[AWS Cloud Practitioner] 모듈5 / 모듈 6 정리

[인스턴스 스토어]

• EC2 인스턴스에 임시 블록 수준 스토리지를 제공
  • 인스턴스 스토어는 물리적으로 EC2 인스턴스 호스트의 컴퓨터에 연결되어 있음
  • 인스턴스와 수명이 동일한 디스크 스토리지
  • 인스턴스 종료시 스토어의 데이터도 손실됨

[Amazon EBS(Elastic Block Store)]

• EBS란
  • EC2 인스턴스에서 사용할 수 있는 블록 수준 스토리지 볼륨 제공 서비스
  • 인스턴스를 중지 / 종료하더라도 EBS 볼륨의 모든 데이터를 사용할 수 있음
  • EBS 볼륨 크기 유형 정의 -> 프로비저닝 -> 볼륨 생성 -> EC2 연결 순으로 사용
  • 데이터 백업을 위해 스냅샷 기능으로 데이터를 증분 백업할 수 있음
    • 증분 백업: 가장 최근의 스냅샷 이후 변경된 데이터만 블록에 저장

[Amazon S3(Simple Storage Service)]

• 객체 스토리지
  • 각 객체는 데이터, 메타데이터, 키로 구성됨
• Amazon S3
  • 객체 수준 스토리지를 제공하는 서비스로 데이터를 버킷에 객체로 저장
  • 이미지, 동영상, 텍스트 파일 등 모든 유형의 파일을 업로드 할 수 있음
  • 무제한의 저장공간을 제공하나 단일 객체 파일의 최대 크기는 5TB
  • 업로드시 권한을 설정하여 파일에 대한 표시 여부 및 액세스를 제어할 수 있음
  • 버전 관리 기능을 사용하면 시간 경과에 따른 객체 변경 사항 추적 가능
• S3 스토리지 클래스 선택
  • S3도 사용한 만큼만 비용을 지불하며 다양한 스토리지 클래스를 선택할 수 있음
  • 선택시에는 다음 2가지를 고려해야 함
    • 데이터를 검색 할 빈도
    • 필요한 데이터 가용성
• S3 스토리지 클래스
  • S3 Standard
    • 자주 액세스하는 데이터 용을 설계 / 최소 3개의 가용 영역에 데이터를 저장
    • 객체에 대한 고가용성을 제공하여 웹 사이트, 컨텐츠 배포, 데이터 분석 등 광범위하게 사용
  • S3 Standard-Infrequent Access(S3 Standard-IA)
    • 자주 액세스 하지 않는 데이터에 이상적
    • S3 Standard와 비슷하지만 스토리지 가격은 더 저렴하고 검색 가격은 더 높음
    • 자주 액세스하지 않으나 고가용성이 요구되는 데이터에 이상적
  • S3 On Zone-Infrequent Access(S3 One Zone-IA)
    • 단일 가용 영역에 데이터를 저장
    • S3 Standard-IA보다 낮은 스토리지 가격
    • 단일 가용 영역에 저장하므로 스토리지 비용을 절감 하려는 경우에 적합
  • S3 Intelligent-Tiering
    • 엑세스 패턴을 알 수 없거나 자주 변화하는 데이터에 이상적
    • 객체당 소량의 월별 모니터링 및 자동화 요금 부과
    • 30일 이상 연속 객체에 엑세스 하지 않으면 Standard-IA로 이동하고 자주 사용하게 되면 S3 Standard로 이동
  • S3 Glacier
    • 데이터 보관용도로 설계된 저비용 스토리지
    • 객체를 몇 분에서 몇 시간 이내에 검색
  • S3 Glacier Deep Archive
    • 보관에 이상적인 가장 저렴함 객체 스토리지 클래스
    • 객체를 12시간 이내에 검색

[Amazon Elastic FIle System(EFS)]

• 파일 스토리지
  
  • 여러 클라이언트가 공유 파일 폴더에 저장된 데이터에 액세스 할 수 있음
  • 스토리지 서버가 블록 스토리지를 로컬 파일 시스템과 함께 사용하여 파일을 구성
  • 클라이언트는 파일 경로를 통해 데이터에 엑세스 함
  • 파일 스토리지는 많은 수의 서비스 및 리소스가 동시에 동일한 데이터에 엑세스 해야하는 사용 사례에 이상적
  • EFS는 클라우드 서비스 및 온프레미스 리소스와 함께 사용되는 확장 가능한 파일 시스템 파일 추가 제거에 따라 EFS가 자동으로 확장하거나 축소됨
  • 애플리케이션을 중단하지 않고 온디멘드로 페타바이트 규모로 확장 가능

[Amazon Relational Database Service(Amazon RDS)]

• 관계형 데이터베이스
  
  • 정형 쿼리 언어(SQL)을 사용하여 데이터를 저장하고 쿼리함
  • 데이터를 쉽고 일관되며 확장 가능한 방식으로 저장 할 수 있음
• Amazon RDS
  
  • AWS에서 관계형 데이터베이스를 실행할 수 있는 서비스
  • 다양한 보안 옵션을 제공
    • 저장시 암호화(데이터가 저장되는 동안 데이터 보호)
    • 전송 중 암호화(데이터를 전송 및 수신하는 동안 데이터 보호)
• Amazon RDS 데이터베이스 지원 엔진
  • Amazon Aurora / PostgreSQL / MySQL / MariaDB / Oracle Database / Microsoft SQL Server
• Amazon Aurora
  • 엔터프라이즈급 관계형 데이터 베이스
  • 표준 MySQL DB보다 5배 빠르고 표준 PostgreSQL 보다 3배 빠름
  • 리소스의 안정성 및 가용성을 유지하면서도 불필요한 입/출력 작업을 줄여 비용을 절감

[Amazon DynamoDB]

• 비 관계형 데이터베이스
  
  • 테이블을 생성하여 테이블이 데이터를 저장하고 쿼리 할 수 있는 장소
  • NoSQL DB라고도 하며, Key-value 페어로 데이터에 접근함
• Amazon DynamoDB
  • 키-값 데이터베이스 서비스로 한 자릿수 m/s 성능 제공 

•  

[Amazon Redshift]

• 빅데이터 분석에 사용할 수 있는 데이터 웨어하우징 서비스
• 여러 원본에서 데이터를 수집하여 데이터 간의 관계 및 추세를 파악하는데 도움이 되는 기능을 제공

[Amazon Database Migration Service(DMS)]

• 관계형 데이터베이스, 비 관계형 데이터베이스 및 기타 유형의 데이터 저장소를 마이그레이션 할 수 있는 서비스
• 원본 데이터베이스와 대상 데이터베이스는 유형이 동일하지 않아도 되며 마이그레이션 과정에서도 원본 데이터베이스는 동작하므로 애플리케이션 가동 중지 시간을 최소화 할 수 있다.

[추가 데이터 베이스]

• DocumentDB
  
  • MongoDB 워크로드를 지원하는 문서 데이터베이스 서비스
• Amazon Neptune
  • 그래프 데이터베이스 서비스
  • 추천 엔진, 사기 탐지, 지식 그래프와 같은 고도로 연결된 데이터 세트로 작동하는 애플리케이션을 구성할 수 있음
• Amazon Quantum Ledger Database(QLDB)
  • 원장 데이터베이스 서비스
  • 데이터에 발생한 모든 변경 사항의 전체 기록을 검토할 수 있음
• Amazon Managed Blockchain
  • 오픈 소스 프레임워크를 사용하여 블록체인 네트워크를 생성하고 관리하는데 사용할 수 있는 서비스
• Amazon ElastiCache
  • 자주 사용되는 요청의 일긱 시간을 향상시키기 위해 데이터베이스 위에 캐싱 계층을 추가하는 서비스
  • 이 서비스는 두가지 데이터 저장소인 Redis / Memcached를 지원함
• Amazon DynamoDB Accelerator
  • DynamoDB 용 인메모리 캐시

---

모듈 6

 

[AWS 공동 책임 모델]

• AWS 환경을 단일 객체로 취급하지 않기 때문에 AWS는 사용자 환경 일부분을 책임지고, 고객은 다른 부분을 책임 짐
• 고객은 클라우드 내에서 새성하고 배치하는 모든 보안을 책임짐 / 콘텐츠에 대한 보안 요구사항을 관리하는 책임을 가지고 있음
• AWS는 클라우드 자체의 보안을 책임짐 / 모든 서비슬스를 실행하는 글로벌 인프라를 보호할 책임(리전, 가용 영역, 엣지 로케이션 등)
  • 물리적인 환경도 포함하게 되는데 이는 데이터센터, 하드웨어 및 소프트웨어, 인프라, 네트워크, 가상화 인프라가 이에 해당함

AWS 공동 책임 모델의 범위 / AWS Cloud Practitioner Essentials 강의 발췌

 

[AWS Identity and Access Management(IAM)]

• AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있음
• IAM 사용자, 그룹 및 역할, 정책, Multi-Factor Authentication 으로 구성됨
• AWS 계정 루트 사용자
  • AWS 계정을 만들때 사용하는 이메일 주소로 전체 관리자
  • 모든 AWS 서비스 및 리소스에 대한 전체 엑세스 권한을 가짐
• IAM User
  • IAM User(IAM 사용자)는 AWS에서 생성하는 자격 증명으로 서비스 및 리소스와 상호 작용하는 사람이라 애플리케이션
  • 이름과 자격 증명으로 구성됨
• IAM Policy
  • IAM Policy(IAM 정책)는 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서
  • 사용자가 리소스에 액세스 할 수 있는 수준을 사용자 지정할 수 있음
  • 권한 부여시에는 "최소 권한 보안 원칙"에 따라 작업을 수행하는데 필요한 것보다 더 많은 권한을 가지는 것을 방지하도록 해야 함
• IAM Group
  • IAM Group(IAM 그룹)은 IAM 사용자의 모음으로 그룹에 정책을 할당하면 모든 사용자에게 정책에 지정된 권한이 부여됨
• IAM Role
  • IAM Role(IAM 역할)은 임시로 권한에 엑세스 하기 위해 수임할 수 있는 자격 증명을 의미
• 서비스 및 리소스에 대한 엑세스 권한을 일시적으로 부여해야 하는 상황에 이상적

[AWS Organizations]

• AWS Organizations를 이용하면 중앙 위치에서 여러 AWS 계정을 통합하고 관리할 수 있음
• 조직 생성시 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성 함
• AWS Organizations는 SCP(서비스 제어 정책) 을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어할 수 있음
  
  • SCP는 루트 사용자 / 계정 내 모든 IAM 사용자 / IAM 그룹 및 역할에 영향을 줌
• Organizations Unit(OU)
  • 계정을 조직단위인 Organizations Unit(OU)로 그룹화하여 비슷한 비즈니스/보안 요구사항이 있는 계정을 관리할 수 있음
  • OU에 정책 적용시 모든 계정이 정책에 지정된 권한을 상속함
  • 만약 개별 요구사항이 있는 경우 개별 계정을 OU로 구성하여 해당 환경에 맞게 권한을 부여할 수 있음

[AWS Artifact]

• AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디멘드 엑세스 서비스
• AWS Artifact Agreements
  • 개별 계정 및 AWS Organizations 내 모든 계정에 대한 계약을 검토 / 수락 / 관리할 수 있음
  • 특정 규정의 적용을 받는 고객의 요구사항을 해결하기 위한 다양한 계약이 제공 됨
• AWS Artifact Reports
  • 외부 감사 기관이 작성한 규정 준수 보고서를 제공
  • 릴리즈된 최신 보고서가 반영되어 항상 최신 상태로 유지되고 감사 또는 규제 기관에 AWS 보안 제어 항목의 증거로써 감사 아티팩트를 제공할 수 있음

[AWS Shield]

• DDos 공격으로부터 애플리케이션을 보호하는 서비스로 Standard와 Advanced로 나뉨
• AWS Shield Standard & Advanced 
  • AWS Shield Standard
    • 모든 고객을 자동으로 보호하는 무료 서비스로 일반적인 DDoS 공격으로 부터 보호함
  • AWS Shield Advanced
    • 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화하는 기능
    • Cloudfront, Route 53, ELB와 같은 다른 서비스와도 통합되며 AWS WAF와도 통합 가능

[AWS Key Management Service(KMS)]

• KMS를 이용하면 암호화 키를 사용하여 암호화 작업을 수행할 수 있음
• KMS를 이용하여 암호화 키를 생성하고 관리 사용할 수 있고 광범위한 애플리케이션에서 키 사용을 제어할 수 있음

[AWS WAF]

• 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링 할 수 있는 웹 애플리케이션 방화벽
• Cloudfront / ALB와 함께 작동 함

[AWS Inspector]

• 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선하는 서비스
• 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사함

[AWS Guardduty]

• AWS 인프라 및 리소스에 대한 지능성 위협 탐지 기능을 제공하는 서비스
• 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별
• AWS Lambda와 함께 구성하면 자동으로 문제 해결 단계를 수행하도록 할 수도 있음