AWS SAA-C03 Udemy 요약

Jul 20, 2023

Udemy SAA-C03 강의 중 시험 또는 중요라고 언급된 부분에 대해서 시험 전에 가볍게 읽어 보도록 정리한 페이지입니다.

덤프 안 보고 순수하게 문제 읽고 파악하고, 이해하고 문제를 풀었습니다. 조금 어려웠습니다. (덤프 보면 쉬우려나??)

그리고 아래 요약은 반드시 유데미 강의를 봐야 이해 할 수 있습니다.

Ultimate AWS Certified Solutions Architect Associate (SAA)

AWS Certified Solutions Architect Associate 자격 SAA-C03 시험에 합격하기 위한 신규 주제, AWS 실용 지식, 시험 준비 방법과 문제 대비를 진행하는 강의입니다.

https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/

Ultimate AWS Certified Solutions Architect Associate (SAA)

시험 보기 전

AWS Certified Solutions Architect - Associate Official Practice Question Set (SAA-C03 - Korean)

https://awscertificationpractice.benchprep.com/app/aws-certified-solutions-architect-associate-official-practice-question-set-saa-c03#exams/take_exam/165791

33 EC2 유형

대략 아시는 것

34 SecureGroup

간단한 방화벽이라고 생각

43 인스턴스 유형

워크로드에 적합한 인스턴스는?

스팟 인스턴스는 아주 중요한 작업 x, DB x

전용 호스트 vs 전용 인스턴스 : 전용 인스턴스란 여러분이 자신만의 인스턴스를 자신만의 하드웨어에 갖는다는 것인 반면에, 전용 호스트는 여러분이 물리적 서버 자체에 대한 접근권을 갖고 낮은 수준의 하드웨어에 대한 가시성을 제공해 준다는 점

44 스팟 인스턴스

배치작업, 데이터 분석, 실패 시 복원력 있는 워크로드

스팟 인스턴스 종료 방법 : 스팟 요청 취소 -> 스팟 종료

스팟 플릿 : 한세트의 스팟 인스턴스에 선택적 온디맨드 인스턴스 조합 -> 정의된 비용 제한 내에서 대상 용량을 맞추려고 노력,

lowest Price 전략 : 아주 짧은 워크로드에 적합

diversified 전략 : 긴 워크로드, 가용성이 좋음, 다른 풀이 중단되어도 다른 풀이 활성화

capacityOptimized : 인스턴스 개수에 따라 최적 용량으로 실행

63 EBS 다중연결

같은 AZ로만 EBS 연결 가능

io 1/2 만 가능

최대 16개 인스턴스 연결 가능

클러스터 인식 파일 시스템만 사용 가능

gp2/3, io1/2 - 16000 기준

65 EFS

수천 개의 NFS 클라이언트에서 동시 엑세스 가능

초당 10GB

프로비저닝 없이 PB 규모로 자동 확장

EFS standard -> 60일 -> EFS IA (One-zone IA 도 가능 90% 할인)

EFS 사용하는 경우, 유효성 검사 및 요구사항 준수를 위해 EFS 네트워크 파일 시스템에 설정할 옵션

EFS는 EBS에 비해 3배 비쌈

EFS는 사용한 만큼 비용, EBS는 드라이브 크기에 따라 비용

69 고가용성

스케일 인/아웃 업/다운 개념

75 NLB

UDP, TCP => NLB

TCP, HTTP, HTTPS 지원 -> 상태확인

77 GWLB

• 6081 포트, GENEVE 프로토콜 사용

82 ELB

연결 드레이닝 = 연결 취소 지연

ELB가 등록 취소 중인 EC2에는 새로운 요청을 보내지 않는 것

87 RDS

RDS 오토스케일링

89 RDS

• RDS 읽기 복제본, 다중 AZ

89 RDS

• RDS 생성 시 옵션 확인 필요

91 AURORA

• 리더 엔드 포인트, 라인터 엔드 포인트

93 AURORA 고급

Aurora Global 데이터베이스에서 리전에 걸쳐 데이터를 복제하는데 걸리는 시간은 평균 1초 미만 -> 문장이 시험에 보인다면 Global Aurora를 사용하란 단서입니다.

sage maker, comprehend

94 RDS & Aurora - 백업 및 복원

RDS를 매달 2시간만 사용 예정 -> 스냅샷 만들어서 사용

AURORA - percona xtraBackup 사용 -> S3로 백업 전송 -> auroro 로 복원

AURORA - 스냅샷 이용 백업 복구 (운영 복제해서 스테이징에 사용 가능)

95 RDS Security

암호화가 안되었으면 스냅샷을 암호화하고 그걸 복원

TLS로 기본 전송 암호화는 되어 있음

SSH x

Cloud watch Log 전송

96 RDS proxy

인스턴스에서 바로 RDS로 가지 말고 프록시로 가라 -> DB cpu와 ram의 효율성 증가

서버리스 서비스, 멀티 AZ지원, 오토스케일링

Aurora, MySQL, Postgre 지원

97 Elastic cache 개요

레디스와 멤캐시트 차이

99 솔루션 설계자를 위한 ElasticCache

모든 엘라스틱 캐시는 IAM x

API 수준의 보안

레디스 : 레디스 auth 사용, 멤캐시트 SASL기반 인증

게임리더보드 -> 레디스 정렬 집합 (sorted sets)

102 Route 53

A, AAAA, CNAME, NS

107 Route 53 CNAME vs Alias

CNAME으로 안되면 Alias로

CNAME과 Aliace 차리 확인 필요

115 Rout53 라우팅 지리적 접근성

지리 접근 라우팅 : 편향을 증가 시켜 한 리전으로 트래픽을 증가 시킬 수 있음

136 S3 복제 실습

S3 복제 - 복제 버킷 > managemnet > 복제 규칙 > 규칙 편집 > 삭제 마커 복제 옵션 > 체킹 :: 기본적으로 삭제 마커 버켓은 복제 되지 않지만 해당 옵션으로 복제할 수 있음

위와 같이 했을 때 오리진 버킷에서 객체를 영구삭제해도 복제 버킷에는 삭제 되지 않음

137 s3 스토리지 클래스

Standard, Standard IA, O-Z IA, Glacier IR, Galcier FR, Glacier DA, Iteligent Tiering

Standard IA - 재해 복구, 백업

OZ IA - 온프리미스 데이터 2차 백업, 재생성 가능 데이터 저장

Glacier IR : 밀리 단위 초 검색, 분기에 한번 엑세스

Glacier FR : Expedited 1~5분, Standard 3~5 시간, Bulk 5~12 시간

Glacier DA : standard 12시간, Bulk 48 시간

139 s3 생명 주기

이미지 예제 : 이미지는 standard로 저장 후 glacier로 60일 후 이동, 섬네일은 OZ IA로 하고 60일 후 삭제

141 s3 요청자 지불

• 기본적으로 s3의 버켓 소유자가 전송 → 요금을 지불, 요청자가 지불하기 위해서는 AWS 인증을 받아야 함

142 s3 이벤트

• SQS, SNS, Lambda, Amazon EventBridge

144 s3 퍼포먼스

멀티파트 업로드 : 100mb 권장, 5GB는 무조건 사용

S3 trnasfer Acceleration : 엣지 로케이션으로 파일을 올리고, 엣지로케이션에서 private AWS로 버킷에 보냄

S3 ByteRange Retches : 파일에서 특정 바이트 범위를 가져와서 GET 요청 병렬화

145 s3, glacier 셀렉트

• 서버 사이드 필터링 : 간단한 SQL 질의 s3(glacier) select하는 것이 효율 적임

146 s3 배치 오퍼레이션

s3 버킷 내 암호화 되지 않은 객체 암호화 가능함

S3 Inventory 사용 : 암호화 되지 않은 모든 객체 검색 > S3 select로 필터링 -> S3 배치로 암호화

147 s3 암호화

SSE-S3 : x-amz-server-side-encryption:AES256 암호화, 간단하지만 사용자 간섭 불가

SSE-KMS : key를 KMS로 관리 가능, CloudTrail 로 사용량 감사 가능, x-amz-server-side-encryption:aws:kms로 지정, 처리량 한계가 있어서 스로틀링 오류가 발생할 수 있음

SSE-C : 해더에 키를 같이 보내서 암호화 -> HTTPS를 반드시 사용하고, S3에서 파일 받을 때도 키를 보내야 함

CSE : S3 업로드 전에 모두 암호화 하여 전송

150 s3 cors

• s3에서 cors를 허용하는 방법 : 특정 오리진을 위해 * 을 사용

153 s3 MFA 삭제

특정 객체 버전의 영구 삭제를 방지하기 위해 MFA를 추가하라는 뜻

158 s3 잠금 정책

compliance : 사용자를 포함한 그 누구도 overwrite, delete 안됨, 보존 기간 단축 x, 모드 변경 x, 보존 기간 설정 필요

governance : 사용자를 포함한 그 누구도 overwrite, delete 안됨, iam 특별 권한으로 보존 기간 변경, 삭제 가능, 보존 기간 설정 필요

legal hold : 보존 기간과 무관, 영구 보호, PutObjectLegalHold IAM 권한 사용자만 법적 보전 설정, 제거 가능

160 CloudFront

CDN = CloudFront

166 AWS Global Accelerator

CloudFront vs AWS GA

같은점 : 글로벌 네트워크 사용, 엣지로케이션 사용, AWS Shield와 통합

다른점 :

CloudFront : 이미지, 동영상 캐시 가능한 것 + API 가속 및 동적 사이트 전달, 가끔씩 엣지 로케이션은 origin에서 컨텐츠를 가져 옴
AWS GA : TCP, UDP 어플리케이션 성능 향상(IoT, VoIP, 비 HTTP), 고정 IP 요구하는 HTTP에 유용, 신속한 장애 조치

170 아키텍처 : snowball에서 glacier까지

snowball은 다이렉트로 glacier에 넣을 수 없음

우선 S3에 넣고, S3 생명주기 정책으로 glacier에 넣음

171 Amazon FSx 개요

FSx for Windows File Serve : Linux EC2에도 마운트 가능

FSx for Lustre :

Linux cluster
영구 및 스크래치 파일 시스템
심리스 s3 (FSx 통해서 s3에 read, write 가능)
VPN 직접 연결 : 온프레미스 서버에서 사용 가능

FSx for NetApp ONTAP :

NFS, SMB, ISCSI 프로토콜 호환
NAS에서 AWS 이동 가능
동시 복제, 스냅샷, 오토스케일링,
신속 복제, 중복 제거 기능 O

OpenZFS

여러버전 NFS 프로토콜 호환
동시 복제, 스냅샷, 중복제거 기능 x

173 스토리지 Gateway

Amazon S3 File Gateway, FSx File Gateway, Volume gateway, Tape gateway의 차이점 알면 됨

volume gateway : EBS 스냅샷으로 지정된 시간 백업됨

cached volumes : 짧은 액세스 시간,

stored volumes : 오프사이트 백업 예정인 온프레미스 데이터

176 datasync - 개요

NFS POSIX 파일 시스템과 SMB권한 준수

파일을 한 곳에서 다른 곳에 옮길 때, 메타데이터, 파일 권한 유지 됨

datasync를 사용하고자 하는데, 네트워크 용량이 안되면 aws snowcone 실행

177 모든 AWS 스토리지 옵션 비교

s3: 오브젝트 스토리지

s3 glacier : 아카이빙

EBS : 네트워크 스토리지 for ec2

InstanceStorage : High IOPS

EFS : 네트워크 스토리지, POSIX 파일시스템

FSx for Windows : 윈도 서버용 네트워크 파일 시스템

FSx for Lustre : 고성능 컴퓨팅 용 리눅스 파일 시스템

FSx for NetApp ONTAP : 다양한 OS 호환

FSx for OpenZFS : 관리형 ZFS 파일 시스템

Storage Gateway : S3 & FSx File gateway, 볼륨 Gateway(cache & stored), Tape Gateway

Transfer Family : S3 또는 EFS용 FTP, FTPS, SFTP 인터페이스

DataSync : 스케쥴로 동작하는 데이터 싱크

snowcone, snowball, snowmobile : 대용량 데이터 이동

DB...

179 Amazon SQS - 표준 Queues 개요

애플리케이션 분리 = SQS

CloudWatch Alarm + SQS(ApproximateNumberOfMessage) + ASG(EC2)

암호화는 HTTPS 사용, KMS 키 사용, 클라이언트가 자체적으로 encryption/decryption

181 SQS - 메시지 가시성 시간 초과

매우 중요

메시지 처리 중에 다른 컨슈머가 동일한 메시지를 동시에 처리하지 않도록 하는 데 사용되는 매개 변수

182 SQS - 롱폴링

• SQS 대기열에 대한 API 호출 수를 최적화하고 지연 시간을 줄이는 법 = 롱 폴링

183 SQS - FIFO queues

순서대로 처리

이름에 .fifo를 넣어야 함

184 SQS + 오토스케일링 그룹

분리나 급격한 증가한 로드, 혹은 시간초과 이슈 => 신속한 스케일링 필요 => SQS 대기열

186 SNS 및 SQS - 팬아웃 패턴

new transaction - SNS topic - 필터 정책 - SQS

ㄴ필터 정책 - SQS

187 SNS - 실습

프로토콜에는 Kinesis Data Firehose, SQS, Lambda, Email, Email-JSON HTTP, HTTPS, SMS

189 Kinesis Data Stream

실시간이라는 말이 나오면 키네시스 데이터 스트림,

거의 실시간은 키네시스 데이터 파이어호스

191 Kinesis Data Firehose 개요

I AWS 수신처 : S3, Redshift(copy through s3), Elastic Search

3rd 수신처 : 데이터독, 스플렁크, 뉴렐릭, 몽고db

Custom 수신처 : HTTP 엔드포인트

kinesis data stream과 firehose 사용 구분

194 Kinesis와 SQS FIFO에 대한 데이터 정렬

Kinesis data stream : 샤드당 데이터를 정렬할 때

SQS FIFO : 대기열 1개, 트럭 ID에 상응하는 그룹 ID 100개 생성 -> 소비자도 최대 100개 :: 그룹 ID 숫자에 따른 동적 소비자 수가 필요할 때 사용

196 Amazon MQ

고가용성 설정 상태에서 데이터가 유지 되는 것은 EFS 때문

198 ECS

EC2 instance와 fargate 는 efs 연결, S3는 x

202 ECS - autoscaling

오토스케일링 기준 - cpu, ram, ALB 타겟 당 리퀘스트 수

시험에는 파게이트를 좋아함

204 ECR

도커 이미지 저장은 S3

205 EKS

Eks는 컨테이너 스토리지 인터페이스 (CSI) 드라이버 사용

208 AWS App Runner

컨테이너 애플리케이션을 컨테이너 이미지 기반으로 자동으로 빌드 배포

211 Lambda

람다 컨테이너 이미지 = 람다 런타임 api를 구현된 이미지 이기 때문에 이런 이미지가 아닌 경우 ECS나 EKS에서 컨테이너를 실행해야 함

213 람다 한계

최대 실행 시간 15분, 환경변수 4kb, 실행 시 최대 10GB 메모리, 배포 파일 최대 50MB (비압축 250MB), 함수 생성이나 용량이 큰 배포파일은 /tmp 사용

215 Lambda in VPC

VPC안에 람다를 생성해야 VPC 안의 RDB등을 사용할 수 있음

람다가 많이 생성되니 RDB Proxy를 만들어서 여기에 연결하도록 하는 것이 좋음 -> 연결 풀링 및 공유로 확장성 증가, 장애 조치 시간 66%까지 줄임, IAM 인증 강제하여 보안 증가, 자격증명은 Secret Manager에 저장

216 다이나모DB

초당 수백만 개 요청 수행, 수백 TB 스토리지, DB가 내부에 분산되어 방대한 워크로드 확장 가능

데이터 유형과 스키마를 빠르게 전개해야 할 때 다이나모를 선택

수백만개의 트랜잭션을 1분내에 확장하는 어플리케이션 -> 온디멘드 모드 선택

트랜잭션이 없거나 하루 4~5회라면 프로비저닝 모드 선택

다이나모 DB는 AWS의 CTO가 만들어서 AWS에서 매우 좋아함 → 시험에 반드시 나옴

217 다이나모 DB 실습

온디멘드 - 읽고 쓰기에만 과금, 비쌈

프로비저닝 - 미리 읽기, 쓰기 용량 할당 하여 비용 관리 모드 선택, 오토스케일링 설정

218 다이나모 DB 심화

DAX = 다이나모 DB 캐시, 데이터를 마이크로초 수준의 지연 시간 제공, 읽기 혼잡을 해결, 무결절 인메모리 캐시

집계결과 저장은 elastic cache 사용, 대용량 연산 저장은 다이나모 DB

글로벌 테이블 - 여러 리전 간 복제 가능한 테이블

TTL - 웹사이트 로그인했을 때 세션을 다이나모에 2시간 저장하고 TTL을 걸어 두면 2시간 후 자동 삭제 되어, 세션 만료 처리가 가능함

재해복구 - 지정 시간 복구 PITR 설정하여 지속적인 백업 수행 가능

228 Aurora

오로라 글로벌 - 리전간 데이터 복제 1초 미만

229 elastic cache

Elastic cache를 사용하기 위해서는 코드 변경이 필요함 -> 시험에 코드 변경이 없이라고 하면 elastic cache는 답이 아님

230 다이나모 db

DAX 읽기 지연이 백만분의 1초

400kb 미만 문서, 빠른 스키마 나오면 다이나모 db

232 다큐먼트 db

몽고 db

233 넵튠

완전 관리형 graphDB

234 키스페이스

아파치 카산드라 : NoSQL 분산 DB

235 QLDB

은행, 금융관련 내용 나올 때 DB

중앙 권한 관리가 있어서 관리형 체인블록과는 다름

237 아테나

서버리스 SQL 엔진 사용 S3 분석 -> 아테나

아테나 비용 감소 :

열 기반 데이터 검색 : aws glue ETL 사용하여 Apache Parquet, ORC(Optimized Row Columnar) 로 데이터 변환
데이터 압축
S3 데이터를 가상 컬럼으로 분활
128mb 보다 큰 파일 사용하여 오버헤드를 줄임 (작은 파일이 많으면 그만큼 많이 검색하게 된다)

아테나 - RDB, 다이나모 다 됨 , 온프레미스는 람다(데이터 원본 커넥터) 사용

239 Redshift

Postgre기반, OLAP 지원

S3에 임시 쿼리는 아테나가 좋음, 조인집계는 레드쉬프트가 좋음

Redshift 스펙트럼을 사용하면 s3 데이터를 적재하지 않아도 되므로 클러스터에 프로비저닝 한 것 보다 많이 처리 가능

241 EMR

하둡 클러스터 + 빅데이터(기계학습, 웹 인덱싱, Presto, Flink) -> EMR

242 QuickSight

아테나, 레드쉬프트등 각종 DB와 s3, 오픈서치, 온프리미스(JDBC), SaaS에서 데이터를 가져와서 인메모리 연산으로 대시보드 생성

퀵사이트 안의 사용자와 그룹은 IAM이 아님

243 Glue

Glue Job Bookmarks : 데이터 재처리 방지

Glue Elastic View : 코드 없이 RDS나 오로라, s3의 데이터를 가지고 뷰를 만들어줌

244 Lake formation

중앙화된 권한 - 각종 DB에 연결하여 데이터를 중앙 화 하다 보니 권한이 복잡해지는데, lake formation으로 권한을 중앙화 할 수 있어서 씀

247 MSK

kinesis와 비슷

248 빅데이터 수집 파이프라인

• IoT 코어 - kinesis (실시간 수집) - firehose (거의 실시간) - (lambda) - s3 - SQS - lambda - Athena - S3 - QuickSight - RedShift

249 Rekognition 개요

이미지 동영상 분석에 사용

250 Transcribe

Speech to text

PII (redication으로) 개인 식별 정보 제거

251 Polly

Text to speech

SSML

254 Comprehend

NLP => Comprehend

256 sagemaker

257 forecast

예측 => forecast

258 kendra

문서 검색 서비스 => kendra

259 Personalize

소매점, 미디어, 엔터테인먼트 + ML => Personalize

260 Textract

문서에서 텍스트 추출

261 ML 요약

Rekognition : 얼굴 탐지 및 라벨링, 유명인 인식을 수행

Transcribe : audio to text

Polly : text to audio

Translate : 번역

Lex : 챗봇

Connect : 클라우드 고객 센터

Comprehend : 자연어 처리

SageMaker : ML

Forecast : 예측

Kendra : ML 기의 문서 검색 엔진

Personalize : 소매점, 미디어, 엔터테인먼트 + ML => Personalize

Textract : 텍스트와 데이터를 탐지, 문서 추출

266 cloudwatch unified agent

ec2 지표 보다 더 많은 정보 수집가능

271 CloudWatch Insights and Operational Visibility

CloudWatch Container Insights (클라우드워치 컨테이너 인사이트):

ECS, EKS, EC2 위에서 동작하는 Kubernetes, Fargate 등을 지원하며, Kubernetes용 에이전트가 필요합니다.
메트릭과 로그를 제공합니다.

CloudWatch Lambda Insights (클라우드워치 람다 인사이트):

서버리스 애플리케이션을 문제 해결하기 위한 상세한 메트릭을 제공합니다.

CloudWatch Contributors Insights (클라우드워치 컨트리뷰터 인사이트):

CloudWatch Logs를 통해 "Top-N" 기여자를 찾을 수 있습니다.

CloudWatch Application Insights (클라우드워치 애플리케이션 인사이트):

자동화된 대시보드를 생성해 사용하는 애플리케이션과 관련된 AWS 서비스나 애플리케이션의 트러블 슈팅을 도움

272 CloudTrail 개요

User - 다이나모 DB - cloud train (api call) - amazon event bridge - SNS

274 AWS config 개요

'보안 그룹에 제한되지 않은 SSH 접근이 있나?'

'버킷에 공용 액세스가 있나?'

'시간이 지나며 변화한 ALB 구성이 있나?'

276 CloudTrail vs CloudWatch vs Config

Watch : 지표 기준 대시 보드를 만들어줌

Config : 구성 변경 기록, 정책이 맞는지 확인해서 알람 발생

Trail : api 호출 기록

279 IAM - 고급

280 IAM - Resource-based Policies vs IAM Roles

역할 기반 : 기존의 권한을 모두 포기하고 해당 역할에 할당된 권한을 상속

리소스 기반 정책 : 권한을 포기할 필요가 없습니다

IAM 역할 기반 : Kinesis Data Streams

리소스 기반 서비스 : Lambda, SNS, SQS, CloudWatch Logs API Gateway

281 IAM 권한 경계

admin 권한을 가진 어떤 계정을 생성했고, 권한 경계를 설정해 두면 admin 권한은 권한 경계에만 적용이 되고, 다른 서비스에는 접근이 안됨

위와 같이 되어 있을 때 sqs에 대한 모든 리소스 권한이 deny되어 있기 때문에 아래에 sqs:DeleteQueue가 allow 되어 있어도 allow는 deny 됨

또한 ec2 관련 된 권한에 대해서 allow 도 deny도 없으므로 deny 됨

282 Amazon Cognito 개요

“hundreds of users”, ”mobile users”, “authenticate with SAML” => cognito

283 AWS IAM Identity Center

Single signon = IAM Identity Center

aws에 한 번에 로그인

284 AWS 디렉토리 서비스 - 개요

AWS 클라우드에서 사용자를 관리하고 MFA를 사용해야 할 때는 AWS 관리형 AD가 필요

온프레미스에서 사용자를 프록시한다면 AD 커넥터가 필요

온프레미스가 없을 때는 Simple AD를 선택

289 KMS 개요

AWS KMS : CloudTrail을 사용할 때 키를 사용하기 위해 호출한 모든 API를 감사할 수 있다는 점

293 암호화된 AMI 공유 프로세스

원본 계정의 AMI는 원본 계정의 KMS 키로 암호화되어 있습니다.

지정된 대상 AWS 계정에 해당하는 Launch 권한을 추가하기 위해 이미지 속성을 수정해야 합니다.

대상 계정과 AMI가 참조하는 스냅샷을 암호화하는 데 사용된 KMS 키를 대상 계정과 공유해야 합니다. / IAM 역할

대상 계정의 IAM 역할/사용자는 DescribeKey, ReEncrypted, CreateGrant, Decrypt 권한을 가지고 있어야 합니다.

AMI에서 EC2 인스턴스를 시작할 때, 대상 계정은 볼륨을 다시 암호화하기 위해 자체 계정에서 새 KMS 키를 지정할 수 있습니다

297 AWS Secrets Manager - 개요

RDS와 Aurora의 통합 혹은 암호에 대한 내용 ⇒ Secrets Manager

300 WAF

네트워크 7 계층에서 동작

WAF 배포 : ALB(NLB x), API Gateway CloudFront, AppSync, GraphQL API, Cognito 사용자 풀

앱을 고정 IP로 사용하고 WAF를 설치하고 싶다면, LNB에는 설치가 불가능하고 ALB는 고정 IP가 없으므로 AWS Global Accelator에 고정 IP를 주고, ALB에서 WAF 활성화 하면 됨

301 Shield

DDOS 공격 방어, 네트워크 3,4 계층 보호

305 Amazon GuardDuty

GuardDuty로 암호화폐 공격을 보호

VPC 흐름 로그, CloudTrail 로그, DNS 로그 및 EKS 감사 로그에서 정보를 가져오고 cloud watch event로 전달하여 SNS로 알림 (또는 람다)

백그라운드에서 ML로 동작

306 Amazon Inspector

아래 3 경우에만 동작

EC2 인스턴스의 system manager(SSM) agent 활용 : 보안평가 수행, 취약점 확인

컨테이너 이미지를 Amazon ECR로 푸시할 때 실행 : 취약점 감사

람다 함수 배포될 때 역시 감사

307 Amazon Macie

S3에서 PII 검색하여 람다 또는 cloud watch event로 알려줌

323 NACL 및 보안 그룹

기본 NACL이 기본적으로 서브넷과 연결된다 = 모든 것이 드나들도록 허용된다는 뜻입니다

보안 그룹(Security Group)	NACL
인스턴스 수준에서 작동	서브넷 수준에서 작동
허용 규칙만 지원	허용 규칙 및 거부 규칙 지원
Stateful: 반환 트래픽은 규칙에 관계없이 자동으로 허용됩니다	Stateless: 반환 트래픽은 규칙에 의해 명시적으로 허용되어야 합니다(휘발성 포트 생각).
트래픽을 허용할지 여부를 결정하기 전에 모든 규칙이 평가됩니다	규칙은 트래픽을 허용할지 여부를 결정할 때 순서대로(가장 낮은 것부터 가장 높음으로) 평가되며, 첫 번째 경기가 승리합니다
누군가에 의해 지정된 EC2 인스턴스에 적용됩니다.	연결된 서브넷의 모든 EC2 인스턴스에 자동으로 적용됩니다.

325 VPC 피어링

라우트 테이블도 수정해 줘야 통신이 됨

327 VPC Endpoints

특성	Gateway 엔드포인트	Interface 엔드포인트
서비스	Amazon S3, DynamoDB	AWS 서비스 대부분
보안	게이트웨이를 프로비저닝하고 라우팅 테이블에서 대상으로 사용해야 함(보안 그룹을 사용하지 않음)	ENI(프라이빗 IP 주소)를 진입점으로 프로비저닝(보안 그룹을 연결해야 함)
요금	무료	시간당 $ + 처리된 데이터의 GB당 $

※ S3나 다이나모DB에서 인터페이스 엔드포인트를 쓰는 경우 : 온프레미스(사이트 간 VPN 또는 Direct Connect), 다른 VPC 또는 다른 리전에서 액세스하는 경우에 사용

331 사이트 간 VPN, 가상 사설 Gateway 및 고객 Gateway

Virtual Private Gateway (VGW) - Customer Gateway (CGW)

CGW가 Public IP가 있으면 그냥 VGW에 연결하고, NAT 디바이스 뒤에 있는 경우, NAT-T(NAT TRAVERSAL)에 사용하도록 설정된 NAT 디바이스의 공용 IP 주소 사용

중요 단계: 서브넷과 연결된 라우팅 테이블에서 가상 프라이빗 게이트웨이에 대한 경로 전파 활성화

온프레미스에서 EC2 인스턴스를 ping해야 하는 경우, 보안 그룹의 인바운드에 ICMP 프로토콜을 추가

333 Direct Connect & Direct Connect Gateway

Direct Connect = DX

설치 기간이 1달 이상이니 일주일 안에 빠르게 데이터를 전송하고 싶다면 Direct Connect는 답이 아님

암호화 기능이 없으므로 VPN(IPSec)과 함께 구성하는 방안이 있음

핵심 워크로드 복원력을 최대로 끌어 올리고 싶다면 => 각 Direct Connect 로케이션에 독립적인 연결을 두 개씩 수립 (즉 4개 연결)

334 Direct Connect + Site to Site VPN

DX를 하나만 해 놓으면 연결이 끊어질 수 있음 DX를 2개로 하지 말고 Site to Site VPN으로 백업을 두면 됨

335 Transit Gateway

IP 멀티캐스트 => Transit Gateway

ECMP 연결 : ECMP 사용 -> 처리량이 두세 배 -> 성능 최적화 & 비용 추가

각 각 VPC를 Transit Gateway로 연결하면 DX 연결을 공유해서 쓸 수 있음

336 VPC 트래픽 미러링

VPC 트래픽 미러링 : 콘텐츠 검사와 위협 모니터링, 네트워킹 문제 해결

337 VPC용 IPv6

만약 IPv6가 활성화된 VPC가 있는데, 서브넷에서 EC2 인스턴스를 실행할 수 없다 => 서브넷이나 VPC에 IPv4 공간이 없음 => CIRD에 IPv4 추가

342 VPC 섹션 요약

CIDR – IP 범위

VPC – Virtual Private Cloud = > IPv4 및 IPv6 CIDR 목록을 정의합니다.

서브넷 – AZ에 연결되어 CIDR을 정의합니다.

인터넷 게이트웨이 – VPC 수준에서 IPv4 및 IPv6 인터넷 액세스 제공

경로 테이블 – 서브넷에서 IGW, VPC 피어링 연결, VPC 엔드포인트 등으로 경로를 추가하려면 편집해야 합니다.

배스천 호스트 – SSH를 위한 퍼블릭 EC2 인스턴스로, 프라이빗 서브넷의 EC2 인스턴스에 SSH 연결이 있습니다.

NAT 인스턴스 – 프라이빗 서브넷의 EC2 인스턴스에 대한 인터넷 액세스를 제공합니다. 기존, 퍼블릭 서브넷에 설정해야 함, Source / Destination check flag 비활성화

NAT 게이트웨이 – AWS에서 관리하며, 프라이빗 EC2 인스턴스에 대한 확장 가능한 인터넷 액세스를 제공하며, IPv4 전용입니다.

프라이빗 DNS + Route 53 – DNS 확인 + DNS 호스트 이름(VPC) 활성화

NACL – 상태 비저장, 인바운드 및 아웃바운드에 대한 서브넷 규칙, 임시 포트를 잊지 마세요.

보안 그룹 – 상태 저장, EC2 인스턴스 수준에서 작동

Reachability Analyzer – AWS 리소스 간 네트워크 연결 테스트 수행

VPC 피어링 – 겹치지 않는 CIDR, 비전이적 방식으로 두 개의 VPC 연결

VPC 엔드포인트 – VPC 내에서 AWS 서비스(S3, DynamoDB, CloudFormation, SSM)에 대한 프라이빗 액세스 제공

VPC 흐름 로그 – ACCEPT 및 REJECT 트래픽에 대해 VPC/서브넷/ENI 수준에서 설정할 수 있으며, 공격 식별에 도움이 되며, Athena 또는 CloudWatch Logs Insights를 사용하여 분석합니다.

Site-to-Site VPN – DC에 고객 게이트웨이, VPC에 가상 프라이빗 게이트웨이, 퍼블릭 인터넷을 통한 Site-to-Site VPN을 설정합니다.

AWS VPN CloudHub – 사이트를 연결하는 허브 앤 스포크 VPN 모델

Direct Connect – VPC에 가상 프라이빗 게이트웨이를 설정하고 AWS Direct Connect 로케이션에 대한 직접 프라이빗 연결을 설정합니다.

Direct Connect 게이트웨이 – 서로 다른 AWS 리전의 여러 VPC에 Direct Connect 설정

AWS PrivateLink/VPC 엔드포인트 서비스:

서비스 VPC에서 고객 VPC로 서비스를 비공개로 연결
VPC Peering, Public Internet, NAT Gateway, Route Table 불필요
Network Load Balancer 및 ENI와 함께 사용해야 합니다.

ClassicLink – EC2-Classic EC2 인스턴스를 VPC에 비공개로 연결

Transit Gateway – VPC, VPN 및 DX를 위한 전이적 피어링 연결

트래픽 미러링 – 추가 분석을 위해 ENI에서 네트워크 트래픽 복사

송신 전용 인터넷 게이트웨이 – NAT 게이트웨이와 비슷하지만 IPv6용

343 AWS의 네트워킹 비용

RDB의 읽기 복제본을 다른 AZ에 놔두면 GB당 1센트를 지불

RDB의 쿼리를 AWS 밖에서 하면 송신 비용이 들어가니 쿼리를 인스턴스 등에서 처리해서 결과를 내 보내는 것이 저렴

Direct Connect 로케이션을 동일한 AWS 리전으로 설정하여 비용 절약

S3에서 직접 데이터를 가져가는 것 보다 cloudfront에서 가져 가게 하는 것이 절약

S3 리전간 복제는 GB당 2센트 (미국기준)

VPC에서 S3 접근할 때 Nat gateway 보다 VPC 엔드포인트가 저렴

344 AWS Network Firewall

VPC 방화벽 => Network Firewall

방화벽은 VPC 수준에서 설정할 수 있음, 트래픽 필터링과 플로우 검사를 지원

345 AWS 재해 복구

RPO(Recovery Point Objective) : 한 시간, 1분 등 원하는 대로 설정. RPO는 재해 발생 시 데이터 손실을 얼마만큼 감수할지 설정

RTO (Recovery Time Objective) : RTO는 재해 발생 후 복구할 때 사용, 재해 발생 시점과 RTO의 시간 차는 애플리케이션 다운타임

백업과 복구 : 저렴하나 RPO와 RTO가 높음

파일럿 라이트 : RPO와 RTO가 낮으나 비용이 높음

웜 대기

핫 사이트

다중 사이트

346 데이터베이스 마이그레이션 서비스(DMS)

서로 다른 종류의 데이터베이스를 마이그레이션 => SCT (스키마 컨퍼터 툴) 사용

종류	백업과 복구	파일럿 라이트	핫 사이트	다중 사이트	웜 대기
정의	데이터를 백업하고 장애 시 데이터를 복구하는 기능	작은 규모의 환경에서 재해 복구 계획을 시험하기 위한 제한된 운영 환경	재해 시 실시간으로 운영 중인 시스템의 복제본	재해 발생 시에도 운영이 지속될 수 있도록 여러 지리적인 위치에 분산된 시스템	데이터를 유지하면서 신속한 복구를 위해 미리 프로비저닝된 인프라

358 AWS의 고성능 컴퓨팅(HPC)

EC2 Enhanced Networking 구현 - Elastic Network Adapter(ENA) : 네트워크 속도를 100Gbps

	ENA	EFA	ENI
정의	가상 인스턴스에 대한 네트워크 접속 제공	고성능 컴퓨팅 (HPC) 작업에 대한 최적화 네트워크 접속 제공	가상 인스턴스에 대한 네트워크 접속 제공
주요 사용 사례	모든 인스턴스 유형에 대한 일반적인 네트워킹	고성능 컴퓨팅 (HPC) 작업 및 클러스터링	모든 인스턴스 유형에 대한 일반적인 네트워킹
성능	매우 높음	매우 높음	일반적인 네트워크 성능
대역폭	최대 100 Gbps	최대 100 Gbps	최대 25 Gbps
지원 인스턴스 유형	많은 인스턴스 유형에서 사용 가능	일부 인스턴스 유형에서만 사용 가능	모든 인스턴스 유형에서 사용 가능
클러스터링 지원	지원	지원	지원