Jul 20, 2023

AWS SAA-C03 Udemy 요약

AWS SAA-C03 Udemy 요약
  • Udemy SAA-C03 강의 중 시험 또는 중요라고 언급된 부분에 대해서 시험 전에 가볍게 읽어 보도록 정리한 페이지입니다.
  • 덤프 안 보고 순수하게 문제 읽고 파악하고, 이해하고 문제를 풀었습니다. 조금 어려웠습니다. (덤프 보면 쉬우려나??)
  • 그리고 아래 요약은 반드시 유데미 강의를 봐야 이해 할 수 있습니다.
시험 보기 전
33 EC2 유형
대략 아시는 것
 
34 SecureGroup
간단한 방화벽이라고 생각
43 인스턴스 유형
  • 워크로드에 적합한 인스턴스는?
  • 스팟 인스턴스는 아주 중요한 작업 x, DB x
  • 전용 호스트 vs 전용 인스턴스 : 전용 인스턴스란 여러분이 자신만의 인스턴스를 자신만의 하드웨어에 갖는다는 것인 반면에, 전용 호스트는 여러분이 물리적 서버 자체에 대한 접근권을 갖고 낮은 수준의 하드웨어에 대한 가시성을 제공해 준다는 점
44 스팟 인스턴스
  • 배치작업, 데이터 분석, 실패 시 복원력 있는 워크로드
  • 스팟 인스턴스 종료 방법 : 스팟 요청 취소 -> 스팟 종료
  • 스팟 플릿 : 한세트의 스팟 인스턴스에 선택적 온디맨드 인스턴스 조합 -> 정의된 비용 제한 내에서 대상 용량을 맞추려고 노력,
  • lowest Price 전략 : 아주 짧은 워크로드에 적합
  • diversified 전략 : 긴 워크로드, 가용성이 좋음, 다른 풀이 중단되어도 다른 풀이 활성화
  • capacityOptimized : 인스턴스 개수에 따라 최적 용량으로 실행
63 EBS 다중연결
  • 같은 AZ로만 EBS 연결 가능
  • io 1/2 만 가능
  • 최대 16개 인스턴스 연결 가능
  • 클러스터 인식 파일 시스템만 사용 가능
  • gp2/3, io1/2 - 16000 기준
65 EFS
  • 수천 개의 NFS 클라이언트에서 동시 엑세스 가능
  • 초당 10GB
  • 프로비저닝 없이 PB 규모로 자동 확장
  • EFS standard -> 60일 -> EFS IA (One-zone IA 도 가능 90% 할인)
  • EFS 사용하는 경우, 유효성 검사 및 요구사항 준수를 위해 EFS 네트워크 파일 시스템에 설정할 옵션
  • EFS는 EBS에 비해 3배 비쌈
  • EFS는 사용한 만큼 비용, EBS는 드라이브 크기에 따라 비용
69 고가용성
  • 스케일 인/아웃 업/다운 개념
75 NLB
  • UDP, TCP => NLB
  • TCP, HTTP, HTTPS 지원 -> 상태확인
77 GWLB
• 6081 포트, GENEVE 프로토콜 사용
82 ELB
  • 연결 드레이닝 = 연결 취소 지연
  • ELB가 등록 취소 중인 EC2에는 새로운 요청을 보내지 않는 것
87 RDS
  • RDS 오토스케일링
89 RDS
• RDS 읽기 복제본, 다중 AZ
89 RDS
• RDS 생성 시 옵션 확인 필요
91 AURORA
• 리더 엔드 포인트, 라인터 엔드 포인트
93 AURORA 고급
  • Aurora Global 데이터베이스에서 리전에 걸쳐 데이터를 복제하는데 걸리는 시간은 평균 1초 미만 -> 문장이 시험에 보인다면 Global Aurora를 사용하란 단서입니다.
  • sage maker, comprehend
94 RDS & Aurora - 백업 및 복원
  • RDS를 매달 2시간만 사용 예정 -> 스냅샷 만들어서 사용
  • AURORA - percona xtraBackup 사용 -> S3로 백업 전송 -> auroro 로 복원
  • AURORA - 스냅샷 이용 백업 복구 (운영 복제해서 스테이징에 사용 가능)
95 RDS Security
  • 암호화가 안되었으면 스냅샷을 암호화하고 그걸 복원
  • TLS로 기본 전송 암호화는 되어 있음
  • SSH x
  • Cloud watch Log 전송
96 RDS proxy
  • 인스턴스에서 바로 RDS로 가지 말고 프록시로 가라 -> DB cpu와 ram의 효율성 증가
  • 서버리스 서비스, 멀티 AZ지원, 오토스케일링
  • Aurora, MySQL, Postgre 지원
97 Elastic cache 개요
레디스와 멤캐시트 차이
99 솔루션 설계자를 위한 ElasticCache
  • 모든 엘라스틱 캐시는 IAM x
  • API 수준의 보안
  • 레디스 : 레디스 auth 사용, 멤캐시트 SASL기반 인증
  • 게임리더보드 -> 레디스 정렬 집합 (sorted sets)
102 Route 53
  • A, AAAA, CNAME, NS
107 Route 53 CNAME vs Alias
  • CNAME으로 안되면 Alias로
  • CNAME과 Aliace 차리 확인 필요
115 Rout53 라우팅 지리적 접근성
  • 지리 접근 라우팅 : 편향을 증가 시켜 한 리전으로 트래픽을 증가 시킬 수 있음
136 S3 복제 실습
  • S3 복제 - 복제 버킷 > managemnet > 복제 규칙 > 규칙 편집 > 삭제 마커 복제 옵션 > 체킹 :: 기본적으로 삭제 마커 버켓은 복제 되지 않지만 해당 옵션으로 복제할 수 있음
  • 위와 같이 했을 때 오리진 버킷에서 객체를 영구삭제해도 복제 버킷에는 삭제 되지 않음
137 s3 스토리지 클래스
  • Standard, Standard IA, O-Z IA, Glacier IR, Galcier FR, Glacier DA, Iteligent Tiering
  • Standard IA - 재해 복구, 백업
  • OZ IA - 온프리미스 데이터 2차 백업, 재생성 가능 데이터 저장
  • Glacier IR : 밀리 단위 초 검색, 분기에 한번 엑세스
  • Glacier FR : Expedited 1~5분, Standard 3~5 시간, Bulk 5~12 시간
  • Glacier DA : standard 12시간, Bulk 48 시간
139 s3 생명 주기
  • 이미지 예제 : 이미지는 standard로 저장 후 glacier로 60일 후 이동, 섬네일은 OZ IA로 하고 60일 후 삭제
141 s3 요청자 지불
• 기본적으로 s3의 버켓 소유자가 전송 → 요금을 지불, 요청자가 지불하기 위해서는 AWS 인증을 받아야 함
142 s3 이벤트
• SQS, SNS, Lambda, Amazon EventBridge
144 s3 퍼포먼스
  • 멀티파트 업로드 : 100mb 권장, 5GB는 무조건 사용
  • S3 trnasfer Acceleration : 엣지 로케이션으로 파일을 올리고, 엣지로케이션에서 private AWS로 버킷에 보냄
  • S3 ByteRange Retches : 파일에서 특정 바이트 범위를 가져와서 GET 요청 병렬화
145 s3, glacier 셀렉트
• 서버 사이드 필터링 : 간단한 SQL 질의 s3(glacier) select하는 것이 효율 적임
146 s3 배치 오퍼레이션
  • s3 버킷 내 암호화 되지 않은 객체 암호화 가능함
  • S3 Inventory 사용 : 암호화 되지 않은 모든 객체 검색 > S3 select로 필터링 -> S3 배치로 암호화
147 s3 암호화
  • SSE-S3 : x-amz-server-side-encryption:AES256 암호화, 간단하지만 사용자 간섭 불가
  • SSE-KMS : key를 KMS로 관리 가능, CloudTrail 로 사용량 감사 가능, x-amz-server-side-encryption:aws:kms로 지정, 처리량 한계가 있어서 스로틀링 오류가 발생할 수 있음
  • SSE-C : 해더에 키를 같이 보내서 암호화 -> HTTPS를 반드시 사용하고, S3에서 파일 받을 때도 키를 보내야 함
  • CSE : S3 업로드 전에 모두 암호화 하여 전송
150 s3 cors
• s3에서 cors를 허용하는 방법 : 특정 오리진을 위해 * 을 사용
153 s3 MFA 삭제
  • 특정 객체 버전의 영구 삭제를 방지하기 위해 MFA를 추가하라는 뜻
158 s3 잠금 정책
  • compliance : 사용자를 포함한 그 누구도 overwrite, delete 안됨, 보존 기간 단축 x, 모드 변경 x, 보존 기간 설정 필요
  • governance : 사용자를 포함한 그 누구도 overwrite, delete 안됨, iam 특별 권한으로 보존 기간 변경, 삭제 가능, 보존 기간 설정 필요
  • legal hold : 보존 기간과 무관, 영구 보호, PutObjectLegalHold IAM 권한 사용자만 법적 보전 설정, 제거 가능
160 CloudFront
  • CDN = CloudFront
166 AWS Global Accelerator
  • CloudFront vs AWS GA
  • 같은점 : 글로벌 네트워크 사용, 엣지로케이션 사용, AWS Shield와 통합
  • 다른점 :
    • CloudFront : 이미지, 동영상 캐시 가능한 것 + API 가속 및 동적 사이트 전달, 가끔씩 엣지 로케이션은 origin에서 컨텐츠를 가져 옴
    • AWS GA : TCP, UDP 어플리케이션 성능 향상(IoT, VoIP, 비 HTTP), 고정 IP 요구하는 HTTP에 유용, 신속한 장애 조치
170 아키텍처 : snowball에서 glacier까지
  • snowball은 다이렉트로 glacier에 넣을 수 없음
  • 우선 S3에 넣고, S3 생명주기 정책으로 glacier에 넣음
171 Amazon FSx 개요
  • FSx for Windows File Serve : Linux EC2에도 마운트 가능
  • FSx for Lustre :
    • Linux cluster
    • 영구 및 스크래치 파일 시스템
    • 심리스 s3 (FSx 통해서 s3에 read, write 가능)
    • VPN 직접 연결 : 온프레미스 서버에서 사용 가능
  • FSx for NetApp ONTAP :
    • NFS, SMB, ISCSI 프로토콜 호환
    • NAS에서 AWS 이동 가능
    • 동시 복제, 스냅샷, 오토스케일링,
    • 신속 복제, 중복 제거 기능 O
  • OpenZFS
    • 여러버전 NFS 프로토콜 호환
    • 동시 복제, 스냅샷, 중복제거 기능 x
    •  
173 스토리지 Gateway
  • Amazon S3 File Gateway, FSx File Gateway, Volume gateway, Tape gateway의 차이점 알면 됨
  • volume gateway : EBS 스냅샷으로 지정된 시간 백업됨
  • cached volumes : 짧은 액세스 시간,
  • stored volumes : 오프사이트 백업 예정인 온프레미스 데이터
176 datasync - 개요
  • NFS POSIX 파일 시스템과 SMB권한 준수
  • 파일을 한 곳에서 다른 곳에 옮길 때, 메타데이터, 파일 권한 유지 됨
  • datasync를 사용하고자 하는데, 네트워크 용량이 안되면 aws snowcone 실행
177 모든 AWS 스토리지 옵션 비교
  • s3: 오브젝트 스토리지
  • s3 glacier : 아카이빙
  • EBS : 네트워크 스토리지 for ec2
  • InstanceStorage : High IOPS
  • EFS : 네트워크 스토리지, POSIX 파일시스템
  • FSx for Windows : 윈도 서버용 네트워크 파일 시스템
  • FSx for Lustre : 고성능 컴퓨팅 용 리눅스 파일 시스템
  • FSx for NetApp ONTAP : 다양한 OS 호환
  • FSx for OpenZFS : 관리형 ZFS 파일 시스템
  • Storage Gateway : S3 & FSx File gateway, 볼륨 Gateway(cache & stored), Tape Gateway
  • Transfer Family : S3 또는 EFS용 FTP, FTPS, SFTP 인터페이스
  • DataSync : 스케쥴로 동작하는 데이터 싱크
  • snowcone, snowball, snowmobile : 대용량 데이터 이동
  • DB...
179 Amazon SQS - 표준 Queues 개요
  • 애플리케이션 분리 = SQS
  • CloudWatch Alarm + SQS(ApproximateNumberOfMessage) + ASG(EC2)
  • 암호화는 HTTPS 사용, KMS 키 사용, 클라이언트가 자체적으로 encryption/decryption
181 SQS - 메시지 가시성 시간 초과
  • 매우 중요
  • 메시지 처리 중에 다른 컨슈머가 동일한 메시지를 동시에 처리하지 않도록 하는 데 사용되는 매개 변수
182 SQS - 롱폴링
• SQS 대기열에 대한 API 호출 수를 최적화하고 지연 시간을 줄이는 법 = 롱 폴링
183 SQS - FIFO queues
  • 순서대로 처리
  • 이름에 .fifo를 넣어야 함
184 SQS + 오토스케일링 그룹
  • 분리나 급격한 증가한 로드, 혹은 시간초과 이슈 => 신속한 스케일링 필요 => SQS 대기열
186 SNS 및 SQS - 팬아웃 패턴
  • new transaction - SNS topic - 필터 정책 - SQS
ㄴ필터 정책 - SQS
ㄴ필터 정책 - SQS
187 SNS - 실습
  • 프로토콜에는 Kinesis Data Firehose, SQS, Lambda, Email, Email-JSON HTTP, HTTPS, SMS
189 Kinesis Data Stream
notion image
notion image
실시간이라는 말이 나오면 키네시스 데이터 스트림,
거의 실시간은 키네시스 데이터 파이어호스
191 Kinesis Data Firehose 개요
  • I AWS 수신처 : S3, Redshift(copy through s3), Elastic Search
  • 3rd 수신처 : 데이터독, 스플렁크, 뉴렐릭, 몽고db
  • Custom 수신처 : HTTP 엔드포인트
  • kinesis data stream과 firehose 사용 구분
194 Kinesis와 SQS FIFO에 대한 데이터 정렬
  • Kinesis data stream : 샤드당 데이터를 정렬할 때
  • SQS FIFO : 대기열 1개, 트럭 ID에 상응하는 그룹 ID 100개 생성 -> 소비자도 최대 100개 :: 그룹 ID 숫자에 따른 동적 소비자 수가 필요할 때 사용
196 Amazon MQ
  • 고가용성 설정 상태에서 데이터가 유지 되는 것은 EFS 때문
198 ECS
  • EC2 instance와 fargate 는 efs 연결, S3는 x
202 ECS - autoscaling
  • 오토스케일링 기준 - cpu, ram, ALB 타겟 당 리퀘스트 수
  • 시험에는 파게이트를 좋아함
204 ECR
  • 도커 이미지 저장은 S3
205 EKS
  • Eks는 컨테이너 스토리지 인터페이스 (CSI) 드라이버 사용
208 AWS App Runner
  • 컨테이너 애플리케이션을 컨테이너 이미지 기반으로 자동으로 빌드 배포
211 Lambda
  • 람다 컨테이너 이미지 = 람다 런타임 api를 구현된 이미지 이기 때문에 이런 이미지가 아닌 경우 ECS나 EKS에서 컨테이너를 실행해야 함
213 람다 한계
  • 최대 실행 시간 15분, 환경변수 4kb, 실행 시 최대 10GB 메모리, 배포 파일 최대 50MB (비압축 250MB), 함수 생성이나 용량이 큰 배포파일은 /tmp 사용
215 Lambda in VPC
  • VPC안에 람다를 생성해야 VPC 안의 RDB등을 사용할 수 있음
  • 람다가 많이 생성되니 RDB Proxy를 만들어서 여기에 연결하도록 하는 것이 좋음 -> 연결 풀링 및 공유로 확장성 증가, 장애 조치 시간 66%까지 줄임, IAM 인증 강제하여 보안 증가, 자격증명은 Secret Manager에 저장
216 다이나모DB
  • 초당 수백만 개 요청 수행, 수백 TB 스토리지, DB가 내부에 분산되어 방대한 워크로드 확장 가능
  • 데이터 유형과 스키마를 빠르게 전개해야 할 때 다이나모를 선택
  • 수백만개의 트랜잭션을 1분내에 확장하는 어플리케이션 -> 온디멘드 모드 선택
  • 트랜잭션이 없거나 하루 4~5회라면 프로비저닝 모드 선택
  • 다이나모 DB는 AWS의 CTO가 만들어서 AWS에서 매우 좋아함 → 시험에 반드시 나옴
217 다이나모 DB 실습
  • 온디멘드 - 읽고 쓰기에만 과금, 비쌈
  • 프로비저닝 - 미리 읽기, 쓰기 용량 할당 하여 비용 관리 모드 선택, 오토스케일링 설정
218 다이나모 DB 심화
  • DAX = 다이나모 DB 캐시, 데이터를 마이크로초 수준의 지연 시간 제공, 읽기 혼잡을 해결, 무결절 인메모리 캐시
  • 집계결과 저장은 elastic cache 사용, 대용량 연산 저장은 다이나모 DB
  • 글로벌 테이블 - 여러 리전 간 복제 가능한 테이블
  • TTL - 웹사이트 로그인했을 때 세션을 다이나모에 2시간 저장하고 TTL을 걸어 두면 2시간 후 자동 삭제 되어, 세션 만료 처리가 가능함
  • 재해복구 - 지정 시간 복구 PITR 설정하여 지속적인 백업 수행 가능
228 Aurora
  • 오로라 글로벌 - 리전간 데이터 복제 1초 미만
229 elastic cache
  • Elastic cache를 사용하기 위해서는 코드 변경이 필요함 -> 시험에 코드 변경이 없이라고 하면 elastic cache는 답이 아님
230 다이나모 db
  • DAX 읽기 지연이 백만분의 1초
  • 400kb 미만 문서, 빠른 스키마 나오면 다이나모 db
232 다큐먼트 db
  • 몽고 db
233 넵튠
  • 완전 관리형 graphDB
234 키스페이스
  • 아파치 카산드라 : NoSQL 분산 DB
235 QLDB
  • 은행, 금융관련 내용 나올 때 DB
  • 중앙 권한 관리가 있어서 관리형 체인블록과는 다름
237 아테나
  • 서버리스 SQL 엔진 사용 S3 분석 -> 아테나
  • 아테나 비용 감소 :
    • 열 기반 데이터 검색 : aws glue ETL 사용하여 Apache Parquet, ORC(Optimized Row Columnar) 로 데이터 변환
    • 데이터 압축
    • S3 데이터를 가상 컬럼으로 분활
    • 128mb 보다 큰 파일 사용하여 오버헤드를 줄임 (작은 파일이 많으면 그만큼 많이 검색하게 된다)
  • 아테나 - RDB, 다이나모 다 됨 , 온프레미스는 람다(데이터 원본 커넥터) 사용
239 Redshift
  • Postgre기반, OLAP 지원
  • S3에 임시 쿼리는 아테나가 좋음, 조인집계는 레드쉬프트가 좋음
  • Redshift 스펙트럼을 사용하면 s3 데이터를 적재하지 않아도 되므로 클러스터에 프로비저닝 한 것 보다 많이 처리 가능
241 EMR
  • 하둡 클러스터 + 빅데이터(기계학습,  웹 인덱싱, Presto, Flink) -> EMR
242 QuickSight
  • 아테나, 레드쉬프트등 각종 DB와 s3, 오픈서치, 온프리미스(JDBC), SaaS에서 데이터를 가져와서 인메모리 연산으로 대시보드 생성
  • 퀵사이트 안의 사용자와 그룹은 IAM이 아님
243 Glue
  • Glue Job Bookmarks : 데이터 재처리 방지
  • Glue Elastic View : 코드 없이 RDS나 오로라, s3의 데이터를 가지고 뷰를 만들어줌
244 Lake formation
  • 중앙화된 권한 - 각종 DB에 연결하여 데이터를 중앙 화 하다 보니 권한이 복잡해지는데, lake formation으로 권한을 중앙화 할 수 있어서 씀
247 MSK
  • kinesis와 비슷
248 빅데이터 수집 파이프라인
• IoT 코어 - kinesis (실시간 수집) - firehose (거의 실시간) - (lambda) - s3 - SQS - lambda - Athena - S3 - QuickSight - RedShift
249 Rekognition 개요
  • 이미지 동영상 분석에 사용
250 Transcribe
  • Speech to text
  • PII (redication으로) 개인 식별 정보 제거
251 Polly
  • Text to speech
  • SSML
254 Comprehend
  • NLP => Comprehend
256 sagemaker
  • ML
257 forecast
  • 예측 => forecast
258 kendra
  • 문서 검색 서비스 => kendra
259 Personalize
  • 소매점, 미디어, 엔터테인먼트 + ML => Personalize
260 Textract
  • 문서에서 텍스트 추출
261 ML 요약
  • Rekognition : 얼굴 탐지 및 라벨링, 유명인 인식을 수행
  • Transcribe : audio to text
  • Polly : text to audio
  • Translate : 번역
  • Lex : 챗봇
  • Connect : 클라우드 고객 센터
  • Comprehend : 자연어 처리
  • SageMaker : ML
  • Forecast : 예측
  • Kendra : ML 기의 문서 검색 엔진
  • Personalize : 소매점, 미디어, 엔터테인먼트 + ML => Personalize
  • Textract : 텍스트와 데이터를 탐지, 문서 추출
266 cloudwatch unified agent
  • ec2 지표 보다 더 많은 정보 수집가능
271 CloudWatch Insights and Operational Visibility
  • CloudWatch Container Insights (클라우드워치 컨테이너 인사이트):
    • ECS, EKS, EC2 위에서 동작하는 Kubernetes, Fargate 등을 지원하며, Kubernetes용 에이전트가 필요합니다.
    • 메트릭과 로그를 제공합니다.
  • CloudWatch Lambda Insights (클라우드워치 람다 인사이트):
    • 서버리스 애플리케이션을 문제 해결하기 위한 상세한 메트릭을 제공합니다.
  • CloudWatch Contributors Insights (클라우드워치 컨트리뷰터 인사이트):
    • CloudWatch Logs를 통해 "Top-N" 기여자를 찾을 수 있습니다.
  • CloudWatch Application Insights (클라우드워치 애플리케이션 인사이트):
    • 자동화된 대시보드를 생성해 사용하는 애플리케이션과 관련된 AWS 서비스나 애플리케이션의 트러블 슈팅을 도움
272 CloudTrail 개요
  • User - 다이나모 DB - cloud train (api call) - amazon event bridge - SNS
274 AWS config 개요
  • '보안 그룹에 제한되지 않은 SSH 접근이 있나?'
  • '버킷에 공용 액세스가 있나?'
  • '시간이 지나며 변화한 ALB 구성이 있나?'
276 CloudTrail vs CloudWatch vs Config
  • Watch : 지표 기준 대시 보드를 만들어줌
  • Config : 구성 변경 기록, 정책이 맞는지 확인해서 알람 발생
  • Trail : api 호출 기록
279 IAM - 고급
notion image
280 IAM - Resource-based Policies vs IAM Roles
  • 역할 기반 : 기존의 권한을 모두 포기하고 해당 역할에 할당된 권한을 상속
  • 리소스 기반 정책 : 권한을 포기할 필요가 없습니다
  • IAM 역할 기반 : Kinesis Data Streams
  • 리소스 기반 서비스 : Lambda, SNS, SQS, CloudWatch Logs API Gateway
281 IAM 권한 경계
  • admin 권한을 가진 어떤 계정을 생성했고, 권한 경계를 설정해 두면 admin 권한은 권한 경계에만 적용이 되고, 다른 서비스에는 접근이 안됨
    • notion image
  • 위와 같이 되어 있을 때 sqs에 대한 모든 리소스 권한이 deny되어 있기 때문에 아래에 sqs:DeleteQueue가 allow 되어 있어도 allow는 deny 됨
  • 또한 ec2 관련 된 권한에 대해서 allow 도 deny도 없으므로 deny 됨
282 Amazon Cognito 개요
  • “hundreds of users”, ”mobile users”, “authenticate with SAML” => cognito
283 AWS IAM Identity Center
  • Single signon = IAM Identity Center
  • aws에 한 번에 로그인
284 AWS 디렉토리 서비스 - 개요
  • AWS 클라우드에서 사용자를 관리하고 MFA를 사용해야 할 때는 AWS 관리형 AD가 필요
  • 온프레미스에서 사용자를 프록시한다면 AD 커넥터가 필요
  • 온프레미스가 없을 때는 Simple AD를 선택
289 KMS 개요
  • AWS KMS : CloudTrail을 사용할 때 키를 사용하기 위해 호출한 모든 API를 감사할 수 있다는 점
293 암호화된 AMI 공유 프로세스
  1. 원본 계정의 AMI는 원본 계정의 KMS 키로 암호화되어 있습니다.
  1. 지정된 대상 AWS 계정에 해당하는 Launch 권한을 추가하기 위해 이미지 속성을 수정해야 합니다.
  1. 대상 계정과 AMI가 참조하는 스냅샷을 암호화하는 데 사용된 KMS 키를 대상 계정과 공유해야 합니다. / IAM 역할
  1. 대상 계정의 IAM 역할/사용자는 DescribeKey, ReEncrypted, CreateGrant, Decrypt 권한을 가지고 있어야 합니다.
  1. AMI에서 EC2 인스턴스를 시작할 때, 대상 계정은 볼륨을 다시 암호화하기 위해 자체 계정에서 새 KMS 키를 지정할 수 있습니다
297 AWS Secrets Manager - 개요
  • RDS와 Aurora의 통합 혹은 암호에 대한 내용 ⇒ Secrets Manager
300 WAF
  • 네트워크 7 계층에서 동작
  • WAF 배포 : ALB(NLB x), API Gateway CloudFront, AppSync, GraphQL API, Cognito 사용자 풀
  • 앱을 고정 IP로 사용하고 WAF를 설치하고 싶다면, LNB에는 설치가 불가능하고 ALB는 고정 IP가 없으므로 AWS Global Accelator에 고정 IP를 주고, ALB에서 WAF 활성화 하면 됨
301 Shield
  • DDOS 공격 방어, 네트워크 3,4 계층 보호
305 Amazon GuardDuty
  • GuardDuty로 암호화폐 공격을 보호
  • VPC 흐름 로그, CloudTrail 로그, DNS 로그 및 EKS 감사 로그에서 정보를 가져오고 cloud watch event로 전달하여 SNS로 알림 (또는 람다)
  • 백그라운드에서 ML로 동작
306 Amazon Inspector
아래 3 경우에만 동작
  • EC2 인스턴스의 system manager(SSM) agent 활용 : 보안평가 수행, 취약점 확인
  • 컨테이너 이미지를 Amazon ECR로 푸시할 때 실행 : 취약점 감사
  • 람다 함수 배포될 때 역시 감사
307 Amazon Macie
  • S3에서 PII 검색하여 람다 또는 cloud watch event로 알려줌
323 NACL 및 보안 그룹
  • 기본 NACL이 기본적으로 서브넷과 연결된다 = 모든 것이 드나들도록 허용된다는 뜻입니다
보안 그룹(Security Group)
NACL
인스턴스 수준에서 작동
서브넷 수준에서 작동
허용 규칙만 지원
허용 규칙 및 거부 규칙 지원
Stateful: 반환 트래픽은 규칙에 관계없이 자동으로 허용됩니다
Stateless: 반환 트래픽은 규칙에 의해 명시적으로 허용되어야 합니다(휘발성 포트 생각).
트래픽을 허용할지 여부를 결정하기 전에 모든 규칙이 평가됩니다
규칙은 트래픽을 허용할지 여부를 결정할 때 순서대로(가장 낮은 것부터 가장 높음으로) 평가되며, 첫 번째 경기가 승리합니다
누군가에 의해 지정된 EC2 인스턴스에 적용됩니다.
연결된 서브넷의 모든 EC2 인스턴스에 자동으로 적용됩니다.
325 VPC 피어링
  • 라우트 테이블도 수정해 줘야 통신이 됨
327 VPC Endpoints
특성
Gateway 엔드포인트
Interface 엔드포인트
서비스
Amazon S3, DynamoDB
AWS 서비스 대부분
보안
게이트웨이를 프로비저닝하고 라우팅 테이블에서 대상으로 사용해야 함(보안 그룹을 사용하지 않음)
ENI(프라이빗 IP 주소)를 진입점으로 프로비저닝(보안 그룹을 연결해야 함)
요금
무료
시간당 $ + 처리된 데이터의 GB당 $
※ S3나 다이나모DB에서 인터페이스 엔드포인트를 쓰는 경우 : 온프레미스(사이트 간 VPN 또는 Direct Connect), 다른 VPC 또는 다른 리전에서 액세스하는 경우에 사용
331 사이트 간 VPN, 가상 사설 Gateway 및 고객 Gateway
  • Virtual Private Gateway (VGW) - Customer Gateway (CGW)
  • CGW가 Public IP가 있으면 그냥 VGW에 연결하고, NAT 디바이스 뒤에 있는 경우, NAT-T(NAT TRAVERSAL)에 사용하도록 설정된 NAT 디바이스의 공용 IP 주소 사용
  • 중요 단계: 서브넷과 연결된 라우팅 테이블에서 가상 프라이빗 게이트웨이에 대한 경로 전파 활성화
  • 온프레미스에서 EC2 인스턴스를 ping해야 하는 경우, 보안 그룹의 인바운드에 ICMP 프로토콜을 추가
333 Direct Connect & Direct Connect Gateway
  • Direct Connect = DX
  • 설치 기간이 1달 이상이니 일주일 안에 빠르게 데이터를 전송하고 싶다면 Direct Connect는 답이 아님
  • 암호화 기능이 없으므로 VPN(IPSec)과 함께 구성하는 방안이 있음
  • 핵심 워크로드 복원력을 최대로 끌어 올리고 싶다면 => 각 Direct Connect 로케이션에 독립적인 연결을 두 개씩 수립 (즉 4개 연결)
334 Direct Connect + Site to Site VPN
  • DX를 하나만 해 놓으면 연결이 끊어질 수 있음 DX를 2개로 하지 말고 Site to Site VPN으로 백업을 두면 됨
335 Transit Gateway
  • IP 멀티캐스트 => Transit Gateway
  • ECMP 연결 : ECMP 사용 -> 처리량이 두세 배 -> 성능 최적화 & 비용 추가
  • 각 각 VPC를 Transit Gateway로 연결하면 DX 연결을 공유해서 쓸 수 있음
336 VPC 트래픽 미러링
  • VPC 트래픽 미러링 : 콘텐츠 검사와 위협 모니터링, 네트워킹 문제 해결
337 VPC용 IPv6
  • 만약 IPv6가 활성화된 VPC가 있는데, 서브넷에서 EC2 인스턴스를 실행할 수 없다 => 서브넷이나 VPC에 IPv4 공간이 없음 => CIRD에 IPv4 추가
342 VPC 섹션 요약
  • CIDR – IP 범위
  • VPC – Virtual Private Cloud = > IPv4 및 IPv6 CIDR 목록을 정의합니다.
  • 서브넷 – AZ에 연결되어 CIDR을 정의합니다.
  • 인터넷 게이트웨이 – VPC 수준에서 IPv4 및 IPv6 인터넷 액세스 제공
  • 경로 테이블 – 서브넷에서 IGW, VPC 피어링 연결, VPC 엔드포인트 등으로 경로를 추가하려면 편집해야 합니다.
  • 배스천 호스트 – SSH를 위한 퍼블릭 EC2 인스턴스로, 프라이빗 서브넷의 EC2 인스턴스에 SSH 연결이 있습니다.
  • NAT 인스턴스 – 프라이빗 서브넷의 EC2 인스턴스에 대한 인터넷 액세스를 제공합니다. 기존, 퍼블릭 서브넷에 설정해야 함, Source / Destination check flag 비활성화
  • NAT 게이트웨이 – AWS에서 관리하며, 프라이빗 EC2 인스턴스에 대한 확장 가능한 인터넷 액세스를 제공하며, IPv4 전용입니다.
  • 프라이빗 DNS + Route 53 – DNS 확인 + DNS 호스트 이름(VPC) 활성화
  • NACL – 상태 비저장, 인바운드 및 아웃바운드에 대한 서브넷 규칙, 임시 포트를 잊지 마세요.
  • 보안 그룹 – 상태 저장, EC2 인스턴스 수준에서 작동
  • Reachability Analyzer – AWS 리소스 간 네트워크 연결 테스트 수행
  • VPC 피어링 – 겹치지 않는 CIDR, 비전이적 방식으로 두 개의 VPC 연결
  • VPC 엔드포인트 – VPC 내에서 AWS 서비스(S3, DynamoDB, CloudFormation, SSM)에 대한 프라이빗 액세스 제공
  • VPC 흐름 로그 – ACCEPT 및 REJECT 트래픽에 대해 VPC/서브넷/ENI 수준에서 설정할 수 있으며, 공격 식별에 도움이 되며, Athena 또는 CloudWatch Logs Insights를 사용하여 분석합니다.
  • Site-to-Site VPN – DC에 고객 게이트웨이, VPC에 가상 프라이빗 게이트웨이, 퍼블릭 인터넷을 통한 Site-to-Site VPN을 설정합니다.
  • AWS VPN CloudHub – 사이트를 연결하는 허브 앤 스포크 VPN 모델
  • Direct Connect – VPC에 가상 프라이빗 게이트웨이를 설정하고 AWS Direct Connect 로케이션에 대한 직접 프라이빗 연결을 설정합니다.
  • Direct Connect 게이트웨이 – 서로 다른 AWS 리전의 여러 VPC에 Direct Connect 설정
  • AWS PrivateLink/VPC 엔드포인트 서비스:
    • 서비스 VPC에서 고객 VPC로 서비스를 비공개로 연결
    • VPC Peering, Public Internet, NAT Gateway, Route Table 불필요
    • Network Load Balancer 및 ENI와 함께 사용해야 합니다.
  • ClassicLink – EC2-Classic EC2 인스턴스를 VPC에 비공개로 연결
  • Transit Gateway – VPC, VPN 및 DX를 위한 전이적 피어링 연결
  • 트래픽 미러링 – 추가 분석을 위해 ENI에서 네트워크 트래픽 복사
  • 송신 전용 인터넷 게이트웨이 – NAT 게이트웨이와 비슷하지만 IPv6용
343 AWS의 네트워킹 비용
  • RDB의 읽기 복제본을 다른 AZ에 놔두면 GB당 1센트를 지불
  • RDB의 쿼리를 AWS 밖에서 하면 송신 비용이 들어가니 쿼리를 인스턴스 등에서 처리해서 결과를 내 보내는 것이 저렴
  • Direct Connect 로케이션을 동일한 AWS 리전으로 설정하여 비용 절약
  • S3에서 직접 데이터를 가져가는 것 보다 cloudfront에서 가져 가게 하는 것이 절약
  • S3 리전간 복제는 GB당 2센트 (미국기준)
  • VPC에서 S3 접근할 때 Nat gateway 보다 VPC 엔드포인트가 저렴
344 AWS Network Firewall
  • VPC 방화벽 => Network Firewall
  • 방화벽은 VPC 수준에서 설정할 수 있음, 트래픽 필터링과 플로우 검사를 지원
345 AWS 재해 복구
  • RPO(Recovery Point Objective) : 한 시간, 1분 등 원하는 대로 설정. RPO는 재해 발생 시 데이터 손실을 얼마만큼 감수할지 설정
  • RTO (Recovery Time Objective) : RTO는 재해 발생 후 복구할 때 사용, 재해 발생 시점과 RTO의 시간 차는 애플리케이션 다운타임
  • 백업과 복구 : 저렴하나 RPO와 RTO가 높음
  • 파일럿 라이트 : RPO와 RTO가 낮으나 비용이 높음
  • 웜 대기
  • 핫 사이트
  • 다중 사이트
 
346 데이터베이스 마이그레이션 서비스(DMS)
  • 서로 다른 종류의 데이터베이스를 마이그레이션 => SCT (스키마 컨퍼터 툴) 사용
종류
백업과 복구
파일럿 라이트
핫 사이트
다중 사이트
웜 대기
정의
데이터를 백업하고 장애 시 데이터를 복구하는 기능
작은 규모의 환경에서 재해 복구 계획을 시험하기 위한 제한된 운영 환경
재해 시 실시간으로 운영 중인 시스템의 복제본
재해 발생 시에도 운영이 지속될 수 있도록 여러 지리적인 위치에 분산된 시스템
데이터를 유지하면서 신속한 복구를 위해 미리 프로비저닝된 인프라
358 AWS의 고성능 컴퓨팅(HPC)
  • EC2 Enhanced Networking 구현 - Elastic Network Adapter(ENA) : 네트워크 속도를 100Gbps
ENA
EFA
ENI
정의
가상 인스턴스에 대한 네트워크 접속 제공
고성능 컴퓨팅 (HPC) 작업에 대한 최적화 네트워크 접속 제공
가상 인스턴스에 대한 네트워크 접속 제공
주요 사용 사례
모든 인스턴스 유형에 대한 일반적인 네트워킹
고성능 컴퓨팅 (HPC) 작업 및 클러스터링
모든 인스턴스 유형에 대한 일반적인 네트워킹
성능
매우 높음
매우 높음
일반적인 네트워크 성능
대역폭
최대 100 Gbps
최대 100 Gbps
최대 25 Gbps
지원 인스턴스 유형
많은 인스턴스 유형에서 사용 가능
일부 인스턴스 유형에서만 사용 가능
모든 인스턴스 유형에서 사용 가능
클러스터링 지원
지원
지원
지원
  • AWS ParallelCluster는 EFA와 함께 사용
 
367 AWS 비용 탐색기
  • AWS 비용 및 시간에 따른 사용량 시각화, 사용자 정의 보고서 생성, 비용과 사용량 데이터를 분석, 대시보드와 도면 생성
  • 유일한 청구 서비스
369 AWS Batch
  • Batch를 필요한 EC2 인스턴스 또는 스팟 인스턴스의 적절한 수를 자동 조정
370 Amazon AppFlow
  • AppFlow는 SaaS 애플리케이션 및 AWS 사이에 데이터를 전송 완전 관리형 서비스
  • 데이터 소스 : Salesforce, SAP, Zendesk, Slack, ServiceNow Salesforce
  • 데이터 타겟 : Amazon S3, Amazon Redshift,, Snowflake나 Salesforce와 같이 AWS가 아닌 것으로도 데이터를 보낼 수 있음
373 AWS Trusted Advisor 개요 + 실습
  • 비즈니스 지원 플랜 : Trusted Advisor 전체 기능에 액세스 가능 (이전 basic, dev에서는 핵심 검사(Core check)만 가능)
  • 비즈니스와 기업 지원 플랜 : Trusted Advisor에 프로그래매틱 액세스 x
Share article