Please enable JavaScript.
Coggle requires JavaScript to display documents.
AWS Certified Cloud Practitioner - Coggle Diagram
AWS Certified Cloud Practitioner
모듈2: 클라우드 컴퓨팅
EC2 요금
온디맨드
중단할 수 없는 불규칙한 단기 워크로드가 있는 애플리케이션에 적합
선결제 비용이나 최소 약정은 적용되지 않음(인스턴스 중지때까지 계속)
Savings Plans
온디맨드 대비 72%까지 비용절감
약정 1년 or 3년, 약정기간 및 사용량 이후는 온디맨드 요금
AWS Cost Explorer 통해 7일, 30일, 60일 사용량 분석 가능
AWS Lambda(서버리스), AWS Fargate(더 멀리) 적용가능
스팟인스턴스
예약인스턴스
표준예약 및 컨버터블 예약 인스턴스 1년 or 3년
정기 예약 인스턴스 1년
약정기간 종료시 온디맨드 요금으로 가동
또는, 약정기간 종료시 새 예약 인스턴스를 구매하는 것도 방법
전용호스트
EC2 인스턴스 용량을 갖춘 물리적 서버
가장 비쌈
EC2 인스턴스 유형(Family)
서버리스 컴퓨팅
모듈3: 글로벌 인프라 및 안전성
region 선택시 고려사항
고객과의 지리적 근접
리전 내에서 사용 가능한 서비스
리전 별 가격 상이
데이터 법적요구사항
가용 영역
가용 영역 간의 지연 시간(콘텐츠가 요청된 시점과 수신된 시점 간의 차이)이 짧을 정도로 충분히 가깝습니다.
리전의 한 부분에서 재해가 발생할 경우 여러 가용 영역이 영향을 받을 가능성을 줄일 만큼 멀리 떨어져 있습니다.
:!:리전 내의 단일 데이터 센터 또는 데이터 센터 그룹
:!:rigion > 가용영역
region은 2개 이상의 가용영역으로 구성
sa-east-1a, sa-east-1b, ...
Amazon CloudFront (CDN)
비용, 성능 및 보안의 균형을 맞추도록 서버리스 컴퓨팅 기능을 사용하여 AWS 콘텐츠 전송 네트워크(CDN) 엣지에서 실행하는 코드를 사용자 지정
통합된 요청, 사용자 지정 가능한 요금 옵션, AWS 오리진에서 데이터 송신 시 무료 요금으로 비용
자동화된 네트워크 매핑 및 인텔리전트 라우팅을 사용하여 410개 이상 전 세계에 분포된 접속 지점(POP)을 통해 데이터를 전송
트래픽 암호화와 액세스 제어를 통해 보안을 개선하고 AWS Shield Standard를 사용하여 추가 요금 없이 DDoS 공격으로부터 보호
:!:뛰어난 성능, 보안 및 개발자 편의를 위해 구축된 콘텐츠 전송 네트워크(CDN) 서비스
엣지 로케이션
Amazon CloudFront가 더 빠른 콘텐츠 전송을 위해 고객과 가까운 위치에 콘텐츠, 사본을 캐시하는데 사용하는 사이트
AWS Elastic Beanstalk
사용자가 코드 및 구성 설정을 제공하면 Beanstalk이 다음 작업(용량조정, 로드밸런싱, 자동조정, 애플리케이션 상태 모니터링)을 수행하는데 필요한 리소르를 배포
AWS CloudFormation
인프라를 코드로 취급하며, AWS Management Console을 사용하여 개별적으로 리소르를 프로비저닝하는 대신 코드 줄을 작성하여 환경을 구축할수 있다.
모듈4: AWS 클라우드의 네트워킹
보안그룹 : Amazon EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어가는 가상 방화벽 (Default. IN all Deny, 상태 저장)
액세스제어목록(ACL) : 서브넷 수준에서 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 (Default. IN/OUT allow, 상태 비정상)
VPC를 인터넷에 연결하는데 사용하는 구성요소는 인터넷 게이트웨이
Amazon Services
Amazon Lightsail
몇 번의 클릭으로 웹 사이트 또는 애플리케이션 생성 네트워킹, 액세스 및 보안 환경을 자동으로 구성
사전 구성된 클라우드 리소스를 통해 애플리케이션 및 웹 사이트를 빠르게 구축
소규모 비즈니스 애플리케이션 구축
테스트 환경 구동
Amazon Security Hub
AWS 보안 검사 자동화 및 보안 경고 중앙 집중화
AWS 및 파트너 서비스에서 표준화된 데이터 형식으로 보안 결과를 자동으로 집계
자동화된 대응 및 수정 조치를 통해 평균 해결 시간을 가속화
Amazon Inspector
규모에 맞는 지속적인 자동 취약성 관리
클릭 한 번으로 AWS 워크로드에서 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 즉시 발견하고 스캔
Amazon EventBridge 및 AWS Security Hub 통합으로 MTTR(평균 문제 해결 시간) 취약성을 줄이고 워크플로를 간소화
Amazon Cust Explorer
시간에 따른 AWS 비용 및 사용량의 시각화, 이해 및 관리
비용 및 사용량 정보를 보고 미리 구성된 보기에서 비즈니스 인사이트
보고서에서 미래의 시간 범위에 대한 비용 및 사용량 예측
필터링과 그룹화 기능을 사용하여 비용 및 사용량 데이터를 세부적으로 확인
Amazon Organizations
AWS 리소스를 확장할 때 중앙 집중식으로 환경 관리 및 규제
AWS 고객은 AWS Organizations를 추가 비용 없이 사용할 수 있습니다.
새 AWS 계정을 생성하고 리소스를 할당하며, 계정을 그룹화하여 워크플로를 구성하고, 거버넌스를 위해 계정이나 그룹에 정책을 적용하며, 모든 계정에 대해 단일 결제 방법을 사용하여 청구를 간소화
AWS CloudTrail
사용자 활동 및 API 사용 추적
SOC, PCI 및 HIPAA와 같은 규제에 대한 준수를 입증하여 벌금을 방지
사용자 활동 및 이벤트를 기록하여 보안 태세를 개선하고 Amazon EventBridge를 통해 자동화된 워크플로 규칙을 설정
단일의 중앙 제어식 플랫폼에서 AWS 리전 및 계정 전체의 사용자 활동 및 API 사용을 캡처하고 통합
AWS Trusted Advisor
Trusted Advisor는 검사를 사용하여 계정을 평가합니다. 이러한 검사는 AWS 인프라를 최적화하고 보안 및 성능을 개선하며 비용을 절감하고 서비스 할당량을 모니터링할 방법을 식별합니다. 사용자는 권장 사항에 따라 서비스 및 리소스를 최적화할 수 있습니다.
AWS Enterprise Support
뛰어난 엔지니어의 연중무휴 24시간 기술 지원, 환경 상태를 자동으로 관리할 수 있는 도구 및 기술, 애플리케이션 및 사용 사례의 맥락에서 제공되는 컨설팅 형식의 아키텍처 지침 및 사전 예방적 프로그램에 액세스하여 조율할 수 있는 지정 기술 지원 관리자(TAM)와 AWS SME(주제 전문가)의 지원을 받을 수 있습니다.
AWS Lambda
AWS SNS(Simple Notification Service)
애플리케이션 간(A2A) 및 애플리케이션과 사용자 간(A2P) 통신 모두를 위한 완전관리형 메시징 서비스
A2A 게시/구독 기능에서는 분산 시스템, 마이크로서비스 및 이벤트 중심의 서버리스 애플리케이션 사이에서 처리량이 높은 푸시 기반의 다대다 메시징을 위한 주제를 제공
시자 시스템은 병렬 처리를 위해 Amazon SQS 대기열, AWS Lambda 함수, HTTPS 엔드포인트 및 Amazon Kinesis Data Firehose를 비롯한 많은 구독자 시스템으로 메시지를 팬아웃
A2P 기능을 사용하면 SMS, 모바일 푸시 및 이메일을 통해 대규모로 사용자에게 메시지를 전송
AWS SQS(Simple Queue Service)
AWS 관리 콘솔, 명령줄 인터페이스 또는 원하는 SDK, 3가지 간단한 명령을 사용하여 몇 분 만에 SQS를 시작할 수 있습니다
다른 서비스를 가동할 필요 없이 소프트웨어 구성 요소 간에 모든 볼륨의 메시지를 전송, 저장 및 수신할 수 있습니다.
마이크로 서비스, 분산 시스템 및 서버리스 애플리케이션을 쉽게 분리하고 확장할 수 있도록 지원하는 완전관리형 메시지 대기열 서비스
AWS EKS(Elastic Kubernetes Service)
클라우드 또는 온프레미스에서 Kubernetes 애플리케이션을 실행하고 크기를 조정하는 관리형 컨테이너 서비스
클러스터의 제어 영역에 보안 패치가 자동으로 적용되어 더욱 안전한 Kubernetes 환경을 보장
VPC, ALB, EC2 Kubernetes 작업자 노드 및 Amazon EKS를 구성하는 다양한 방법
Amazon CloudFront
자동화된 네트워크 매핑 및 인텔리전트 라우팅을 사용하여 410개 이상 전 세계에 분포된 접속 지점(POP)을 통해 데이터를 전송해 대기 시간을 줄입니다.
트래픽 암호화와 액세스 제어를 통해 보안을 개선하고 AWS Shield Standard를 사용하여 추가 요금 없이 DDoS 공격으로부터 보호
통합된 요청, 사용자 지정 가능한 요금 옵션, AWS 오리진에서 데이터 송신 시 무료 요금으로 비용을 절감
비용, 성능 및 보안의 균형을 맞추도록 서버리스 컴퓨팅 기능을 사용하여 AWS 콘텐츠 전송 네트워크(CDN) 엣지에서 실행하는 코드를 사용자 지정
Edge Location
CloudFrount가 더 빠른 콘테츠 전송을 위해 고객과 가까운 위치에 콘텐츠 사번을 캐시하는데 사용하는 사이트
AWS Management Console
Amazon서비스 액세스 및 관리를 위한 웹기반 인터페이스
자동화된 워크플로우 포함
리소스 모니터링, 경보 보기, 결제정보확인
여러ID 동시접속 가능
AWS CLI (Commad Line Interface)
win, linux, macOS
AWS Service 제어
Script를 통해 서비스 및 애플리케이션이 수행하는 작업 자동화
Amazon EC2 인스턴스를 특정 Auto Scaling 그룹에 연결등의 작업 명령 수행
AWS Elastic Beanstalk
용량조정
로드밸런싱
자동조정
애플리케이션 상태 모니터링
사용자가 코드 및 구성 설정을 제공하면 Elastic Beanstalk 언급된 3가지 작업을 수행하는 데 필요한 리소스를 배포
AWS CloudFormation
인프라를 코드로 취급할 수 있다
AWS Management Console을 사용 하여 개별적으로 리소스를 프로비져닝하는 대신 코드 줄을 작상하여 환경을 구축할 수 있다
리소르를 안전하고 반복 가능한 방식으로 프로비져닝하므로 수작업을 수행하거나 사용자 지정 스크립트를 작성할 필요 없음
AWS Outposts
하이브리드 환경을 위해 거의 모든 온프레미스 또는 엣지 로케이션에 AWS 인프라 및 서비스를 제공하는 완전관리형 솔루션 패밀리
Outposts 솔루션을 통해
온프레미스에서
기본 AWS 서비스를 확장하고 실행
일부 AWS 서비스를 로컬에서 실행하고 로컬 AWS 리전에서 사용 가능한 광범위한 서비스에 연결할 수 있습니다.
친숙한 AWS 서비스, 도구 및 API를 사용하여 온프레미스에서 애플리케이션과 워크로드를 실행
온프레미스 시스템에 대한 빠른 액세스, 로컬 데이터 처리, 데이터 레지던시, 로컬 시스템과 상호 종속된 애플리케이션 마이그레이션이 필요한 워크로드 및 디바이스를 지원
Amazon VPC(Virtual Private Cloud)
AWS 리소스에 경계를 설정하는 데 사용할 수 있는 네트워킹 서비스
인터넷의 퍼블릭 트래픽이 VPC에 액세스하도록 하용하려면 인터넷 케이트웨이를 VPC에 연결
콘텐츠 전송 서비스(with 엣지 로케이션 네트워크를 사용 콘텐츠를 캐시하고 전세계 고객에게 콘텐츠 전송)
AWS Direct Connect
데이터센터와 VPC간 비공개 전용 연결을 설정하는 서비스
네트워크비용 절감, 대역폭을 늘리는데 도움
Amazon Route 53
DNS Web Service
EC2 or 로드밸런서 연결
사용자를 AWS 외부의 인프라로 라우팅 할 수 있습니다.
Domain 이름을 IP로 변환
Amazon Macie
완전관리형 데이터 보안 및 데이터 프라이버시 서비스
기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호
Macie의 알림 또는 탐지 결과는 AWS Management Console에서 검색 및 필터링한 후 Amazon EventBridge(이전의 Amazon CloudWatch Events)로 전송하여 기존 워크플로 또는 이벤트 관리 시스템과 손쉽게 통합하거나 AWS Step Functions와 같은 AWS 서비스와 결합하여 자동화된 조치를 수행할 수 있습니다.
AWS Systems Manager
여러 AWS 서비스의 운영 데이터를 보고 AWS 리소스에서 운영 작업을 자동화할 수 있는 통합 사용자 인터페이스
애플리케이션, 애플리케이션 스택의 다양한 계층 또는 프로덕션 환경 대 개발 환경 같은 논리적 리소스 그룹
Amazon WorkLink
ensure that you have the following resources available before
starting
An AWS customer that wants to enable their payroll and hr websites for mobile access
AWS CodeDeploy
소프트웨어 배포를 자동화하는 완전관리형 배포 서비스입니다. AWS CodeDeploy를 사용하면 새로운 기능을 더욱 쉽고 빠르게 출시할 수 있고, 애플리케이션을 배포하는 동안 가동 중지 시간을 줄이는 데 도움이 되며, 복잡한 애플리케이션 업데이트 작업을 처리할 수 있습니다.
Amazon AppFlow
코드 없이 타사 애플리케이션과 AWS 서비스를 안전하게 통합하여 데이터 흐름을 자동화
AWS PrivateLink
데이터를 인터넷에 노출하지 않고 AWS 또는 온프레미스에 호스팅된 서비스와 VPC 간에 비공개 연결 설정
AWS Storage Gateway
온프레미스 애플리케이션에 사실상 무제한의 클라우드 스토리지 액세스 제공
Amazon Athena
표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스
실행한 쿼리에 대해서만 비용을 지불합니다.
AWS Glue
분석, 기계 학습 및 애플리케이션 개발을 위해 데이터를 쉽게 탐색, 준비, 그리고 조합할 수 있도록 지원하는 서버리스 데이터 통합 서비스
AWS X-Ray
개발자가 마이크로 서비스 아키텍처를 사용해 구축된 애플리케이션과 같은 프로덕션
분산
애플리케이션을 분석하고 디버그하는 데 도움
AWS Cloud9
라우저만으로 코드를 작성, 실행 및 디버깅할 수 있는 클라우드 기반 IDE(통합 개발 환경)
코드 편집기, 디버거 및 터미널이 포함
JavaScript, Python, PHP를 비롯하여 널리 사용되는 프로그래밍 언어를 위한 필수 도구가 사전에 패키징되어 제공되므로, 새로운 프로젝트를 시작하기 위해 파일을 설치하거나 개발 머신을 구성할 필요가 없습니다.
클라우드 기반이므로, 인터넷이 연결된 머신을 사용하여 사무실, 집 또는 어디서든 프로젝트 작업
서버리스 애플리케이션을 개발할 수 있는 원활한 환경을 제공하므로 손쉽게 서버리스 애플리케이션의 리소스를 정의하고, 디버깅하고, 로컬 실행과 원격 실행 간에 전환할 수 있습니다.
개발 환경을 팀과 신속하게 공유할 수 있으므로 프로그램을 연결하고 서로의 입력 값을 실시간으로 추적
AWS Transit Gateway
Amazon VPC, AWS 계정 및 온프레미스 네트워크를 단일 게이트웨이에 손쉽게 연결
AWS OpsWorks
Chef 및 Puppet은 코드를 사용해 서버 구성을 자동화할 수 있게 해주는 자동화 플랫폼
Amazon Rekognition
이미지 분석 비용과 얼굴 메타데이터 스토리지 비용과 같은 두 가지 유형의 비용
Amazon Cognito
단 몇 줄의 코드를 작성하여 사용자가 모바일 및 웹 앱에 가입하고 로그인하도록 할 수 있습니다.
AWS CodeStar
애플리케이션을 신속하게 개발, 빌드 및 배포
AWS CodeCommit
협업 방식으로 코드 작업을 수행할 수 있습니다.
a version control service hosted by Amazon Web Services that you can use to
privately store and manage assets (such as documents, source code, and binary files) in the
cloud
AWS Fargate
애플리케이션 배포 및 관리 Fargate는 서버 크기 조정, 패치, 보안 및 관리의 운영 부담을 없애줍니다.
AWS Fargate는 서버를 관리하지 않고도 애플리케이션 구축에 초점을 맞출 수 있도록 지원하는 종량제 서버리스 컴퓨팅 엔진입니다. AWS Fargate는 Amazon Elastic Container Service(ECS) 및 Amazon Elastic Kubernetes Service(EKS) 모두와 호환
AWS Config
AWS 리소스 간 구성 및 관계 변화를 검토하고, 자세한 리소스 구성 기록을 분석하고, 내부 지침에 지정되어 있는 구성을 기준으로 전반적인 규정 준수 여부를 확인할 수 있습니다
Amazon AppStream
로컬 디바이스로의 애플리케이션 스트리밍을 관리합니다. 고객에게 지연 시간이 짧고 해상도는 높은 환경을 제공할 수 있도록 네트워크 상태를 모니터링하여 비디오 스트림을 자동 조정
Amazon WorkSpaces Web
브라우저에서 내부 웹 사이트 및 SaaS 애플리케이션에 안전하게 액세스할 수 있는 완전관리형 서비스
Amazon Connect
사용하기 쉬운 옴니 채널 클라우드 고객 센터를 통해 저렴한 비용으로 우수한 고객 서비스 제공
모듈5: 스토리지 데이터베이스
Amazon EBS(Amazon Elastic Block Store)
일이 업데이트되면 모든 블록에 덮어쓰기가 실행되지는 않습니다. 변경된 부분만 업데이트하죠
크기, 유형, 구성
EC2 인스턴스를 중지한 후 다시 시작해도 볼륨에 있는 데이터가 그대로 유지
EBS를 사용하면 스냅샷이라고 하는 데이터 증분 백업
EBS 볼륨의 스냅샷을 정기적으로 생성(복구가능)
물리적 하드 드라이브처럼 동작
최대 16 TB(TiB)
SSD
EC2를 EBS에 연결하려면 같은 AZ에 있어야 합니다.
EC2 인스턴스에 연결되며 동일한 가용 영역 수준의 리소스
2TB EBS 볼륨을 프로비저닝해 가득 채운다면 자동으로 규모를 조정해 추가 스토리지를 제공하지는 않습니다.
Amazon EFS (Elastic File System)
기존 파일 시스템을 그대로 유지하면서도 규모 조정 및 복제라는 힘든 작업은 AWS에게 맡길 수 있습니다.
FS를 사용하면 여러 인스턴스가 EFS의 데이터에 동시에 액세스하게 할 수 있습니다.
사용자가 특별히 어떤 작업을 수행하지 않아도 필요에 따라 확장되거나 축소되죠
Region Resoure
Linux file system
파일을 저장할 수 있고 데이터베이스를 실행할 수도 있죠
Amazon EFS에서는 여러 인스턴스가 읽기와 쓰기를 동시에 진행할 수 있습니다. (Share에 강점)
AWS 클라우드 서비스 및 온프레미스 리소스와 함께 사용되는 확장 가능한 파일 시스템 (with AWS Direct Connect)
애플리케이션을 중단하지 않고 온디맨드로 페타바이트 규모로 확장할 수 있습니다.
Amazon RDS ( Relational Database Service )
MySQL / MariaDB / ORACLE / PostgreSQL / MSSQL / Amazon Aurora
리프트 앤 시프트 마이그레이션 (온프레미스 --> AWS EC 쉽게 이동)
Patch, Backup, 이중화, 장애조치, 재해복구 자동으로 진행
Amazon Aurora
MySQL / PostgreSQL
상용데이터베이스 비용 1/10
최대 15개의 읽기 전용 복제본
Amazon S3로 지속적인 백업
특정시점으로 복구
엔터프라이즈급 관계형 데이터베이스
표준 MySQL 데이터베이스보다 최대 5배 빠르며 표준 PostgreSQL 데이터베이스보다 최대 3배 빠릅니다.
워크로드에 고가용성이 필요한 경우 Amazon Aurora를 고려하십시오. 이 데이터베이스는 6개의 데이터 복사본을 3개의 가용 영역에 복제하고 지속적으로 Amazon S3에 데이터를 백업
Amazon RDS를 다른 서비스와 통합하면 AWS Lambda를 사용하여 서버리스 애플리케이션에서 데이터베이스를 쿼리하는 등 비즈니스 및 운영 요구 사항을 충족할 수 있습니다
대부분의 Amazon RDS 데이터베이스 엔진이 저장 시 암호화(데이터가 저장되는 동안 데이터를 보호) 및 전송 중 암호화(데이터를 전송 및 수신하는 동안 데이터를 보호)를 제공
고객이 스키마, 데이터 소유, 네트워크 제어
Amazon DynamoDB
서버리스 데이터베이스이기 때문에 기본 인스턴스나 인프라를 관리할 필요가 없습니다.
테이블을 생성합니다. DynamoDB 테이블은 데이터를 저장하고 쿼리하는 곳
데이터를 중복으로 저장
가용 영역 전체에, 그리고 여러 드라이브 전체에 사용자를 대신해 데이터를 저장하죠 덕분에 고가용성 데이터베이스 운영의 부담이 대폭 낮아집니다.
DynamoDB의 응답 시간은 밀리초 단위입니다. 그리고 애플리케이션의 사용자가 수백만 명에 달할 수 있다면 확장성과 안정적인 빠른 응답 시간 확보
매우 보편적인 쿼리 언어인 SQL을 사용하지 않으니까
비관계형 데이터베이스 ( 항목, 속성 으로 구성, Key-value)
언제든 테이블에 있는 항목에서 속성을 추가하거나 제거할 수 있습니다. 테이블의 모든 항목에 동일한 속성이 있어야 하는 것은 아닙니다. 일부 항목 간 변형이 있는 데이터 세트에 유용한 특징이죠.
응답 시간이 매우 빠르고 확장성이 뛰어납니다.
서버리스
No SW / 유지관리, 운영 필요 없음
용량자동 축소, 확장
페타바이트 / API access / 대규모 처리량 기능
인스턴스 스토어
인스턴스를 중지된 상태에서 시작하면 인스턴스가 이전에 사용한 인스턴스 스토어 볼륨이 없는 다른 호스트에서 시작될 수 있습니다.
Amazon S3 (Simple Storage Service)
규모에 상관없이 무한대의 데이터를 저장하고 검색할 수 있는 데이터 저장소
객체 스토리지에서 각 객체는 데이터, 메타데이터, 키로 구성
최대 개별 객체 크기는 5TB
객체를 보거나 객체에 액세스할 수 있는 사람을 제한하는 권한도 설정할 수 있습니다.
객체 버젼 관리
내구성 99.999999999%
3 본 다른곳에 저장
S3 Standard-IA(Standard-Infrequent Access)
access 빈도 낮지만, 필요할 때는 빠르게
백업, 재해복구 파일
장기보관 필요한 곳에 적합
S3 Standard와 비슷하지만 스토리지 가격은 더 저렴하고 검색 가격은 더 높음
모두 최소 3개의 가용 영역에 데이터를 저장
==> 1개 가용 영역 저장 (S3 One Zone-IA)
3S Glacier
예시) 감사를 위한 데이터 장기보관
데이터를 그리 자주 검색하지는 않습니다
Glacier로 옮기거나 저장소를 만든 다음 아카이브로 채우면 됩니다
잠금 정책을 적용하여 저장소를 잠글 수 있습니다.
한 번 쓰기/여러 번 읽기, 즉 WORM 같은 제어를 지정한 다음 향후 편집에서 정책을 잠글 수도 있습니다
잠긴 정책은 변경할 수 없게 됩니다
객체를 몇 분에서 몇 시간 이내에 검색
데이터 보관용으로 설계된 저비용 스토리지
(사진 또는 비디오 파일을 저장)
저장 공간을 무제한으로 제공
S3 Standard
자주 액세스하는 데이터용으로 설계
최소 3개의 가용 영역에 데이터를 저장
웹 사이트, 콘텐츠 배포, 데이터 분석 등 광범위한 사용 사례에 적합
자주 액세스하지 않는 데이터 및 보관 스토리지를 위한 다른 스토리지 클래스보다 비용이 높습니다.
S3 Intelligent-Tiering
액세스 패턴을 알 수 없거나 자주 변화하는 데이터에 이상적
객체당 소량의 월별 모니터링 및 자동화 요금을 부과
객체의 액세스 패턴을 모니터링
사용자가 30일 연속 객체에 액세스하지 않으면 Amazon S3는 자동으로 해당 객체를 자주 사용하지 않는 액세스 계층인 S3 Standard-IA로 이동
용자가 자주 사용하지 않는 액세스 계층에 저장된 객체에 액세스하면 Amazon S3는 자동으로 해당 객체를 자주 사용하는 액세스 계층인 S3 Standard로 이동
S3 Glacier Deep Archive
보관에 이상적인 가장 저렴한 객체 스토리지 클래스
객체를 12시간 이내에 검색
1번쓰기, 여러번 읽기(WORM)
웹지원
서버리스
매번 업데이트시 매번 객체 용량 모두를 읽어야 함
모듈6: 보안
공동 책임 모델
고객
AWS에 저장하기로 선택하는 콘텐츠, 사용하는 AWS 서비스, 해당 콘텐츠에 액세스할 수 있는 사용자를 포함하여 콘텐츠에 대한 보안 요구 사항을 관리할 책임은 고객
Amazon EC2 인스턴스에서 실행할 운영 체제를 선택, 구성 및 패치 적용하는 단계, 보안 그룹을 구성하는 단계, 사용자 계정을 관리하는 단계가 포함
AWS
데이터 센터의 물리적 보안
하드웨어 및 소프트웨어
인프라
네트워크 인프라
가상화 인프라
AWS는 클라우드 자체의 보안, 특히 리소스를 호스팅하는 물리적 인프라를 관리
AWS 계정 루트 사용자
AWS 계정을 처음 만들면 루트 사용자라고 하는 자격 증명으로 시작합니다
AWS 계정을 만들 때 사용한 이메일 주소 및 암호로 로그인하여 액세스 / 이메일 주소 변경 / AWS Support 플랜 변경
계정의 모
든 AWS 서비스 및 리소스에 대한 전체 액세스 권한
대신 루트 사용자를 사용하여 첫 번째 IAM 사용자를 생성하고 이 사용자에게 다른 사용자를
생성할 수 있는 권한을 할당
AWS Identity and Access Management(IAM)
AWS 서비스와 리소스에 대
한 액세스를 안전하게 관리
회사의 고유한 운영 및 보안 요구 사항에 따라 액세스 권한을 구성할 수 있는 유연성
을 제공
IAM 그룹
IAM 사용자의 모음입니다. 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용
자에게 정책에 지정된 권한
IAM 정책
AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서입니다
IAM 역할
직원이 다른 직무로 전환해야 할 경우 한 워크스테이션에 대한 액세스 권한을 포기하고 다음
워크스테이션에 액세스할 수 있습니다.
직원은 여러 워크스테이션 사이를 쉽게 전환할 수
있지만 특정 시점에서는 단일 워크스테이션에만 액세스 할 수 있습니다
임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명입니다.
IAM 역할을 수임한다는 것은 이전 역할에 지정된 모든
권한을 포기하고 새 역할에 지정된 권한을 수임하는 것입니다.
IAM 역할은 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해
야 하는 상황에 이상적
기본적으로 AWS에서 새 IAM 사용자를 생성하면 해당 사용자와 연결된 권한이 없습니다. IAM 사용자가 AWS에서 Amazon EC2 인스턴스 시작, Amazon S3 버킷 생성 등 특정 작업을 수행할 수 있도록 허용하려면 IAM 사용자에게 필요한 권한을 부여해야 합니다.
AWS에 액세스해야 하는 각 사용자마다 개별 IAM 사용자를 생성하는 것이 좋습니다
IAM 정책은 AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서입니다
Multi-Factor Authentication
AWS Organizations
중앙 위치에서 여러 AWS 계정을 통합하고 관리할 수 있습니다.
조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자
동으로 생성합니다.
AWS Organizations에서는 서비스 제어 정책(SCP)을 사용하여 조직의 계정에 대한 권한을
중앙에서 제어할 수 있습니다.
SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있
는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다
통합 결제는 AWS Organizations의 또 다른 기능
조직의 모든 AWS 계정에 대한 단일 청구서를 받을 수 있습니다. 결제를 통합하면 조직에 있는 모든 연결 계정의 결합된 비용을 손쉽게 추적할 수 있습니다. 기본적으로 조직에 허용되는 최대 계정 수는 4개이지만, 필요한경우 AWS Support에 문의하여 할당량을 늘릴 수 있습니다.
AWS Organizations에서는 계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보
안 요구 사항이 있는 계정을 손쉽게 관리할 수 있습니다
OU에 정책을 적용하면 OU의 모든
계정이 정책에 지정된 권한을 자동으로 상속
AWS Artifact
AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액
세스를 제공하는 서비스
AWS Artifact Agreements
AWS Artifact Agreements
AWS Artifact Reports
회사의 개발 팀원 한 명이 애플리케이션을 빌드하는 도중 특정 규제 표준을 준수하기 위한 책임에 대한 추가 정보가 필요하다고 가정해 보겠습니다. AWS ArtifactReports에서 이 정보에 액세스하도록 조언
주요 규정 준수 질문에 대한 AWS 답변
보안 감사 체크리스트
AWS SOC(System and Organization Controls) 보고서는 AWS가 주요 규정 준수 제어 항목 및 목표를 어떻게 달성하고 있는지를 보여주는 독립적인 타사 심사 보고서입니다. 이러한 보고서는 고객과 고객의 감사자가 운영 및 규정 준수를 지원하기 위해 마련된 AWS 통제 항목을 이해하는 데 도움을 주고자 작성
서비스 거부(DoS) 공격
DoS 및 DDoS 공격이 애플리케이션에 미치는 영향을 최소화하기 위해 AWS Shield를 사
용
AWS Shield Standard
모든 AWS 고객을 자동으로 보호하는 무료 서비스입니다
AWS Shield Advanced
상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수
있는 기능을 제공하는 유료 서비스입니다
AWS Key Management Service(AWS KMS)
암호화 키를 사용하여 암호화작업을 수행할 수 있습니다. 암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사\용되는 임의의 숫자 문자열
암호화 키를 생성, 관리 및 사용
할 수 있습니다. 또한 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있습니다.
키를 관리할 수 있는 IAM 사용자 및 역할을 지정할 수 있습니다
더 이상 사용되지
않도록 일시적으로 키를 비활성화할 수 있습니다.
키는 AWS KMS를 벗어나지 않으며, 사용
자가 항상 키를 제어할 수 있습니다.
AWS WAF
웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플
리케이션 방화벽
AWS WAF는 Amazon CloudFront 및 Application Load Balancer와 함께 작동합니다
AWS WAF는 비슷한 방식으로 작동하여 트래픽을 차단하거나 허용합니다. 그러나 AWS 리소스를 보호하기 위해 웹ACL(액세스 제어 목록)을 사용합니다.
Amazon Inspector
자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를개선할 수 있는 서비스입니다. 이 서비스는 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서검사
Amazon GuardDuty
이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니
터링하여 위협을 식별
GuardDuty를 활성화하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작합니다. 추가 보안 소프트웨어를 배포하거나 관리할 필요가 없습니다. 그런 다음GuardDuty는 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석
GuardDuty가 위협을 탐지한 경우 AWS Management Console에서 위협에 대한 자세한탐지 결과를 검토
GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록AWS Lambda 함수를 구성
모듈 7 모니터링 및 분석
Amazon CloudWatch
다양한 지표를 모니터링 및 관리하고 해당 지표의 데이터를 기반으로 경보 작업을 구성할 수 있는 웹 서비스입니다.
CloudWatch 경보
지표의 값이 미리 정의된 임계값을 상회 또는 하회할 경우 자동으로 작업을 수행하는 경보를 생성
CloudWatch 대시보드
예를 들어 CloudWatch 대시보드를 사용하여 Amazon EC2 인스턴스의CPU 사용률, Amazon S3 버킷에 대해 실행된 총 요청 수 등을 모니터링
AWS CloudTrail
계정에 대한 API 호출을 기록합니다. 기록되는 정보에는 API 호출자ID, API 호출 시간, API 호출자의 소스 IP 주소 등이 포함됩니다
애플리케이션 및 리소스에 대한 사용자 활동 및 API 호출의 전체 내역을 볼 수 있습니다.
API 호출 후 15분 이내에 CloudTrail에서 업데이트됩니다. API 호출이 발생한 날짜 및 시간, 작업을 요청한 사용자, API 호출에 포함된 리소스 유형 등을 지정하여 이벤트를 필터링할 수 있습니다.
CloudTrail Insights
CloudTrail이 AWS 계정에서 비정상적인 API 활동을 자동으로 감지할 수 있습니다
모듈 9 마이그레이션 및 혁신
AWS Cloud Adoption Framework(AWS CAF)
비즈니스 관점
비즈니스 관리자
재무 관리자
예산 소유자
전략 이해당사자
인력 관점
인사 관리
인력 배치
인력 관리자
거버넌스 관점
최고 정보 책임자(CIO)
프로그램 관리자
엔터프라이즈 아키텍트
비즈니스 분석가
포트폴리오 관리자
플랫폼 관점
최고 기술 책임자(CTO)
IT 관리자
솔루션스 아키텍트
보안 관점
최고 정보 보안 책임자(CISO)
IT 보안 관리자
IT 보안 분석가
운영 관점
IT 운영 관리자
IT 지원 관리자
6가지 마이그레이션
리호스팅(Rehosting)
‘리프트 앤 시프트(lift-and-shift)’라고도 하는 리호스팅에서는 애플리케이션을 변경 없이 이
전합니다.
리플랫포밍(Replatforming)
실질적인이점을 실현하기 위해 몇 가지 클라우드 최적화를 수행해야 합니다. 최적화는 애플리케이션의 핵심 아키텍처를 변경하지 않고 달성됩니다.
리팩터링(Refactoring)/아키텍처 재설계(Re-architecting)
클라우드 네이티브 기능을 사용하여 애플리케이션을 설계하고 개발하는 방식을 재구성합니다.
일반적으로 리팩터링은 비즈니스 요구 사항으로 인해, 다른 방법으로는 기존 환경의 애플리케이션에서 실현하기가 까다로운 기능 추가, 확장 또는 성능 개선의 필요성이 클 때 활용
재구매(Repurchasing)
기존 라이선스를 Software-as-a-Service 모델로 전환합니다
예를 들어 기업은 고객 관계 관리(CRM) 시스템에서 Salesforce.com으로 마이그레이션하여 재구매 전략을 구현
유지(Retaining)
폐기(Retiring)
AWS Snow 패밀리 멤버
AWS Snowcone,
작고 견고하며 안전한 엣지 컴퓨팅 및 데이터 전송 디바이스입니다
CPU 2개, 4GB 메모리 및 8TB의 가용 스토리지
AWS Snowball
Snowball Edge Storage Optimized
블록 볼륨 및 Amazon S3 호환 객체 스토리지를 위한 80TB의 하드 디스크 드라이브(HDD) 용량, 블록 볼륨을 위한 1TB의 SATA 솔리드 스테이트 드라이브(SSD) 용량.
Snowball Edge Compute Optimized
Amazon S3 호환 객체 스토리지 또는 Amazon EBS 호환 블록 볼륨을 위한 42TB의 가용 HDD 용량과 Amazon EBS 호환 블록 볼륨을 위한 7.68TB의 가용 NVMe SSD 용량
AWS Snowmobile
대용량 데이터를 AWS로 이동하는 데 사용하는 엑사바이트 규모의 데이터 전송 서비스
세미 트레일러 트럭으로 견인되는 45피트 길이의 견고한 운반 컨테이너인 Snowmobile 1대당 최대 100페타바이트의 데이터를 전송
공통 : 디바이스는 각각 다른 용량 포인트를 제공하며 대부분 내장 컴퓨팅 기능을 포함
AWS는 인공 지능(AI)
Amazon Transcribe를 사용하여 음성을 텍스트로 변환
Amazon Comprehend를 사용하여 텍스트에서 패턴을 검색
Amazon Fraud Detector를 사용하여 잠재적인 온라인 사기 행위를 식별
Amazon Lex를 사용하여 음성 및 텍스트 챗봇 빌드
모듈10 AWS Well-Architected 프레임워크
AWS 클라우드에서 안정적이고 안전하며 효율적이
고 비용 효율적인 시스템을 설계하고 운영하는 방법
5가지 핵심 요소를
운영 우수성
클라우드에서의 운영 우수성을 위한 설계 원칙에는 코드로 작업 수행, 문서에 주석 추가, 실
패 예측, 되돌릴 수 있는 소규모 변경을 자주 수행이 포함됩니다
보안성
가능한 한 보안 모범 사례를 자동화합니다
모든 계층에 보안을 적용합니다
전송 중/저장 시 데이터를 보호합니다
안정성
인프라 또는 서비스 중단으로부터 복구
컴퓨팅 리소스를 동적으로 확보하여 수요를 충족
잘못된 구성 또는 일시적인 네트워크 문제와 같은 중단 완화
성능 효율성
컴퓨팅 리소스를 효율적으로 사용하여 시스템 요구 사항을 충족 하고, 수요 변화와 기술 진화에 따라 이러한 효율성을 유지하는 능력입니다
비용 최적화
비용 최적화에는 소비 모델 채택, 비용 분석 및 귀속, 관리형 서비스를 사용하여 소유 비용 절감이 포함
클라우드 컴퓨팅의 이점
선행 비용을 가변 비용으로 대체
거대한 규모의 경제로 얻는 이점
클라우드 컴퓨팅을 사용하면 소유하고 있는 인프라에서 작업을 수행할 때보다 가변 비용이 낮습니다. 수십만 고객의 사용량이 클라우드에 합산되므로 AWS와 같은 공급자는 더 높은 규모의 경제를 달성할 수 있고, 이는 종량제 요금이 더 낮아지는 효과
용량 추정 불필요
속도 및 민첩성 개선
데이터 센터 운영 및 유지 관리에 비용 투자 불필요
몇 분 만에 전 세계에 배포