[하나 디지털파워온] AWS 공인교육 필기 (2)

commission boundary 권한 경계

<다중 계정을 사용하는 이유> -조기에 다중 계정 전략 개발 & 비즈니스 요구 진화에 따라 전략 구체화

• 계정마다 자원들을 정리할 수 있다
• 각각 계정마다 결제 처리 따로 할 수 있다
• 정확히 식별 가능
• 계정이 많아지면 문제가 된다! 계정은 권한 제한을 받지 않는다. 회사 전사적 입장에서 제한을 걸고 싶은데 그냥 제한을 걸 수 없다. root 사용자는 제한을 받지 않는다. 결제 프로세스 여러 번 반복하면 좋지 않다. 여러 계정들을 한 번에 묶어서 통제하거나 통합 결제 원한다 → AWS Organizations

<AWS Organization>

• SCP(Service Control Policy) : JSOn 정책
• root 사용자 역시 허용된 작업만 할 수 있다! root 사용자 통제 가능 → 반드시 사용하는 것이 좋다
• 똑같은 정책을 제한받게 된다
• 통합 결제 장점 : 편리! 많이 쓰면 할인해준다! 100 미만은 비용 다 받는데 100 넘으면 많이 할인 받음(할인 폭이 커진다. 묶어서 하기 때문에 사용량이 많다(discount)

💬 다음 중 사용자, 그룹 또는 역할에 연결할 수 있는 항목은 무엇입니까?

1. 리소스 기반 정책
2. AWS STS
3. 보안 그룹
4. 자격 증명 기반 정책

특정 리소스 - 리소스 기반 정책

IAM 사용자의 프로그래밍 방식 액세스에 사용되는 요소 (절대 공개되면 안되는 것들?) - 액세스 키 ID, 비밀 액세스 키

===

mod3 . 네크워킹

* ver6 보다는 ver4(IPv4) 더 많이 사용

CIDR(Classless Inter-Domain Routing)

• Amazon VPC(Virtual Private Cloud) : AWS 환경에서 우리만의 격리된 네트워크가 필요하다면 VPC 만들어라! VPC 안에 서버 만들면 (우리가 허락하지 않으면) 외부에서 접근 못한다!
• 여러 region에 걸쳐서 만들지 못한다! 기본적으로 region 당 5개 만들 수 있다!
• 서버같은 자원들 혹은 데이터베이스 만들기 위해서는 subnet이라는 네트워크를 만들어야 한다
• 서브넷은 특정 가용 영역 안에 만들게 되어 있다
• VPC는 리전 안에 쏙 들어간다! 걸쳐서 만들지 못한다
• 네트워크 대역이 정해져 있다(/16~/28 but 가능하면 크게)
• 필요한 만큼 서브네팅 하면 된다
• public subnet, private subnet의 주소 개수 자체는 동일하며, VPC의 가용영역에 따라 나누면 된다
  • public : 외부에 공개한 서버, 추가 기능을 통해 public으로 변경
  • private : 서버 연결 데이터서비스는 굳이 외부에 공개할 필요가 없다(보안을 위해서), 기본은 전부 다 private
•  

<NAT 게이트웨이를 통한 network address translation>

• 퍼블릭은 외부에서 들어올 수 있고, 프라이빗은 외부에서 들어올 수 없음

<여러 가용 영역에 VPC 배포>

• 필요한 경우 NAT 게이트 들어오는 것은 요청을 통해서
• 비용은 나가도 고가용성(서비스 증가되면 안된다)
• 퍼블릭 프라이빗 두 개 만들고 분산되게!

<네트워크 액세스 제어 목록(NACL)>

• 우리가 허락한 것들만 들어오고 나가게 할 수 있다
• 특정 서브넷 경계의 방화벽(서브넷 단위)

<보안 그룹(security group)>

• 서브마다 독립되어 있다(격리된 별도의 방화벽이 허락할지 말지를 판단)

<보안 그룹과 네트워크 ACL 비교>

• 단일 Amazon VPC는 여러 리전을 포함할 수 있습니다 : 걸칠 수 없기에 거짓
• subnet은 기본적으로 private인데 이를 public으로 만들기 위해서는 인터넷 게이트웨이로 아웃바운드 트래픽을 라우팅해야 한다
• NAT 게이트웨이 - 일종의 공유기 역할 : 외부에서 들어오지 못하는 상태에서 // 프라이빗 서브넷 인스턴스에서 시작된 인터넷 트래픽 허용
• 서브넷에 대한 트래픽 필터링 규칙을 생성하려면 - 네트워크 ACL을 사용해야 한다
• 새 보안 그룹 생성 시 기본적으로 열리는 포트 2가지? -인바운드 트래픽 불허, 모든 아웃바운드 트래픽 허용

<AWS 컴퓨팅의 발전 과정>

1. 온플레이스 : 물리적 서버(서버 구매 비용, 시간 多)
2. 가상화 성숙도 높아짐(2006-AWS 처음 서비스)
3. 서버리스 : 서버가 있지만 신경쓰지 않는다

EC2(클라우드의 가상 서버) 인스턴스 : 가상머신 만들 수 있는 서비스, 이렇게 만든 서버를 인스턴스(VM)라고 한다!

<EC2 인스턴스>

• 물리적인 서버보다 더 장점은 클릭 몇 번으로 용량을 늘리고 줄일 수 있다 유연하게 확장/축소 가능. offscaling 가능. 필요 없으면 지우면 된다
• 서버 수량 확장 축소 가능

<EC2 인스턴스 시작 관련 고려 사항>

• 서버 설치할 때 OS 따로 설치할 필요 없다. 이미지만 선택하면 OS 선택됨
• 스토리지 : SSD
• 추가 사용자 script
•  

T3 인스턴스 : 공개용 서버

태그는 최대한 많이 달수록 좋다

**루트 볼륨(OS 설치됨)**의 템플릿

EC2 인스턴스 패밀리

• 범용 : 밸런스가 좋은 서버들
• 메모리 최적화 : 메모리 성능이 뛰어남
• 스토리지 최적화 : 인풋 아웃풋 성능이 좋아야 한다
• 컴퓨팅 최적화 : cpu 성능이 좋아야 한다
• 가속 컴퓨팅 : GPU, 딥러닝/머신러닝
•  

 

클라우드랑 온프레스

• 클라우드 장점
• 글로벌 인프라 aws 자원들이 어떻게 배치되어있는지(데이터센터 - az - region, 로컬존스, 엘지 로케이션(400개 이상)
• 엣지 로케이션 : 사용자들과 가까운 400개 이상의 엣지, 컨텐츠 표시해서 빠르게 전달
• 진단 체크리스트 (well)기억하기

모듈2: 계정 보안

• 루트 사용자는 모든 것을 다 할 수 있기에 위험,그렇기에 IAM 사용자를 만들어서 제한 권한을 부여해서 참여할 수 있도록 한다(최소권한 부여로 필요한 작업 수행만 할 수 있도록)
• 사용자가 많으면 그룹으로 묶어서 관리
• 영구적권한 주어지지 않을 때 역할 통해서 역할 쓰고 있을 때만 잠깐 권한 주기
• GPI로 클릭 작업 가능
• 관리 콘솔 : 유저 네임과 패스워드 필요
• 엑세스 키가 공개되면 절대 안됨
• IAM 역할에 정책 부여, 사용자나 AWS 서비스에 부여해서 할당되는 그림? 기억하기

모듈 3

• 기본적으로 프라이빗이기 때문에 외부에 공개되지 않음
• 퍼블릭을 만들려면 추가적 작업 필요(vpc를 인터넷과 연결해주는 gateway와 연결, routing table…)
•  

• 보안그룹 서버마다 독립된 방화벽이 있고, 어떤 것을 허락할 것인지 선별하는 것 (들어오는 게 대부분 차단되고, 허용하는 것만 들어올 수 있음) - 네트워크 acl
• 다중 방어 계층이 있는 인프라 설계 인터넷 게이트웨이 연결되어 있는지, 테이블, 네트워크 연결되어 있는지 보안그룹 등 상단 표 기억
• EC2 클라우드 환경에서 컴퓨팅 자원들, 가상머신 고려사항 8가지 기억
•  

: 내가 만든 인스턴스, 내가 만든 버킷이지만 두 개 연결할 수 없다

<인스턴스 메타데이터>

• 유저데이터는 그냥 스크립트임

<Elastic Block Store(EBS)>

• Amazon EBS 볼륨은Amazon EC2 인스턴스를 위해 제공
• 비용으로 인해 필요한 자료만 최소한으로 활용
• SSD랑 하드디스크 두가지 종류가 있음
• 하드디스크는 저렴하지만 성능이 떨어진다
• 범용 SSD : 적당한 가격, 괜찮은 성능
• 프로비저닝된 IOPS SSD(Input/Output Operation Per Second=초당 인풋 아웃풋 몇 번 할 수 있는지에 대한 성능값, 성능 늘리면 빠르게 처리 가능, 빠르게 처리하려면 비용 더 내고 사용 가능, 최신 세대가 더 좋다)

<인스턴스 스토어 볼륨>

• 모두 지원되지 않음(지원되는 서버가 정해져 있다)
• 인스턴스 스토어 볼륨 :

무료로 이용 가능, 임시 데이터로 활용할 수 있음

<Amazon E2C 요금 옵셥>

• 온디맨드
• Saving Plans : 1년 또는 3년 약정, 비용 최대 72%까지 할인 가능, 기한이 길수록 비용이 할인됨.
  • compute savings plans
  • EC2 Instance Savings Plans : 인스턴스만 할인받을 수 있음
• 스팟 인스턴스 : 시간만 잘 맞으면 원래 비용의 90%까지 할인 가능, 가장 많이 할인을 받을 수 있음, 놀고 있을 바에 저렴하게, 혹은 비싸게 변동성이 있음 (ex. 시간당 0.5달러 → 사용자가 많아져서 비용 오름 → 스팟 인스턴스 비용 오름 → 우리가 쓰던 스팟 빼앗아감)

시간당 0.5달러 → 사용자가 많아져서 비용 오름 → 스팟 인스턴스 비용 오름 → 우리가 쓰던 스팟 빼앗아감

<AWS Lambada>

• 코드에 대한 신경을 쓰지 않고 서버리스를 활용할 수 있음
• 지원하는 언어로 자바, 파이썬, 씨쁠 등
• 잠깐 시행된 것에만 비용을 지급하는 편리함
• 다음 주에 더 자세히 배움
• 함수를 만들 수 있음

자격증 과정 : 아키텍트 과정이 가장 업무에 기반되는 것

https://aws.amazon.com/ko/certification/certified-cloud-practitioner/ 

AWS Certified Cloud Practitioner 자격증 | AWS Certification | AWS

* 스토리지 종류

• 스토리지 클래스 : 사용자가 거의 접근을 안할 예정이면 오른쪽, 많이 사용할 얘정이면 왼쪽 / 저장된 데이터에 따라 사용자 요청 횟수에 따라 내용이 저장됨

Amazon simple storage service 는 내구성이 우수한 객체 스토리시 솔루션이다. 용량이 무제한이고 내구성이 99.99999999%이다.

파일 올려놓고 별도로 관리하지 않아도 파일이 손상될 확률이 없다.

<<<-신속한 혁신 추진 민첩성 향상 비용 절감 보안 강화 >>>

<정적 웹사이트는> : 언제나 똑 같은 화면을 구사 고정

<동적 웹사이트 >: 입력한 값에 따라 뭔가가 처리가되고 바뀌는 것 , 백엔드에 따라 바뀜 S3로 정적 사이트는 빠르게 만들 수 있다..

<추가 amazon s3>

• 객체 스토리지
• 인터넷을 통해 사용할 수 있는 용량 무제한의 고성능이고, 매우 편리?

FSx 다 사용할 수 있음 윈도우 용

<데이터 마이그레이션 도구>

클라우드 구성 형태에 따라 분류됨

퍼블릭 클라우드(모든 사용자가 쓸 수 있음) / 프라이빗 클라우드 / 하이브리드 클라우드(우리 회사가 모든 것 다 클라우드로 가는 게 아니라, 일부 서비스만 가고, 일부는 보관하는 형태)

• 오로라 : aws가 만든 자체 엔진
• 관계형 데이터베이스랑 비 관계형 데이터베이스

aws 관리형 서비스의 경우 원래 우리가 하는 많은 일은 대신해 주는 역할을 한다는 뜻

<Amazon S3 액세스 제어>

파일 이름으로는 고유성이 허용되지 않음

버킷 이름은 다른 사용자와 이름을 같게 해서는 안 됨

고유한 버킷 네임으로 중복되지 않도록!

해당 객체 url 이용

접근은 가능하지만 보안상 다 공유되게 하면 안 된다

기본은 모든 사용자가 접근이 안 되는 것!

모두에게 공개하거나 특정 사용자에게만 공개하도록!

access control 원하는 사람에게만 공개하거나 등등

principal : 모든 작업자에게 버킷 목록 보거나 가져가는 것을 허락하겠다, upload 허락X

언급조차 하지 않았다면 묵시적 거부

특정 사용자만 지정 가능

특정 파일만 접근 가능하도록 할 수 있다

<Amazon S3 액세스 포인트>

버킷은 모든 부서가 다 쓴다는 가정 하에!(개발 팀, 운영 팀 등등)

버킷마다 할 수 있는 작업 통제하길 원한다(다른 정책으로)

출입물을 여러 개 만들 수 있다

하나의 버킷에 출입문을 여러 개 만들어서 -> A는 개발팀 출입문, B는 테스트팀 출입문 등

그들에게 맞는 정책을 적용해서, 본인 정책 부여받고 제한된 작업할 수 있다

https://aws.amazon.com/ko/s3/features/access-points/

Amazon S3 액세스 포인트 - Amazon Web Services

제품 스토리지 Amazon S3 Amazon S3 액세스 포인트 S3에서 손쉽게 공유 데이터 집합에 대한 액세스 관리 고객은 점점 더 많이 Amazon S3를 사용하여 공유 데이터 집합을 저장합니다.

이때 데이터는 분석, 기계 학습, 실시간 모니터링 또는 기타 데이터 레이크 사용 사례에 상관없이 여러 애플리케이션, 팀 및 개인에서 집계 및 액세스될 수 있습니다. 이러한 공유 버킷에 대한 액세스를 관리하려면 여러 권한 수준을 사용하는 수십 개에서 수백 개에 이르는 애플리케이션에 대한 액세스를 제어하는 단일 버킷 정책이 필요합니다. 애...

aws.amazon.com

저장된 파일 암호화 가능

이 때 키를 S3가 기본적으로 지원하는 키 or 별도 암호화 키 or 고객이 직접 키 올려두고 사용

고객 키 -> GUI (X) CUI (O)

<서버측 암호화 키 유형>

데이터 늘어나면 용량 늘어나서 스토리지 구매 필요 -> 돈 필요 -> 관리 필요 -> 암호화 또 따로 작성 필요

이러한 것들을 키로 간단하게!

<Amazon S3 스토리지 클래스>

사용자가 거의 접근 하지 않고 저장만~ (버킷별로)

클래스를 잘 선택해야 한다

S3에서 비용 측정하는 것