이번에는 AWS Practitioner 자격증 취득을 위한 두 번째 공부를 시작한다.
마찬가지로 aws overview 파일 보면서
남은 내용에 대해 내가 공부할 부분만 요약해서 포스팅하겠다.
용어를 풀어서 적다 보니 너무 길어지는 것 같아서
애플리케이션은 APP으로
데이터베이스는 DB로
데이터센터는 DC로 요약하여 표현하겠다.
네트워킹과 콘텐츠 전송
Amazon VPC
고객이 정의한 가상 네트워크에서 AWS 리소스를 시작할 수 있도록
AWS 클라우드에서 논리적으로 격리된 공간을 프로비저닝할 수 있음
IP 주소 범위, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 선택 등
가상 네트워킹 환경을 완벽하게 제어 가능
VPN로 구현 시 IPv4와 IPv6를 모두 사용하여 리소스와 APP에 안전하게 쉽게 액세스 가능
VPN 네트워크 구성 시 웹서버에 공용 페이싱 서브넷을 생성하고
인터넷 액세스가 없는 개인 페이싱 서브넷에 DB, APP 서버 등 백엔드 배치 가능
기업 DC와 VPN 사이에 하드웨어 VPN 연결을 생성해
AWS 클라우드를 기업 DC의 확장으로 활용 가능
Amazon CloudFront
글로벌 컨텐츠 전송 네트워크, 즉 CDN 서비스임
엣지 로케이션의 글로벌 네트워크를 통해 동적, 정적, 스트리밍 및
대화형 컨텐츠를 비롯한 전체 웹 사이트를 제공하는데 사용 가능
컨텐츠에 대한 요청이 가장 가까운 엣지 로케이션으로 자동 라우팅 되어 컨텐츠 전송 능력이 뛰어남
컨텐츠 전송 서비스를 통해 실제로 전송하는 컨텐츠의 양만큼 요금을 지불하면 됨
Amazon Route 53
DNS 웹 서비스로 IPv6와 완벽히 호환되며
www.abc.com 같은 이름을 129.0.0.1과 같은 IP 주소로 변환하는 역할 수행
사용자를 AWS 외부의 인프라로 라우팅하는 데에도 사용 가능
트래픽을 정상적인 엔드 포인트로 라우팅하거나 APP 및 해당 엔드 포인트의 상태를
개별적으로 모니터링하도록 DNS 상태 확인을 구성할 수 있음
Route53 트래픽 흐름으로 인해 지연 시간 기반 라우팅, 지역 DNS,
가중치 기반 라운드 로빈 등 다양한 라우팅 유형을 통해
전 세계 트래픽을 관리할 수 있으며 DNS 장애 조치를 결합하여
지연 시간을 단축하고 내 결함성 아키텍처를 구현할 수 있음
Route 53 트래픽 흐름의 시각적 편집기 사용 시
최종 사용자가 APP의 엔드 포인트로 라우팅 되는 방식을 쉽게 관리할 수 있음
도메인 이름 등록도 지원하여 도메인 이름을 구매하여 관리할 수 있고, DNS 설정도 자동으로 구성 가능
Amazon Direct Connect
온프레미스에서 AWS로 전용 네트워크 연결을 쉽게 설정 가능
AWS와 사용자의 DC, 사무실 환경 사이에 비공개 연결 설정 가능
많은 경우 네트워크 비용을 줄일 수 있고, 대역폭 처리량을 늘릴 수 있으며
인터넷 기반 연결보다 좀 더 일관된 네트워크 환경 제공 가능
퍼블릭 환경과 프라이빗 환경 간의 네트워크 분리를 유지하면서 동일한 연결을 사용하여
프라이빗 리소스에도 액세스할 수 있음
가상 인터페이스는 변화에 따라 언제든지 다시 구성 가능
Elastic Load Balancing
수신되는 APP 트래픽을 여러 EC2 인스턴스에 자동으로 배포
APP의 내 결함성을 크게 높이고, APP 트래픽을 배포하는데 필요한 로드 밸런싱 용량을 원활하게 제공 가능
고가용성, 자동 조정 및 강력한 보안이 모두 적용된 두 가지 유형의 로드 밸런서를 제공
Classic Load Balancer : APP 또는 네트워크 수준 정보에 따라 트래픽을 라우팅
Application Load Balancer : 요청 컨텐츠를 포함하는 고급 APP 수준 정보에 따라 트래픽을 라우팅
CLB는 여러 EC2 인스턴스에 걸쳐 간단하게 트래픽을 로드 밸런싱 하는데 적합하며,
ALB는 고급 라우팅 기능, 마이크로 서비스 및 컨테니어 기반 아키텍처가 필요한 APP에 적합함
ALB를 사용하면 트래픽을 여러 서비스에 라우팅하거나
동일한 EC2 인스턴스에 있는 여러 포트에 걸쳐 로드 밸런싱이 가능함
개발자 도구
AWS CodeCommit
완전 관리형 소스 제어 서비스로 프라이빗 Git 리포지토리를 호스팅 할 수 있게 함
자체 소스 제어 시스템을 운영할 필요가 없고, 인프라 규모 조정도 걱정하지 않아도 됨
소스 코드에서 이진 코드까지 어떤 코드든 안전하게 저장하고 Git 도구로 원활한 작업이 가능함
AWS CodeBuild
소스 코드를 컴파일하고 테스트를 실행하며 배포 준비가 완료된
소프트웨어 패키지를 생성하는 완전 관리형 빌드 서비스
자체 빌드 서버를 프로비저닝, 관리 및 확장할 필요가 없음
지속적으로 확장되며 여러 빌드를 동시에 처리하기 때문에
빌드가 대기열에서 대기하지 않고 바로 처리됨
사전 패키징 된 빌드 환경을 사용하면 바로 시작할 수 있고
자체 빌드 도구를 사용하는 사용자 지정 빌드 환경도 만들 수 있음
AWS CodeDeploy
EC2 인스턴스와 온프레미스에서 실행되는 인스턴스를 비롯한
모든 인스턴스에 코드를 배포하는 작업을 자동화하는 서비스
새로운 기능을 쉽고 빠르게 출시할 수 있고
APP을 배포하는 동안 가동 중지 시간을 줄일 수 있으며
복잡한 APP 업데이트 작업을 처리할 수 있음
소프트웨어 배포를 자동화하면 오류가 발생하기 쉬운 수동 작업을 진행할 필요 없음
인프라와 함께 규모를 조정할 수 있어 인스턴스 하나 또는 수천 개에 쉽게 배포가 가능함
AWS CodePipeline
APP 및 인프라를 빠르고 안정적으로 업데이트할 수 있는 지속적 통합 및 지속적 전송 서비스
사용자가 정의한 릴리스 프로세스 모델에 따라 코드가 변경될 때마다
코드를 구축, 테스트 및 배포를 수행함
기능과 업데이트를 신속하고 안정적으로 제공할 수 있음
GitHub 등 인기 있는 타사 서비스를 위한 사전 제작 플러그인을 사용하거나
사용자 지정 플러그인을 릴리스 프로세스 중
어느 단계에 통합함으로써 종단 간 솔루션을 손쉽게 구축할 수 있음
AWS X-Ray
마이크로 서비스 아키텍처를 사용하여 구축한 것과 같은
프로덕션 또는 개발 단계에서 배포된 APP을 개발자가 분석하고 디버그 하는데 필요함
APP과 그 기본 서비스가 어떻게 작동하는지 이해함으로써
작동 관련 문제 및 오류의 근본 원인을 알아내 해결할 수 있음
요청이 APP을 통과함에 따라 요청에 대한 엔드 투 엔드 뷰를 제공하고
APP 기본 구성 요소를 맵으로 보여줌
간단한 3-Tier APP에서부터 수천 개의 서비스로 구성된 복잡한
마이크로 서비스 APP까지 개발 중인 APP과 프로덕션에 적용된 APP 모두 분석 가능
관리 도구
Amazon CloudWatch
AWS 클라우드 리소스 및 AWS에서 실행하는 APP을 모니터링하는 서비스
지표를 수집 및 추적하고, 로그 파일을 수집 및 모니터링하며
경보를 설정하고, AWS 리소스 변경에 자동으로 대응할 수 있음
EC2 인스턴스, DynamoDB 테이블, RDS DB 인스턴스와 같은
AWS 리소스는 물론 APP과 서비스에서 생성된 사용자 정의 지표 및
APP에서 생성된 모든 로그 파일을 모니터링할 수 있음
시스템 전반의 리소스 사용률, APP 성능, 운영 상태 파악 가능
EC2 Systems Manager
소프트웨어 인벤토리 수집, 운영체제 패치 적용, 시스템 이미지 생성,
운영체제 구성을 자동화해주는 관리 서비스
시스템 구성 정의 및 추적, 드리프트 예방, EC2 및 온프레미스 구성의
소프트웨어 규정 준수 유지 등을 수행 가능
온프레미스 DC로 확장되는 관리 접근 방식을 제공하므로
기존 인프라를 AWS와 더 쉽고 완벽하게 연결할 수 있음
사용이 쉬움 EC2 Management Console에서 EC2 Systems Manager에 액세스하여
관리할 인스턴스를 선택한 후 원하는 관리 작업을 정의하면 끝.
현재 EC2 Systems Manager는 EC2 및 온프레미스 리소스를 무료로 관리할 수 있도록 제공됨
EC2 Systems Manager 도구
Run Command : shell 스크립트 또는 Powershell 명령 원격 실행, 소프트웨어 업데이트 설치,
OS, 소프트웨어, EC2, 인스턴스, 온프레미스 DC의 서버 구성에 대한 변경 등 관리 작업을 자동화할 수 있음
State Manager : 방화벽 설정 및 맬웨어 방지 정의 등 OS 구성을 일관성 있게 정의하고 유지하여 정책을 준수
인스턴스 집합의 구성 모니터링, 정책 변경, 업데이트 또는 구성 변경 자동 적용 가능
재고 : 해당 인스턴스와 설치된 소프트웨어에 대해 구성 및 인벤토리 정보 수집, 쿼리 수행에 도움
DHCP 설정, 에이전트 세부 정보, 사용자 지정 항목 등 인스턴스 세부 정보 수집/추적/감사
유지 관리 기간 : 여러 인스턴스에 걸쳐 관리 및 유지 작업을 실행할 반복적인 시간대 정의 가능
패치 및 업데이트 설치 또는 구성 변경으로 비즈니스 작업이 중단되는 상황 방지, 덕분에 가용성 향상
Patch Manager : 대규모 인스턴스 그룹 전반에 걸쳐 O/S 및 S/W 패치를 자동으로 선택하고 배포
설정 시간에만 패치가 적용되도록 할 수 있어 최신 상태 유지 및 준수 정책을 충족하는 데 도움이 됨
자동화 : Amazon 머신 이미지(AMI) 업데이트와 같은 관리 및 배포 작업을 간소화함
자동화 기능 사용 시 간소화, 반복 및 감사가 가능한 프로세스를 통한 패치 적용 등 가능
Parameter Store : 암호 및 DB 문자열과 같이 중요한 관리 정보를 저장할 암호화된 위치 제공
AWS KMS와 통합하면 Parameter Store에 보관하는 정보를 쉽게 암호화할 수 있음
AWS CloudFormation
AWS 리소스 모음을 생성 및 관리하고 순서에 따라 예측 가능한 방식으로 프로비저닝하고 업데이트 가능
샘플 템플릿을 사용하거나 사용자 고유 템플릿을 생성하여 APP 실행에 필요한
AWS 리소스와 종속성 또는 런타임 파라미터에 대해 기술할 수 있음
AWS 리소스가 배포되면 버전 관리를 소프트웨어에 적용하는 것과 같은 방법으로
AWS 인프라에 적용하여 해당 리소스를 제어 및 예측이 가능한 방식으로 수정하고 업데이트할 수 있음
AWS CloudFormation Designer를 사용하여 템플릿을 다이어그램으로 시각화 및 편집 가능
AWS CloudTrail
계정에 대한 AWS API 호출을 기록하고 로그 파일을 사용자에게 전달하는 웹서비스
API 호출자의 자격 증명, API 호출 시간, API 호출자의 소스 IP 주소,
요청 파라미터 및 AWS 서비스가 반환한 응답 요소와 같은 정보가 기록됨
계정에 대한 AWS API 호출 이력 확인 가능하며
보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있음
AWS Config
AWS 리소스 인벤토리, 구성 기록, 구성 변경 알림을 제공하여
보안 및 거버넌스를 실현하는 완전 관리형 서비스
Config Rules 기능을 통해 AWS Config가 기록하는
AWS 리소스의 구성을 자동으로 점검하는 규칙을 생성할 수 있음
기존 및 삭제된 AWS 리소스를 찾고, 규칙과 대조하여 전반적인 규정 준수 상태를 확인하며,
언제든 리소스의 구성 세부 정보를 자세히 볼 수 있음
규정 준수 감사, 보안 분석, 리소스 변경 추적, 문제 해결 수행 가능
존재하지 않는 이미지입니다.
AWS OpsWorks
구성 관리 서비스로 서버 구성을 코드로 취급하는 자동화 플랫폼인 Chef를 사용
Chef를 사용하여 서버를 구성, 배포, 관리하는 작업을 자동화함
AWS OpsWorks for Chef Automate와 AWS OpsWorks Stacks라는 제품이 존재함
AWS Service Catalog
조직에서 AWS에서 사용이 승인된 IT 서비스 카탈로그를 생성하고 관리할 수 있음
IT 서비스란 가상 머신 이미지, 서버, 소프트웨어, DB 등을 포괄함
흔히 배포되는 IT 서비스를 중앙에서 관리할 수 있고 일관성 있은 거버넌스 수립 가능
규정 준수 요건을 충족할 수 있으며 사용자는 자신이 필요한 승인 IT 서비스만 신속하게 배포 가능
AWS Trusted Advisor
AWS 환경을 최적화하여 비용을 줄여주고 성능을 향상시키며 보안을 개선하는 온라인 리소스
AWS 모범 사례에 따라 리소스를 프로비저닝하는데 도움이 되는 실시간 지침을 제공함
AWS Personal Health Dashboard
AWS가 고객에게 영향을 미칠 수 있는 이벤트를 겪고 있을 때 이를 알리고 수정 지침을 제공함
Service Health Dashboard에 AWS 서비스의 전반적인 상태가 표시되는 반면
Personal Health Dashboard는 AWS 리소스의 기반이 되는
AWS 서비스의 성능 및 가용성에 대한 맞춤형 보기를 제공함
대시보드에는 진행 중인 이벤트 관리에 필요한 해당 정보가 시기에 맞게 표시되며
사전 대응적인 알림을 통해 예약 활동을 계획할 수 있음
Personal Health Dashboard는 AWS 리소스의 상태가 변경되면 알림이 자동으로 트리거 되어
이벤트 가시성 및 지침을 제공함으로써 문제를 신속하게 진단하고 해결할 수 있음
AWS Managed Services
AWS 인프라를 지속적으로 관리하므로 사용자는 APP에 집중 가능
인프라 유지 관리를 위한 모범 사례를 구현함으로써 운영 오버헤드와 위험을 줄이도록 지원함
변경 요청, 모니터링, 패치 관리, 보안, 백업 서비스 등과 같은 일반적인 활동을 자동화하고
인프라를 프로비저닝, 운영 및 지원하기 위한 전체 수명 주기 서비스를 제공
AWS의 엄격성 및 통제를 통해 기업 및 보안 인프라 정책을 강화하고
선호하는 개발 접근 방식을 사용해 솔루션과 APP을 개발할 수 있음
민첩성을 향상하고, 비용을 절감하며, 인프라 운영 부담을 덜어주므로
비즈니스를 차별화하는 데 리소스를 집중할 수 있음
보안, 자격 증명 및 규정 준수
Amazon Cloud Directory
여러 차원에 걸쳐 데이터 계층을 조직할 수 있는 유연한 클라우드 기반 디렉터리 구축 가능
조직도, 과정 카탈로그, 디바이스 레지스트리 등 다양한 사용 사례를 위한 디렉터리 생성 가능
다차원에 걸친 계층 구조로 이루어진 디렉터리를 생성할 수 있는 유연성을 제공함
예 : 보고 구조, 위치 및 비용 센터에 대한 개별 계층 구조를 통해 탐색할 수 있는 조직도 생성 가능
수억 개의 객체로 자동 확장되고, 여러 APP에서 공유할 수 있는 확장 가능한 스키마 제공
완전 관리형 서비스로 인프라 확장이나 서버 관리와 같은 시간 소모적이고 많은 비용이 드는 관리 작업을 제거
스키마를 정의하고, 디렉터리를 생성 후 Cloud Directory API를 호출하여 디렉터리를 채우면 됨
AWS Identity 및 Access Management
일명 IAM을 통해 사용자의 AWS 서비스와 리소스에 대한 액세스를 확실하게 통제할 수 있음
AWS 사용자 및 그룹을 만들고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용 및 거부 가능
IAM에서 가능한 작업
IAM 사용자 관리 및 액세스 관리 : 사용자 생성 후
각 보안 자격 증명 (액세스 키, 암호 및 멀티 팩터 인증 디바이스)을 할당하거나
임시 보안 자격 증명을 요청하여 AWS 서비스 및 리소스에 대한 액세스 권한 부여
IAM 역할 관리 및 권한 관리 : 역할을 생성하고 역할을 맡은 객체 또는
AWS 서비스가 수행할 수 있는 작업을 제어하는 권한을 관리할 수 있음
역할을 맡을 수 있는 엔티티 정의도 가능
연합된 사용자 관리 및 권한 관리 : 자격 증명 연동을 사용하면 각 자격 증명에 대해
IAM 사용자를 생성하지 않고도 사내의 기존 자격 증명 (예 : 사용자, 그룹, 역할)으로
AWS Management Console에 액세스하고 AWS API를 호출하고 리소스에 액세스 가능
Amazon Inspector
AWS에 배포된 APP의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동 보안 평가 서비스
자동으로 APP의 취약점 또는 모범 사례와의 차이를 평가함
평가 수행 후 상세한 보안 평가 결과 목록을 제공하며, 심각도 수준에 따라 우선순위가 지정되어 있음
일반적인 보안 모범 사례 및 취약성 정의와 대응되는 수백 개의 규칙이 담긴 기술 자료가 포함되어 있으며
내장된 규칙의 예로 원격 루트 로그인 활성화 확인, 설치된 취약 소프트웨어 버전 등이 있음
규칙은 AWS 보안 연구원이 정기적으로 업데이트를 수행함
AWS Certificate Manager
AWS 서비스에 사용할 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있게 해주는 서비스
SSL/TLS 인증서는 네트워크 통신을 보호하고 인터넷을 통해 웹 사이트의 ID를 설정하기 위해 사용됨
AWS Certificate Manager는 SSL/TLS 인증서를 구입 및 업로드하고
갱신하기 위해 수행해야 하는 수동 작업을 없애줘 시간이 절약됨
인증서를 요청하여 Elastic Load Balancing 로드 밸런서나 CloudFront 배포와 같은
AWS 리소스에 신속하게 배포할 수 있으며 인증서 갱신 작업을 맡길 수 있음
Certificate Manager를 통해 프로비저닝되는 SSL/TLS 인증서는 무료로
APP 실행을 위해 생성한 AWS 리소스에 대한 비용만 지불하면 됨
AWS CloudHSM
AWS 클라우드 내의 전용 하드웨어 보안 모듈(HSM) 어플라이언스를 사용하여
데이터 보안을 위한 기업, 계약 및 규제 순수 요건을 충족하는 데 도움이 됨
AWS CloudHSM 서비스로 사용자는 안전한 키 관리를 위한 정부 표준에 따라
설계되고 검증된 HSM 내의 암호화 키를 보호할 수 있음
데이터 암호화에 사용한 암호화 키를 안전하게 생성, 저장 및 관리할 수 있으며
사용자만 자신의 암호화 키를 사용할 수 있음
또한, APP 성능에 지장을 주지 않고 엄격한 키 관리 요건을 준수 가능
CloudHSM 인스턴스를 사용자가 지정하는 IP 주소를 통해 VPN에 프로비저닝하면
사용자의 EC2 인스턴스에 간단한 프라이빗 네트워크를 연결할 수 있음
다른 AWS 고객으로부터 격리된, CloudHSM 인스턴스에 대한 독점 및 전용(단일 테넌트) 액세스 권한 제공
AWS Directory Service
AWS Microsoft AD를 사용하면 디렉터리 인식 워크로드와 AWS 리소스가
AWS 클라우드에서 관리형 Active Directory를 활용할 수 있음
실제 Microsoft Active Directory에 구축되므로
기존 Active Directory에서 클라우드로 데이터를 동기화하거나 복제할 필요가 없음
표준 Active Directory 관리 도구를 사용하여 Group Policy, 트러스트, SSO 등
Active Directory의 기본 기능을 활용할 수 있음
Microsoft AD 사용 시 EC2, RDS 인스턴스를 도메인에 쉽게 조인하고
Amazon Workspaces와 같은 엔터프라이즈 IT APP을 AD 사용자 및 그룹과 함께 사용 가능
AWS Key Management Service
데이터 암호화에 사용하는 암호화 키를 쉽게 생성하고 제어할 수 있게 해주는 관리형 서비스
HSM을 사용하여 키의 보안을 유지하며, 다른 AWS 서비스와 통합되어 저장되는 데이터를 보호함
AWS CloudTail과 통합되어 모든 키 사용에 관한 로그를 제공하여
각종 규제 및 규정 준수 요구 사항을 충족할 수 있게 지원함
AWS Organizations
AWS 계정 그룹을 생성하고 이를 사용해 보안 및 자동화 설정을 더 쉽게 관리할 수 있음
여러 계정을 중앙에서 관리할 수 있어 규모를 늘리기 좋고
개별 계정에 사용할 수 있는 AWS 서비스를 제어하고,
새로운 계정 생성을 자동화하고, 결제 과정을 간소화할 수 있음
AWS Shield
DDoS 보호 서비스로 APP 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공
DDoS 보호를 위해 AWS Support를 이용할 필요 없음
스탠다드는 모든 AWS 고객에게 추가 비용 없이 제공하는 자동 보호 서비스로
웹 사이트나 APP을 대상으로 가장 흔하고, 자주 발생하는 네트워크 및 전송 계층 DDoS 공격을 방어함
어드밴스를 구독하면 ELB, CloudFront, Route 53 리소스 등에서 실행되는
웹 APP을 대상으로 한 공격을 더 높은 수준에서 방어할 수 있음
정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 거의 실시간의 공격 가시성,
웹 APP 방화벽 AWS WAF와의 통합을 제공
AWS DDoS 대응 팀(DRT)에 액세스할 수 있고
DDoS 공격으로 ELB, CloudFront, Route 53 요금이 급등하는 일을 방지할 수 있음
AWS WAF
APP 가용성에 영향을 주거나, 보안을 약화하거나,
리소스를 과도하게 사용하는 일반적인 웹 도용으로부터
웹 APP을 보호하는 데 도움이 되는 웹 APP 방화벽
사용자 지정 가능한 웹 보안 규칙을 정의함으로써 어떤 트래픽에
웹 APP에 대한 액세스를 허용하거나 차단할지 제어할 수 있음
SQL 명령어 주입이나 교차 사이트 스크립팅 등 일반적인 공격 패턴을 차단하는
사용자 지정 규칙과 특정 APP을 위해 설계된 규칙을 생성할 수 있음
몇 분 이내에 새로운 규칙이 배포되므로 변화하는 트래픽 변화에 신속한 대응 가능
웹 보안 규칙의 생성, 배포 및 유지 보수를 자동화하는데 사용할 수 있는 모든 기능을 갖춘 API가 포함됨
[출처] AWS Practitioner 핵심 내용 정리 - (네트워킹과 콘텐츠 전송, 개발자 도구, 관리 도구, 보안, 자격 증명 및 규정 준수)|작성자 슬기로운IT생활