 범위 제한
• security-groups: 로드밸런서에 연결할 보안 그룹 지정

• Security Group (Stateful): 인스턴스 단위 보안 — 허용 규칙만 지원, 아웃바운드 응답 자동 허용
• Network ACL (Stateless): 서브넷 단위 보안 — 허용·거부 규칙 모두 지원, 번호순 평가
• VPC: 격리된 가상 네트워크 — 서브넷·라우트 테이블·인터넷 게이트웨이로 구성

AWS STS의 sts:AssumeRole을 사용한 교차 계정 액세스 방법(4단계: IAM 역할 생성 → 정책 연결 → 역할 위임 → 임시 자격 증명 사용)과 OIDC/SAML 기반 sts:AssumeRoleWithWebIdentity의 차이를 비교한다.

→ 상세 보기

---

여러 Ingress를 단일 ALB로 통합하는 IngressGroup 구성, 포트 수신(listen-ports) 및 SSL 리디렉션 설정, instance/ip 모드 트래픽 라우팅 어노테이션, 그리고 scheme·inbound-cidrs·security-groups를 활용한 접근 제어 방법을 정리한다.

→ 상세 보기

---

Stateful Security Group(인스턴스 단위·허용 규칙만)과 Stateless Network ACL(서브넷 단위·허용·거부 규칙·번호순 평가)의 동작 방식 차이와 VPC 내 트래픽 흐름(IGW → Router → Route Table → ACL → Subnet → SG → EC2)을 mermaid 다이어그램으로 설명한다.

→ 상세 보기

• AWS 공식 문서
• AWS Load Balancer Controller
• Ingress annotations