노션(원문)에서 보기: 바로가기
분석:
Amazon Athena
- 표준 SQL을 사용해 Amazon S3에서 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스
Amazon Kinesis
- 스트리밍 데이터를 수집, 처리 및 분석하는 데 사용되는 일련의 서비스
Amazon QuickSight
- 조직의 모든 사람이 자연어로 질문하거나 대화형 대시보드를 통해 탐색하거나 기계 학습을 기반으로 패턴과 이상값을 자동으로 찾는 방법으로 데이터에 대한 이해를 높일 수 있는 비즈니스 인텔리전스 서비스
- 클라우드 기반 비즈니스 분석 서비스
애플리케이션 통합:
Amazon SNS(Amazon Simple Notification Service)
- 이메일, SMS, SQS 및 HTTP 엔드포인트에 알림을 전송할 수 있는 웹서비스
- 참고: SNS는 SQS와 달리, 컴포넌트를 직접 분리하지 않음
Amazon SQS(Amazon Simple Queue Service)
- 마이크로서비스, 분산 시스템 및 서버리스 애플리케이션을 분리하고 확장할 수 있는 메시지 큐 서비스
- Amazon SQS를 사용하면 소프트웨어 컴포넌트 간에 메시지를 전송, 저장, 수신할 수 있다.
- Amazon SQS Queue는 데이터를 생성,저장하는 컴포넌트와 처리를 위해 데이터를 수신하는 컴포넌트 사이에서 버퍼 역할을 한다.
Amazon Simple Workflow(Amazon SWF)
|
컴퓨팅 및 서버리스:
AWS Batch
- AWS Batch를 사용하면 개발자, 과학자 및 엔지니어가 AWS에서 수십만 개의 배치 컴퓨팅 작업을 쉽고 효율적으로 실행할 수 있음
- AWS Batch는 Amazon ECS, Amazon EKS, AWS Fargate 및 스팟 또는 온디맨드 인스턴스와 같은 다양한 AWS 컴퓨팅 제품 및 서비스를 통해 컨테이너화된 배치 또는 ML 워크로드를 계획, 예약, 실행하는 완전관리형 배치 컴퓨팅 서비스
Amazon EC2
- 단일 인스턴스에 여러개의 역할을 적용할 수는 없음
- 초당 요금이 부과되며 최소 요금은 1분
전용 호스트
- 조직이 다른 AWS 계정과 물리적으로 격리된 호스트 하드웨어에 자체 라이선스를 가져올 수 있도록 허용하는 서비스
- 내 소프트웨어 라이선스를 가져와서 쓰는 것(Bring Your Own License(BYOL)) 은 전용 호스트만 가능
Amazon EC2 Reserved Instances(예약형 인스턴스, RI)
- Regional: 특정 리전의 인스턴스 예약 시, regional Reserved Instance.
- Zonal: 특정 가용영역의 인스턴스 예약 시, zonal Reserved Instance.
- 표준 RI:
- 가장 큰 할인 혜택(온디맨드 대비 최대 72%)을 제공하며 사용량이 꾸준한 경우에 가장 적합
- 가용 영역, 인스턴스 크기(Linux OS의 경우) 및 네트워킹 유형 변경: 가능
- 인스턴스 패밀리, 운영 체제, 테넌시 및 결제 옵션 변경 : 불가
- 컨버터블 RI:
- 할인 혜택(온디맨드 대비 최대 54%)을 제공하며 RI의 속성을 변경할 수 있음
- 가용 영역, 인스턴스 크기(Linux OS의 경우) 및 네트워킹 유형 변경: 가능
- 인스턴스 패밀리, 운영 체제, 테넌시 및 결제 옵션 변경 : 가능
- 예정된 RI: 예약한 시간 범위 내에서 인스턴스를 시작할 수 있음
- 예약기간은 1년 또는 3년 중 택1
AWS Elastic Beanstalk
- CloudFormation의 자동화 기능을 활용하여 빠르게 웹 애플리케이션 아키텍처를 자동 구축하는 플랫폼 서비스
- 애플리케이션 코드를 업로드하기만 하면 리소스 프로비저닝, 로드 밸런싱, 자동 크기 조정 및 모니터링 같은 세부 정보를 자동으로 처리해줌
- Git 아카이브를 사용할 수도 있음
AWS Lambda
- 서버를 프로비저닝 또는 관리하지 않고도 실제로 모든 유형의 애플리케이션 또는 백엔드 서비스에 대한 코드를 실행할 수 있는 이벤트 중심의 서버리스 컴퓨팅 서비스
- 지속적인 스케일링(스케일 아웃) 가능
Amazon Lightsail
- WordPress, Prestashop 또는 LAMP 등 미리 구성된 블루프린트를 사용하여 웹 사이트 또는 애플리케이션을 손쉽게 가동할 수 있음
- 제품 세트에는 가상 사설 서버(인스턴스), 관리형 MySQL 데이터베이스, 블록 및 객체 스토리지, 단순화된 로드 밸런서 및 CDN 배포가 포함
Amazon WorkSpaces
Appstream 2.0 , Workspace
컨테이너:
Amazon ECS(Amazon Elastic Container Service)
- Docker 컨테이너와 같은 소프트웨어 컨테이너를 실행하는 데 사용
Amazon Elastic Container Registry(ECR)
- 개발자가 Docker 컨테이너 이미지를 간편하게 저장, 관리하고 배포할 수 있게 지원하는 완전관리형 Docker 컨테이너 레지스트리
- Amazon ECR은 Amazon Elastic Container Service(ECS)와 통합
Amazon EKS(Amazon Elastic Kubernetes Service)
- Docker 컨테이너와 같은 소프트웨어 컨테이너를 관리하는 데 사용
AWS Fargate
- EC2 인스턴스 없이 컨테이너를 실행하기 위해 Amazon ECS에 사용할 수 있는 기술
데이터베이스:
Amazon Aurora
- MySQL 및 PostgreSQL과 호환되는 완전 관리형 관계형 데이터베이스 엔진
- 고성능, 고가용성, 글로벌 복제, 다중 AZ
- 2개의 데이터 복사본이 최소 3개의 AZ(6개 복사본)로 각 AZ에 보관
- 최대 15개의 읽기 전용 복제본
Amazon DynamoDB
- 키-값(key-value) NoSQL 데이터베이스, 스키마 없음
- DynamoDB가 자동으로 읽기 및 쓰기 처리량을 조정
- 다운타임 없이 언제든지 DB를 스케일링할 수 있음
- 세션 상태 저장 가능
- Amazon DynamoDB에 저장된 사용자 데이터는 KMS에 저장된 암호화키를 이용해 전부 암호화됨
- 3개 가용영역에 동기화 복제되고 리전간 복제도 가능
Amazon DynamoDB 글로벌 테이블
- 글로벌 테이블은 글로벌 규모의 Amazon DynamoDB를 기반으로 구축되어 완전관리형, 다중 리전, 다중 활성 데이터베이스를 제공하며, 이 데이터베이스는 대규모로 확장되는 글로벌 애플리케이션에 대해 빠른 로컬 읽기 및 쓰기 성능을 지원합니다.
- 글로벌 테이블은 선택한 AWS 리전에서 DynamoDB 테이블을 자동으로 복제합니다.
Amazon DynamoDB Accelerator(DAX)
- DynamoDB를 위한 고가용성 인 메모리 캐시로, 초당 수백만 건의 요청에서도 밀리초에서 마이크로초까지 최대 10배의 성능 향상을 제공
Amazon DocumentDB
- 문서 데이터 구조를 지원하는 NoSQL 데이터베이스
Amazon RDS
- 온프레미스 데이터베이스를 마이그레이션할 수 있는 완전관리형 SQL 데이터베이스 서비스
- Amazon RDS 콘솔을 사용하여 인스턴스에 대한 자동 패치 적용
- Amazon RDS는 주기적으로 Amazon RDS 리소스에 대한 유지 관리를 수행
- 유지 관리에는 대부분 DB 인스턴스의 기본 하드웨어, 기본 운영 체제(OS) 또는 데이터베이스 엔진 버전에 대한 업데이트가 포함
- 유지보수 기간을 설정하여 패치를 언제 적용할지 설정할 수 있음
- 온프레미스 데이터베이스를 리팩터링하거나 변경할 필요가 없으며 동종 마이그레이션을 쉽게 수행할 수 있음
- 인스턴스 크기, 스토리지 용량 변경 가능.
- 단, CPU 및 RAM을 동적으로 조정할 수 없으며 인스턴스 유형을 변경하고 데이터베이스 인스턴스를 재부팅해야 함
- RDS는 최대 5개의 읽기 전용 복제본, Amazon Aurora는 최대 15개의 읽기 전용 복제본
- 아래 7개 엔진 지원
- Amazon Aurora(MySQL 호환)
- Amazon Aurora(PostgreSQL 호환)
- MySQL
- MariaDB
- PostgreSQL
- Oracle
- SQL Server
Point-in-time recovery
- 최소 5분 단위로 데이터베이스를 복원할 수 있는 Amazon RDS 자동 백업 유형
Amazon ElastiCache
- 1밀리초 미만의 지연 시간을 제공하는 초고속 인 메모리 데이터 스토어
- 인메모리 캐싱 계층을 관계형 데이터베이스에 추가함으로써 애플리케이션의 성능을 향상시킬 수 있음
- 참고: RDS는 1밀리초 쿼리를 처리할 수 없음
Amazon Redshift
- **SQL을 사용**하여 대규모의 데이터를 분석하고 복잡한 분석 쿼리를 실행하는 **데이터 웨어하우스**
- 여러 데이터 웨어하우스, 운영 데이터베이스 및 데이터 레이크에서 정형 및 반정형 데이터 분석
| Amazon RDS는 분석 DB가 아닌 트랜잭션 DB |
Amazon EMR(Elastic Map Reduce)
- Apache Spark, Apache Hive 및 Presto와 같은 오픈 소스 분석 프레임워크를 사용하여 대규모 분산 데이터 처리 작업, 대화형 SQL 쿼리 및 기계 학습(ML) 애플리케이션을 실행하기 위한 클라우드 빅데이터 플랫폼
개발자 도구:
AWS CodeCommit
- Git 리포지토리를 호스팅하고 모든 Git 기반 도구와 연동되는 관리형 소스 제어 시스템
- 소스 제어: 코드 변경 사항을 추적하고 관리
- 현지 팀 및 원격 팀과 협업하여 코드를 변경, 비교, 동기화 및 수정 가능
- 고가용성, 파일 자동 암호화, IAM과 통합되어 사용자별로 리포지토리에 대한 권한 지정
AWS CodeBuild
- 소스 코드를 컴파일하고, 테스트를 실행하고, 배포할 준비가 된 소프트웨어 패키지를 생성하는 지속적 통합(Continuous Integration) 서비스
- 소스 코드의 위치를 지정하고 빌드 설정을 선택하기만 하면, CodeBuild가 코드를 컴파일하고, 테스트하며, 패키징하기 위한 빌드 스크립트를 실행
AWS CodeDeploy
- Amazon EC2, AWS Fargate, AWS Lambda 및 온프레미스 인스턴스를 비롯하여 다양한 컴퓨팅 서비스에 대한 애플리케이션 배포를 자동화하는 서비스
- 단계적 업데이트와 배포 상태 추적을 통해 배포하는 동안 애플리케이션 가동이 중지되지 않도록 함
AWS CodePipeline
- 빌드부터 배포까지 모든 단계를 이어서 하나의 파이프라인으로 통합한 것을 CodePipeline이라고 함
- 지속적 전달(Continuous Delivery) 서비스
- 지속적 전달은 전체 소프트웨어 릴리스 프로세스를 자동화함. 수정 버전이 커밋될 때마다, 업데이트를 빌드 및 테스트한 후, 스테이징하는 자동화된 흐름이 트리거됨
AWS CodeStar
- AWS에서 애플리케이션을 빠르게 개발, 구축 및 배포할 수 있도록 통합 사용자 인터페이스(개발도구모음, 템플릿 등)를 제공함
- 컴파일, 빌드, 배포 차이
고객 지원:
Amazon Connect
- 클릭 몇 번으로 클라우드 고객 센터를 설정하고 변경할 수 있어 상담원이 바로 고객을 지원할 수 있음
관리, 모니터링 및 거버넌스:
AWS Auto Scaling
- 애플리케이션을 모니터링하고 용량을 자동으로 조정
- 최대한 저렴한 비용으로 안정적이고 예측 가능한 성능을 유지할 수 있게 함
Scaling options
- Maintain current instance levels at all times
- 지정된 수의 실행 중인 인스턴스를 항상 유지
- Scale manually
- Auto Scaling 그룹의 최대, 최소 또는 원하는 용량의 변경만 지정
- Scale based on a schedule
- 시간 및 날짜에 맞춰 자동으로 조정 수행
- Scale based on demand
- 수요 변화에 맞게 Auto Scaling 그룹의 크기를 동적으로 조정(예: CPU 사용률을 약 50%로 유지)
- Use predictive scaling
- CloudWatch의 기록 데이터를 기반으로 용량 요구 사항을 예측하고, 매 시간이 시작될 때 인스턴스 수를 조정함
- 실제 용량이 예측 용량보다 작은 경우: 예측 용량과 같도록 Auto Scaling 그룹을 확장
- 실제 용량이 예상보다 더 큰 경우: 실제 용량을 축소하지 않음
- 예상된 로드 전에 용량을 시작하여 더 빠르게 크기를 조정할 수 있음
- CloudWatch의 기록 데이터를 기반으로 용량 요구 사항을 예측하고, 매 시간이 시작될 때 인스턴스 수를 조정함
AWS Budgets
- 비용 또는 사용량이 예산 금액을 초과(또는 초과할 것으로 예상)될 때 알려주는 사용자 지정 예산을 설정할 수 있음
- 예약 사용률 또는 적용 범위 목표를 설정하고 사용률이 정의한 임계값 아래로 떨어지면 알림을 받을 수 있음
Cost Explorer
- 시간 경과에 따른 AWS 리소스 사용 패턴을 시각화하고 비용 문제 영역을 식별할 수 있음
- 지난 13개월 동안의 비용 데이터를 보고 향후 3개월 동안 지출할 금액을 예측할 수 있도록 비용 차트를 볼 수 있음
- 가장 많이 사용하는 서비스, AZ에 가장 많은 트래픽이 있는 지표, 가장 많이 사용되는 연결된 계정 등에 대한 통계를 볼 수 있음
- 항목별 비용을 볼 수 있지만 리소스 사용률을 확인할 수는 없음. 리소스 사용률을 확인하고 활용도가 낮은 리소스를 정리하려면 Trust Advisor 사용.
AWS Cost Anomaly Detection
- 기계 학습을 사용하여 비용과 사용량을 지속적으로 모니터링하여 비정상적인 지출을 감지하는 AWS 비용 관리 기능
AWS 비용 및 사용 보고서
- AWS 결제 보고서를 Amazon S3 버킷에 게시
- 시, 일, 월, 제품, 제품 리소스, 태그 등 카테고리 별로 비용을 분류하여 서비스 사용량을 볼 수 있음
AWS CloudFormation
- 사용자가 JSON 또는 YAML을 사용하여 애플리케이션에 필요한 인프라 리소스를 프로비저닝할 수 있는 코드형 인프라(IaC) 도구
- AWS CloudFormation 템플릿을 사용하여 코드로 여러 리전에 리소스를 쉽게 프로비저닝할 수 있음
AWS CloudTrail
- AWS 인프라에서 작업한 이력을 기록하고 모니터링하는 감사 서비스
- CloudTrail은 감사 서비스(누가 언제 무엇을 했는지)이고 CloudWatch는 성능 모니터링 서비스(얼마나 많은 리소스가 사용되었는지)
- CloudTrail - 감사
- Cloudwatch - 모니터링
- Inspector - 취약성 관리
- X-Ray - 추적
AWS X-Ray
- 애플리케이션이 처리하는 요청에 대한 데이터를 수집하는 분산 추적 시스템
- AWS 리소스의 데이터를 컴파일하여 클라우드 아키텍처의 병목 현상을 파악하고 애플리케이션 성능을 개선
Amazon CloudWatch
- AWS 리소스의 성능 모니터링 도구
- 리소스의 운영 상태(operational health)를 모니터링하고 시스템이 적절한 크기로 조정되고 충분한 용량이 프로비저닝되도록 보장하여 비용을 최적화하는 데 사용할 수 있음
Amazon CloudWatch Logs
- 모든 시스템, 애플리케이션 및 AWS 서비스의 로그를 중앙 집중화
- 온프레미스 서버, EC2 인스턴스, AWS CloudTrail, Route 53 및 기타 소스의 로그 파일을 모니터링, 저장 및 액세스할 수 있고,연결된 로그 데이터를 검색할 수 있음
Amazon CloudWatch Logs Insights
- CloudWatch Logs Insights를 사용하면 Amazon CloudWatch Logs에서 로그 데이터를 대화식으로 검색하고 분석할 수 있음
- 운영 문제가 발생하면 CloudWatch Logs Insights를 사용하여 잠재적인 원인을 식별하고 배포된 수정 사항을 검증할 수 있음
Amazon CloudWatch Logs streams
- 로그 스트림은 동일한 소스를 공유하는 일련의 로그 이벤트
- CloudWatch Logs의 각 개별 로그 소스는 별도의 로그 스트림을 구성함. 이것은 쿼리를 사용하지 않음
Amazon CloudWatch anomaly detection
- 시스템 및 애플리케이션의 지표를 지속적으로 분석하고 정상적인 기준선을 결정하며 최소한의 사용자 개입으로 이상 징후를 드러냄
AWS Health Dashboard
- AWS 환경에 영향을 미치는 중요한 이벤트 및 변경사항을 볼 수 있고, 사전 알림 및 문제 해결 지침을 제공하는 서비스
AWS Personal Health Dashboard
- AWS 서비스의 전반적인 상태(AWS Health Dashboard)가 아닌 내가 사용중인 AWS 서비스 및 리소스의 상태 대시보드
- 사용중인 AWS 서비스의 성능 및 가용성에 대한 개인화 보기와 함께 서비스 상태 변화에 의해 자동으로 알림을 제공
- 사용자의 클라우드 자원와 관련한 정보를 한곳에 모아 두도록 만들어졌으며, 영향을 줄 수있는 모든 문제를 보다 잘 파악할 수 있음
AWS Config
- AWS 리소스 인벤토리(목록), configuration history 및 configuration 변경 알림을 제공하여 보안 및 규정 준수를 지원하는 완전 관리형 서비스
- AWS Config를 사용하여 리소스의 구성 상태와 시간이 지남에 따라 상태가 어떻게 변경되었는지 추적할 수 있음
- 규칙에 대한 전반적인 준수 여부를 확인하고, 리소스의 구성 세부 정보를 자세히 확인할 수 있음
Amazon EventBridge
- 자체 애플리케이션, 통합 SaaS 애플리케이션 및 AWS 서비스에서 생성된 이벤트를 사용하여 이벤트 기반 애플리케이션을 대규모로 손쉽게 구축할 수 있는 서버리스 이벤트 버스
- 인스턴스 상태 변경, S3 버킷에 항목 업로드 등과 같은 특정 이벤트가 발생할 때 수행할 작업에 대한 규칙을 설정할 수 있음
AWS License Manager
- 소프트웨어 라이선스를 관리하고 라이선스 비용을 세부적으로 조정
AWS Managed Services(AMS)
- 모범 사례를 구현하고 AWS 인프라의 지속적인 관리를 제공하는 엔터프라이즈 서비스
- 인프라를 프로비저닝, 실행 및 지원하는 전체 라이프사이클 서비스를 제공하고 변경 요청, 모니터링, 패치 관리, 보안 및 백업 서비스와 같은 일반적인 활동을 자동화함
AWS Organizations
- Organization API를 통해 AWS 계정 생성을 자동화할 수 있음
- AWS Organizations의 통합 청구 기능(AWS Consolidated Billing)을 사용하여 여러 AWS 계정에 대한 청구 및 결제를 통합하면, 서비스 비용 절감 가능
- AWS Organizations는 조직에서 권한을 관리하는 데 사용할 수 있는 조직 정책 유형인 Service control policies(SCPs)을 제공
- SCP는 조직의 모든 계정에 대해 사용 가능한 최대 권한(API 작업)에 대한 중앙 제어를 제공
- API를 성공적으로 사용하려면 IAM에서 권한이 부여되고 API가 허용되어야 함
AWS Secrets Manager
- 애플리케이션, 서비스 및 IT 리소스에 액세스하는 데 필요한 암호를 보호
- 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 암호를 쉽게 교체, 관리 및 검색할 수 있음
- 사용자와 애플리케이션은 Secrets Manager API를 호출하여 secrets을 검색하므로 민감한 정보를 일반 텍스트로 하드코딩할 필요가 없음
AWS Systems Manager
- 소프트웨어 인벤토리 수집, 운영 체제(OS) 패치 적용, AMI 생성, Windows 및 Linux 운영 체제 구성을 자동화해주는 관리 서비스
- RDS 인스턴스를 패치하는 데 사용할 수는 없음
| * AWS OpsWorks : EC2 인스턴스 또는 온프레미스 컴퓨팅 환경에서 서버 구성, 배포, 관리 자동화 * AWS Systems Manager: AWS 리소스 전체에서 운영 작업을 자동화 |
AWS Systems Manager Parameter Store
- 암호, 데이터베이스 문자열, Amazon 머신 이미지(AMI) ID 및 라이선스 코드와 같은 데이터를 파라미터 값(평문 또는 암호문)으로 저장할 수 있음
AWS Trusted Advisor
- AWS 환경을 최적화하여 비용 절감, 성능 향상 및 보안 향상에 도움이 되는 온라인 리소스
Trusted Advisor, Inspector, Guard duty, IAM Access Analyzer
Amazon API Gateway
- 모든 규모의 API를 생성, 유지 관리 및 보호하는 서비스
- 트래픽 관리, CORS 지원, 권한 부여 및 액세스 제어, 제한, 모니터링 및 API 버전 관리 등 최대 수십만 개의 동시 API 호출을 수신 및 처리하는 데 관계된 모든 작업을 처리
AWS API를 사용하여 인증하는 데 사용할 수 있는 인증 옵션은?
- Access keys
- 액세스 키를 사용하여 AWS CLI 또는 AWS API에 대한 프로그래밍 방식 요청에 서명 가능(직접 또는 AWS SDK 사용)
- Server certificates
- AWS에서 웹 사이트 또는 애플리케이션에 대한 HTTPS 연결을 활성화하려면 SSL/TLS 서버 인증서가 필요한데, IAM API를 사용하여 서버 인증서를 관리(업로드, 검색, 이름 변경 등)을 할 수 있음
Amazon CloudFront
- 정적/동적 웹 컨텐츠를 빠르게 배포하기 위한 서비스
- 엣지 로케이션을 통해 콘텐츠를 제공함
- 사용자가 클라우드 프론트에서 제공하는 콘텐츠를 요청하면,
- 지연시간이 가장 짧은 엣지 로케이션으로 요청을 라우팅함
- 콘텐츠가 거기 있으면 바로 전송해주고,
- 없으면 오리진에서 콘텐츠를 검색
Edge Location
- low latency를 위해 전세계에 퍼져있는 aws 데이터센터. 리전과 백본망으로 연결되어 있음
Global Accelerator
- AWS 글로벌 네트워크 인프라를 사용하여 서로 다른 리전의 애플리케이션 엔드포인트로 트래픽 보낼 때 사용하고, 경로를 최적화하여 트래픽 성능 개선함.
- 컨텐츠 캐시 기능 없고 S3와 무관
AWS Direct Connect
- 물리적 케이블을 이용해 온프레미스 환경과 AWS 클라우드를 전용 네트워크로 연결하는 서비스
- 퍼블릭 인터넷을 우회하므로 애플리케이션 성능을 개선하고, 네트워크와 AWS 사이 전송 시 데이터를 암호화하고, 인터넷 기반 연결보다 일관된 네트워크 대역폭 제공
| * VPN(가상 사설망)은 공개된 인터넷망을 사용하며 일관된 네트워크 대역폭이나 성능을 제공하지 않음. 통신구간 암호화만 지원 |
Amazon Route 53
- DNS(Domain Name System) 웹 서비스
- Route 53을 사용하여 도메인 등록, DNS 라우팅 및 상태 확인과 같은 세 가지 주요 기능을 조합하여 수행할 수 있음
Amazon Route 53 health checks(상태 확인)
- 웹 애플리케이션, 웹 서버 및 기타 리소스의 상태와 성능을 모니터링
Amazon VPC
- 논리적으로 격리된 가상 네트워크
- subnet, Endpoint를 설정할 수 있음
VPC Peering
- 다른 리전에 있는 프라이빗 서비스에 액세스하는 방법 2가지
- 서로 다른 지역에 있는 두 개의 VPC가 서로 겹치지 않는 고유한 CIDR 블록을 가지고 있다면, VPC 피어링
- 여러 리전에 서비스가 있는 경우 Transit Gateway를 사용하면 더 간단한 네트워크 구성으로 해당 서비스에 액세스 가능
VPC Endpoints
- 인터넷 게이트웨이, VPN, NAT 장치 또는 방화벽 프록시를 사용하지 않고 VPC 내에서 AWS에서 호스팅되는 서비스에 대한 비공개 연결을 활성화함
보안, 자격 증명 및 규정 준수:
AWS Artifact
- SOC 및 PCI와 같은 AWS 보안 및 규정 준수 보고서에 대한 액세스를 제공하여 온라인 계약을 선택하는 데 사용됨
ACM(AWS Certificate Manager)
- AWS 웹 사이트와 애플리케이션을 보호하는 퍼블릭 및 프라이빗 SSL/TLS X.509 인증서와 키 생성, 저장, 갱신
AWS CloudHSM
- AWS 클라우드에서 자체 암호화 키를 쉽게 생성하고 사용할 수 있게 해주는 클라우드 기반 하드웨어 보안 모듈(HSM)
Amazon Cognito
- 웹 및 모바일 앱에 빠르고 쉽게 사용자 가입, 로그인할 수 있게 하는 서비스
- SAML 2.0, OpenID Connect를 통해 Facebook, Google과 같은 소셜 자격 증명 공급자 및 엔터프라이즈 자격 증명 공급자와의 로그인을 지원
| AWS Single Sign-On (AWS SSO)는 SAML을 사용하지 않고, 여러 AWS 계정에 대한 액세스 권한을 중앙에서 관리하는 것이라 코그니토와는 다름 |
Amazon Detective
- 잠재적인 보안문제를 조사하기 위해 AWS 리소스에서 로그 데이터를 자동 수집,분석,시각화함
Amazon GuardDuty
- AWS 계정 및 워크로드에서 악의적 활동을 탐지하고 상세한 보안 결과를 제공하여 가시성을 확보하고 해결을 촉진하는 위협 탐지 서비스
AWS IAM(Identity and Access Management)
- IAM그룹을 사용하여 여러 사용자에게 권한을 할당하려면?
- 사용자를 그룹에 할당 → IAM 정책 생성 → 그룹에 연결
- IAM Role
- IAM Role은 임시 자격 증명이며 자동으로 교체됨
- 영구 자격 증명(예: 사용자 이름 및 암호)을 사용하지 않고 User 및 리소스에 권한을 할당할 수 있음
- Role은 애플리케이션이 다른 AWS 리소스를 호출할 때 사용할 수 있는 임시 권한을 제공
- EC2 인스턴스 하나에 여러 개의 Role을 할당할 수는 없음
- 그룹에는 Role을 적용할 수 없음. Role은 User나 리소스에만 적용 가능
- IAM Policy
- User, Group, Role에 적용할 수 있는 권한을 정의하는 데 사용되는 정책 문서
- Policy을 Resource에 적용하는 것이 아니라 Role에 적용함. 그런 다음 이 Role을 사용하여 AWS 서비스에 권한을 할당함
- IAM User
- 사람이나 서비스를 나타내는 엔터티
- IAM User는 AWS API, CLI, SDK 및 기타 개발 도구에 프로그래밍 방식으로 액세스하기 위한 액세스 키 ID 및 보안 액세스 키와 관리 콘솔에 액세스하기 위한 암호를 할당받을 수 있음
- IAM User는 최대 5개 그룹에 속할 수 있음
- IAM Group
- 그룹은 User만 포함할 수 있고, 그룹은 포함할 수 없음
- 그룹에 Role을 적용할 수 없음. 그룹엔 Policy 적용
- AWS Management Console, AWS Command Line Tools, AWS SDK 및 IAM HTTPS API를 통해 AWS IAM 자격 증명을 관리할 수 있음
- 정리
- Role은 User, Resource에 할당한다.(Group에는 Role 적용 불가)
- Policy는 User, Group, Role에 적용한다. (Service에는 적용 불가)
- Group에는 Policy를 할당한다.
IAM 기능
https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html#intro-features
- AWS 계정에 대한 공유 액세스
- 암호나 액세스 키 공유 없이 권한을 다른 사람에게 부여 할 수 있음
- 세분화된 권한 설정
- AWS 리소스에 대한 보안 액세스
- MFA
- ID 연합
- 회사 네트워크나 인터넷 자격 증명 공급자와 같은 다른 곳에서 이미 암호를 가지고 있는 사용자가 AWS 계정에 임시로 액세스하도록 허용
- 보증을 위한 신원 정보
- AWS CloudTrail을 사용하는 경우, 계정에서 리소스를 요청한 사람에 대한 정보가 포함된 로그 레코드를 받는데, 해당 정보는 IAM 자격 증명을 기반으로 함
- PCI DSS 준수
- 많은 AWS 서비스와 통합
- 최종 일관성
- 전세계 데이터센터에 복제하여 일관성 제공
- 무료 사용
Access Advisor
- 사용자에게 할당된 불필요한 권한을 식별할 수 있는 AWS IAM 기능
- IAM 사용자 및 역할이 마지막으로 AWS 서비스에 액세스하려고 시도한 시간에 대한 정보를 제공
IAM Access Key ID, Secret Access Key
- 액세스 키 ID와 비밀 액세스 키는 AWS에 대한 프로그래밍 방식 요청에 서명하는 데 사용
- 액세스 키 ID 및 보안 액세스 키는 ****오직 IAM User에 연결됨. IAM 그룹, 역할 또는 정책과 연결할 수 없음
Amazon Inspector
- AWS 워크로드를 자동으로 분석하여 우발적인 네트워크 노출 및 소프트웨어 취약성을 찾아내는 자동화된 취약성 관리 도구
- EC2 인스턴스에 설치된 에이전트를 사용하며, 인스턴스에 태그를 지정해야 함
AWS License Manager
- 소프트웨어 라이선스를 관리하고 라이선스 비용을 세부적으로 조정
Amazon Macie(메이시)
- 기계 학습 및 패턴 일치를 사용하여 AWS에서 민감한 데이터를 검색하고 보호하는 데이터 보안/개인정보보호 서비스
AWS Shield
- DDoS(분산 서비스 거부) 공격으로부터 워크로드를 보호하는 서비스
AWS Shield Advanced
- 향상된 탐지 기능을 제공하며 엔터프라이즈 또는 비즈니스 지원 플랜 고객을 위한 전문 지원 팀이 24/7 지원
AWS WAF
- 웹 애플리케이션 방화벽
- SQL injection, cross site scripting 같은 웹 익스플로잇 차단
- 소스 IP 주소를 기반으로 트래픽을 차단하는 규칙을 생성할 수 있음
스토리지:
AWS Backup
- AWS 서비스 전체에서 백업을 관리하기 위한 중앙 집중식 백업 콘솔, API 및 명령줄 인터페이스를 제공
Instance Store Volume
- EC2 인스턴스가 실행되는 호스트 컴퓨터에 물리적으로 연결된 고성능 로컬 디스크
- 전원 꺼지면 데이터 손실됨. 분리 및 재연결 불가
- 루트 볼륨은 운영 체제가 설치된 위치이며 EBS 볼륨 또는 인스턴스 스토어 볼륨일 수 있음
Amazon EBS(Amazon Elastic Block Store)
- Amazon EC2 인스턴스와 함께 사용할 영구 블록 스토리지 볼륨을 제공
- 클라우드의 가상 하드 디스크
- 가용 영역 내에서 자동으로 복제되어 고가용성과 내구성 보장
- Amazon S3에 스냅샷 백업
- 지연시간 짧고 인스턴스 수명과 별개이며, 인스턴스와 연결할 필요 없음
- EBS 볼륨은 연결된 인스턴스와 같은 AZ에 있어야 함
- 모든 볼륨 암호화 가능하며, 암호화 작업은 EC2 인스턴스와 연결된 EBS 스토리지 사이의 미사용 데이터와 전송 중인 데이터 모두의 보안을 보장
- 루트 EBS 볼륨은 기본적으로 종료 시 삭제되나 비부팅 볼륨은 삭제안됨
- 종료 방지 기능은 기본적으로 꺼져 있으며 수동으로 활성화해야 합니다(인스턴스가 종료될 때 볼륨/데이터 유지).
- 루트 EBS 볼륨은 기본적으로 종료 시 삭제됩니다.
- 추가 비부팅 볼륨은 기본적으로 종료 시 삭제되지 않습니다.
- 동작은 "DeleteOnTermination" 특성을 변경하여 변경할 수 있습니다.
Amazon EFS(Amazon Elastic File System)
- 파일 스토리지를 쉽게 설정하고 확장할 수 있는 완전관리형 서비스
- 빅데이터 및 분석, 미디어 처리 워크플로, 콘텐츠 관리, 웹 서비스, 홈 디렉토리 등에 적합
- NFS 프로토콜을 사용하는 Linux 기반 파일 시스템
- 데이터는 리전 내의 여러 AZ에 저장됨
- 여러 AZ에서 1~1000개의 EC2 인스턴스를 동시에 연결할 수 있음
- EFS를 사용하면 온프레미스 서버에서 파일 시스템을 마운트할 수 있지만 로컬 캐시나 데이터를 클라우드로 이동하는 방법은 제공하지 않음
Amazon FSx for Windows File Server
- Windows Server에 구축된 완전 관리형 파일 스토리지
- Windows 파일 시스템 기능과 SMB(서버 메시지 블록) 프로토콜 지원
Amazon S3
- HTTP(S)를 통해 RESTful API를 사용하여 액세스하는 객체 기반 스토리지 시스템
- 백업 및 복구, 데이터 레이크 및 아카이브를 모두 한 곳에서 관리할 수 있는 유일한 객체 스토리지 서비스
- Amazon S3는 고유한 키-값을 사용하여 원하는 만큼의 객체를 저장하는 객체 저장소
- S3 비용 청구 대상
- https://aws.amazon.com/ko/s3/pricing/?nc=sn&loc=4
- • 스토리지 • 요청 및 데이터 검색 • 데이터 전송 • 관리 및 분석 • 복제 • S3 객체 Lambda•
- S3 용도
- Backup and Storage – Provide data backup and storage services for others.
- Application Hosting – 웹 애플리케이션을 배포, 설치 및 관리하는 서비스를 제공
- Media Hosting – 비디오, 사진 또는 음악 업/다운로드를 호스팅하는 확장 가능하며 가용성이 높은 인프라를 구축
- Software Delivery – 고객이 다운로드할 수 있는 소프트웨어 애플리케이션을 호스팅
- Static Website – S3 버킷에서 실행되도록 정적 웹 사이트를 구성
- S3 특징
- 파일은 0바이트에서 5TB까지 가능하며 무제한 저장 가능
- 버킷 이름은 전역적으로 고유해야 함
- S3 종류
- 모두 밀리초 단위 검색 지원
- S3 Standard: 내구성, 즉시 사용 가능, 자주 액세스
- S3 Intelligent-Tiering: 데이터를 가장 비용 효율적인 계층으로 자동 이동
- 밀리 초 단위의 검색과 높은 처리 성능이 필요한 거의 액세스하지 않는 데이터에 대해 최대 68%의 비용 절감 효과를 제공
- 3 Standard 스토리지 클래스와 동일한 성능을 제공하는 3개의 액세스 티어 (Frequent, Infrequent, Archive Instant)에 객체를 자동으로 저장
- S3 Standard-IA: 내구성, 즉시 사용 가능, 자주 액세스하지 않음
- S3 One Zone-IA: 복원력이 낮은 자주 액세스하지 않는 데이터에 대한 비용 절감
- 모두 밀리초 단위 검색 지원
S3 Bucket Policy
- Resources – 권한을 지정하려는 리소스의 ARN
- Actions – 정책에서 지정할 수 있는 권한
- Effect – 사용자가 특정 작업을 요청할 때 발생하는 효과(allow or deny)
- Principal – 엑세스 권한을 부여할 계정 또는 사용자
- Condition – 소스 IP 주소와 같은 권한을 부여할 때 적용할 특정 조건
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::AccountB-ID:user/Dave"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::awsexamplebucket1/*",
"Condition": {
"StringEquals": {
"s3:x-amz-grant-full-control": "id=AccountA-CanonicalUserID"
}
}
}
]
}S3 Object Lifecycle Management
- 정의된 시간 간격으로 서로 다른 스토리지 클래스 간에 객체를 자동으로 전송하는 규칙을 설정할 수 있는 Amazon S3의 기능
Amazon S3 Transfer Acceleration
- Amazon S3에 대한 업로드를 가속화하는 데 사용되는 기능
S3 CRR(Cross-Region Replication)
- 교차 리전 복제(CRR)는 재해복구를 위해 서로 다른 AWS 리전의 S3 버킷 간에 객체를 비동기식으로 자동 복사하는 데 사용
- 객체 복제용으로 구성된 버킷은 동일한 AWS 계정 또는 다른 계정이 소유할 수 있음
- 원본 및 대상 버킷 모두 버전 관리가 활성화되어 있어야 함
Amazon S3 Glacier
- 글래시어도 모두 고가용성. “자주(accessed less frequently)”가 아닌 “거의(rarely accessed)” 엑세스 하지 않는 데이터에 적합
- S3 Glacier Instant Retrieval: 거의 액세스하지 않지만, 필요 시 밀리초 단위로 검색해야 하는 데이터일 때
- S3 Glacier Flexible Retrieval: 즉각적인 액세스는 필요하지 않지만, 무료로 대량 검색 또는 몇 분 내 검색해야 하는 데이터일 때
- S3 Glacier Deep Archive: 장기 보존을 위한 가장 저렴한 스토리지 클래스.12시간 이내의 검색 지원
- Archive Retrieval(검색) Options
- Expedited(신속) : 1–5 minutes
- Standard : 3–5 hours
- Bulk : 5–12 hours
AWS Snowball Edge
AWS Storage Gateway
- 거의 무제한의 클라우드 스토리지 액세스를 온프레미스에 제공하는 하이브리드 클라우드 스토리지 서비스
- 온프레미스의 데이터로 AWS의 데이터 레이크를 채우거나, 클라우드로 데이터 백업할 때 씀
- File Gateway
- Volume Gateway
- Tape Gateway
- 널리 사용되는 백업 소프트웨어와 함께 데이터를 백업하는 데 사용할 수 있음
그 외
Amazon Comprehend
- 머신러닝을 사용하여 텍스트에서 통찰력과 관계를 찾는 자연어 처리(NLP) 서비스
AWS Glue
- ETL(추출, 변환 및 로드) 프로세스를 사용하여 분석용 데이터를 준비하고 로드하는 데 사용할 수 있는 AWS 서비스
- AWS에 저장된 데이터를 검색 → 연결된 메타데이터(예: 테이블 정의 및 스키마)를 AWS Glue 데이터 카탈로그에 저장 → 카탈로그화되면 데이터를 즉시 검색 및 쿼리할 수 있으며 ETL에서 사용 가능
Amazon Simple Workflow(Amazon SWF)
- 분산된 애플리케이션 구성 요소 간에 작업을 쉽게 조정할 수 있게 해주는 웹 서비스
Amazon Simple Workflow(Amazon SWF)
|
AWS Step Functions
- 시각적 워크플로를 사용하여 분산 애플리케이션 및 마이크로서비스의 구성 요소를 쉽게 조정할 수 있게 해주는 완전 관리형 서비스
- AWS Step Functions를 사용하면 여러 AWS 서비스를 서버리스 워크플로로 조정하여 앱을 신속하게 구축하고 업데이트
IAM Access Analyzer
- 외부 엔터티와 공유되는 조직 및 계정 내 리소스(예: Amazon S3 버킷 또는 IAM 역할)를 식별하여 결과를 생성함. 이를 통해 “리소스 및 데이터에 대한 의도하지 않은 액세스”라는 보안 위험을 식별
| * 외부 엔터티에는 다른 AWS 계정, 루트 사용자, IAM 사용자 또는 역할, 페더레이션 사용자, AWS 서비스, 익명 사용자 등이 있음 * 사용자에게 할당된 불필요한 권한을 식별할 수 있는 AWS IAM 기능은 “Access Advisor” |
Amazon OpenSearch Service(구, Amazon Elasticsearch Service)
- Amazon OpenSearch Service는 AWS 클라우드에서 OpenSearch 클러스터를 운영할 수 있게 해줌
- 실시간 애플리케이션 모니터링, 로그 분석과 같은 운영 분석 용도
- 거의 실시간으로 데이터를 검색, 탐색, 필터링, 집계 및 시각화할 수 있음
| * Amazon QuickSight는 클라우드 기반 비즈니스 분석 서비스를 제공 * Amazon Athena는 표준 SQL 쿼리를 사용하여 S3 및 Glacier에서 직접 데이터를 분석하는 데 사용 |
AWS Well Architected Framework 6가지 원칙
https://aws.amazon.com/ko/blogs/apn/the-6-pillars-of-the-aws-well-architected-framework/
- 운영 우수성(Operational Excellence)
- 운영 업무의 코드화
- 문서화
- 지속적인 작은 변경
- 운영 업무 절차 고도화
- 실패 가능성 예측
- 보안성(Security)
- 강력한 신분 확인 및 권한 부여의 토대 마련
- 추적 기능 활성화
- 모든 레이어에 대한 보안 적용
- 데이터 보안
- 보안 자동화
- 보안 위협 이벤트 대응 계획
- +공유 책임 모델 이용
- 성능 효율성(Performance Efficiency)
- 간단한 글로벌화
- 서버리스 등 신기술 활용
- 고급 기술 활용 방안 검토
- 다양한 기술의 응용
- 더 많은 실험
- 신뢰성(Reliability)
- 복구 절차 검증
- 실패 복구 자동화
- 수평적 확장
- 용량 예측 대신 탄력성 활용
- 시스템 변경 적용의 자동화
- 비용 최적화 원칙(Cost Optimization)
- 최선의 소비 모델 선택
- 관리형 서비스 활용
- 전반적인 효율성 측정
- 지출 분석
- 데이터 센터에 대한 투자 감축
- 지속 가능성(Sustainability)
- 귀하의 영향 이해
- 지속 가능성 목표 설정
- 활용도 극대화
- 새롭고 보다 효율적인 하드웨어 및 소프트웨어 제안을 예상하고 채택
- 관리형 서비스 사용
- 클라우드 워크로드의 다운스트림 영향 감소
Resiliency(복원력)
- 인프라 또는 서비스 중단에서 복구하고, 컴퓨팅 리소스를 동적으로 획득하여 수요를 충족하고, 구성 오류 또는 일시적인 네트워크 문제와 같은 중단에서 복원하는 기능
Elasticity(탄력)
- 필요할 때 리소스를 획득하고 더 이상 필요하지 않을 때 리소스를 해제하는 기능
- 이를 통해 사용자는 신속하게 확장 및 축소할 수 있음
Reliability(신뢰성, 안정성)
- 예상되는 의도한 기능을 정확하고 일관되게 수행하는 워크로드의 능력
AWS Support Plans
- 플랜 별 지원
- Basic – billing and account support only (access to forums only).
- Developer – business hours support via email. 무제한 케이스를 열 수 있는 가장 저렴한 플랜
- Business – 24×7 email, chat, and phone support. Trust Advisor 지원하는 가장 저렴한 플랜
- Enterprise – 24×7 email, chat, and phone support. ****아키텍처 및 운영 검토, Enterprise Support 플랜에만 TAM(Technical Account Manager)이 배정되고, 컨설팅 지원
- AWS Concierge
- 엔터프라이즈 계정 작업을 전문으로 하는 AWS 청구 및 계정 전문가
- AWS Technical Account Manager
- 환경에 대한 전문가 모니터링 및 최적화를 제공하고 다른 프로그램 및 전문가에 대한 액세스를 조정
- AWS Concierge
- 고객 서비스 및 커뮤니티는 플랜에 상관없이 연중무휴 상시 액세스 제공
- AWS 인프라 이벤트 관리(IEM)는 쇼핑 기간, 제품 출시 및 마이그레이션과 같은 계획된 이벤트의 준비 및 실행 기간 동안 아키텍처 및 규모 조정 지침과 운영 지원을 제공합니다. 이러한 이벤트가 있을 경우 AWS 인프라 이벤트 관리는 고객의 운영 준비 상태를 평가하고, 위험을 식별 및 완화하고, AWS 전문가가 고객과 함께 자신 있게 이벤트를 실행할 수 있도록 지원합니다. 이 프로그램은 Enterprise Support 플랜에 포함되며 추가 비용을 지불하면 Business Support 고객에게도 제공됩니다.
APN Consulting Partner
- AWS에서 워크로드 설계, 구축, 마이그레이션, 관리를 지원하는 전문 서비스 회사
- 시스템 통합업체(SI), 전략적 컨설팅 업체, 대행사, 관리형 서비스 제공업체(MSP) 및 부가 가치 리셀러(VAR)가 포함
AWS KMS(AWS Key Management Service)
- 데이터 보호에 사용되는 암호화 키에 대한 중앙 집중식 제어를 제공
| * AWS KMS: 데이터 보호에 사용되는 암호화 키에 대한 중앙 집중식 제어를 제공 * AWS Secrets Manager: 데이터베이스 자격 증명, API 키 및 기타 암호를 쉽게 교체, 관리 및 검색 |
예약 할인이 가능한 서비스
- Amazon EC2 Reserved Instances.
- Amazon DynamoDB Reserved Capacity.
- Amazon ElastiCache Reserved Nodes.
- Amazon RDS Reserved Instances.
- Amazon RedShift Reserved Instances.
Amazon Rekognition
- 물체, 장면, 얼굴을 감지하는 딥 러닝 기반 이미지 인식 서비스
- 얼굴 비교, 얼굴 탐지, 텍스트 추출 가능
AWS Pricing Calculator
- AWS 사용 사례에 대한 추정치를 생성하는 데 사용할 수 있는 웹 기반 계획 도구
AWS STS
- AWS Security Token Service(STS)는 IAM 사용자 또는 귀하가 인증하는 사용자(연동 사용자)에 대한 권한이 제한된 임시 자격 증명을 요청할 수 있는 웹 서비스
Amazon SageMaker
- Amazon SageMaker는 데이터에 액세스 및 분석하고 고품질 기계 학습 모델을 구축, 훈련 및 배포하기 위해 수만 명의 고객이 사용하는 광범위한 기계 학습 기능을 제공
AWS Application Discovery Service
- 온프레미스 서버에 대한 사용 및 구성 데이터를 수집하여 AWS 클라우드로의 마이그레이션을 계획하는 데 도움을 줌
AWS Service Catalog
- AWS Service Catalog를 사용하면 조직에서 AWS용으로 승인된 IT 서비스 카탈로그를 생성하고 관리할 수 있습니다.
- IT 서비스에는 가상 머신 이미지, 서버, 소프트웨어, 데이터베이스, 다중 계층 애플리케이션 아키텍처에 이르기까지 모든 것이 포함될 수 있음
AWS IoT Core
- 디바이스를 클라우드에 쉽고 안전하게 연결해주는 서비스
- 수십억 개의 IoT 디바이스를 연결하고, 수조 개의 메시지를 AWS 서비스에 라우팅할 수 있게 해줌
Http 응답코드
- HTTP 200 코드는 성공적인 업로드를 나타냅니다.
- HTTP 300 코드는 리디렉션을 나타냅니다.
- HTTP 400 코드는 클라이언트 오류를 나타냅니다.
- HTTP 500 코드는 서버 오류를 나타냅니다.
AWS Resource Group
- AWS 리소스 그룹은 한 번에 많은 수의 리소스에 대한 작업을 관리하고 자동화할 수 있는 서비스
- 리소스 그룹을 사용하면 할당된 태그를 사용하여 리소스를 쉽게 그룹화할 수 있음. 하나 이상의 태그를 공유하는 리소스를 그룹화할 수 있음
- 모두 동일한 AWS 리전에 있고 그룹의 쿼리에 지정된 기준(태그 기반, AWS CloudFormation 스택 기반)과 일치하는 AWS 리소스 모음
****Availability Zone(****AZ, 가용 영역)
- AWS 리전의 중복 전력, 네트워킹 및 연결이 제공되는 하나 이상의 개별 데이터 센터로 구성
NACL, Security Group
- Security Group
- 상태저장. 허용된 인바운드 트래픽에 대한 응답은 아웃바운드 규칙에 관계없이 인스턴스를 나갈 수 있음
- 허용 룰만 가능. 전부 차단이니까.
AWS Transit Gateway
- 고객이 VPC와 온프레미스 네트워크를 단일 게이트웨이에 연결할 수 있게 해주는 서비스
- 각 연결은 중앙 허브를 통해 한번만 만들어지므로 **네트워크를 단순화하고 복잡한 피어링 관계를 종식**시킴
- 리전 간 피어링은 AWS 글로벌 네트워크를 사용하여 AWS Transit Gateway를 함께 연결. 이용자 데이터는 자동으로 암호화되며 공용 인터넷을 통해 이동하지 않음
AWS PrivateLink
- 퍼블릭 인터넷에 트래픽을 노출하지 않고 VPC, AWS 서비스 및 온프레미스 네트워크 간의 프라이빗(비공개) 연결을 제공
- 리전 간 연결은 지원 안함
- Direct Connect와 달리 PrivateLink 는 AWS 내부의 네트워킹 구조로 사용되어 하나의 VPC에서 운영되는 서비스/애플리케이션을 AWS 리전 내의 다른 고객의 VPC에 비공개로 노출할 수 있음
AWS Site-to-Site VPN
- VPC와 온프레미스 환경 간에 트래픽을 암호화할 수 있지만 인터넷망을 사용하므로 비공개채널은 아님
Internet Gateway
- VPC에 연결되어 인터넷에서 데이터를 송수신하는 데 사용
- 각 VPC에는 하나의 인터넷 게이트웨이만 연결할 수 있음
- 퍼블릭 서브넷의 인스턴스에 대해 인터넷 통신을 활성화(프라이빗 서브넷은 불가)
- 인터넷에서 VPC에 액세스하는 인바운드 트래픽 허용
- 아웃바운드 인터넷 트래픽에 대한 route table의 대상으로도 사용됨
NAT Gateway
- 프라이빗 서브넷에서 실행되는 인스턴스에 대한 아웃바운드 인터넷 액세스에 사용
- 인터넷 게이트웨이를 사용하여 프라이빗 서브넷의 인스턴스를 인터넷에 연결할 수 없음. 이를 위해서는 NAT 게이트웨이 또는 NAT 인스턴스 필요
VPC Route Table
- 라우팅 테이블은 directing traffic을 위해 VPC 내에서 사용
Virtual Private Gateway(VGW)
- VPN 연결 시 Amazon 측에 있는 VPN concentrator
- VPC에 액세스하기 위한 IPSec VPN 연결에 사용
- 가상 프라이빗 게이트웨이를 생성하고 VPN 연결을 생성하려는 VPC에 연결함
VPC Flow Log
- VPC의 네트워크 인터페이스에서 인바운드 및 아웃바운드 IP 트래픽에 대한 정보를 캡처하는 데 사용할 수 있는 AWS 서비스
Elastic IP addresses
- 동적 클라우드 컴퓨팅을 위해 설계된 정적 IPv4 주소
- 탄력적 IP 주소는 AWS 계정에 할당되며 직접 해제할 때까지 해당 계정이 소유
- 탄력적 IP 주소를 사용하면 주소를 계정의 다른 인스턴스에 빠르게 다시 매핑하여 인스턴스 또는 소프트웨어의 장애를 숨길 수 있음
- 특정 리전에서만 사용할 수 있으며 다른 리전으로 이동할 수 없음. 따라서 리매핑이 가능한 경계는 가용영역임
- 탄력적 IP 주소를 인스턴스 또는 기본 네트워크 인터페이스와 연결하면 인스턴스의 퍼블릭 IPv4 주소(있는 경우)가 Amazon의 퍼블릭 IPv4 주소 풀로 다시 해제됨
- 퍼블릭 IPv4 주소는 재사용할 수 없으며 퍼블릭 IPv4 주소를 탄력적 IP 주소로 변환할 수 없음
AWS Elastic Load Balancing(ELB)
- 리전 내의 서로 다른 AZ에 있는 여러 EC2 인스턴스에 자동으로 트래픽을 분산하여 탄력성, 고가용성 확보
- Application Load Balancer(ALB)는 HTTP/HTTPS 헤더의 정보를 기반으로 애플리케이션 수준(레이어 7)에서 트래픽을 처리
- Network Load Balancer(NLB)는 TCP 연결 수준의 정보를 기반으로 직접 연결
- Classic Load Balancer(CLB)는 TCP, SSL, HTTP 및 HTTPS 수준(계층 4 및 7)에서 트래픽 처리
AWS Server Migration Service(SMS)
- 수천 개의 온프레미스 워크로드를 AWS로 더 쉽고 빠르게 마이그레이션할 수 있는 에이전트 없는 서비스
AWS Partner Solutions (구, Quick Starts)
- 보안 및 고가용성에 대한 AWS 모범 사례를 기반으로 AWS에서 널리 사용되는 기술을 배포할 수 있도록 AWS 솔루션 설계자와 파트너가 구축
- 각 Partner Solutions에는 배포를 자동화하는 AWS CloudFormation 템플릿과 아키텍처를 설명하고 단계별 배포 지침을 제공하는 가이드가 포함되어 있음
- 프로덕션 환경을 신속하게 구축하고 즉시 사용 가능
AWS 공동책임모델
- AWS의 고객은 데이터(미사용 데이터, 전송 중인 데이터 포함) 암호화에 대한 책임이 있음
- 고객의 또 다른 보안 책임은 네트워크 및 방화벽 구성을 설정하는 것
- 고객은 게스트 운영 체제의 관리(업데이트, 보안 패치 등), 고객이 인스턴스에 설치한 모든 애플리케이션 소프트웨어 또는 유틸리티의 관리, 인스턴스별로 AWS에서 제공한 방화벽(보안 그룹이라고 부름)의 구성 관리에 대한 책임이 있음
공동책임모델> IT 제어
1.상속된 제어 항목
- 고객이 AWS로부터 전적으로 상속받는 제어 항목
- 물리적 및 환경 제어 항목
2.공유된 제어 항목
- AWS는 인프라에 대한 요구 사항을 제공하고 고객은 AWS 서비스 사용 내에서 자체적인 제어 구현
- 패치 관리 – AWS는 인프라와 관련된 결함 수정과 패치에 대한 책임이 있으며, 고객은 게스트 OS와 애플리케이션 패치에 대한 책임이 있음
- 구성 관리 – AWS는 인프라 디바이스의 구성을 유지 관리하고, 고객은 자체 게스트 운영 체제, 데이터베이스 및 애플리케이션의 구성에 대한 책임이 있음
- 인지 및 교육 – AWS는 AWS 직원을 교육하고, 고객은 자사의 직원을 교육해야 함
3.고객 특정
- 전적으로 고객의 책임인 제어 항목
- 고객이 특정 보안 환경 내에서 데이터를 라우팅하거나 영역을 지정해야 할 수 있는 서비스 및 통신 보호 또는 영역 보안
Region, AZ, VPC, Subnet 관계
- 각 가용 영역 내에서 하나 이상의 서브넷을 생성할 수 있지만 서브넷은 가용 영역에 걸쳐 있을 수 없음
AWS Outpost
- AWS Outposts는 온프레미스 시설의 기본 AWS 서비스, 인프라 및 운영 모델을 지원
- AWS Outposts 환경에서는 AWS 클라우드에서 사용하는 것과 동일한 AWS API, 도구 및 인프라를 사용할 수 있습니다. AWS Outposts의 Amazon ECS는 온프레미스 데이터 및 애플리케이션과 매우 가까운 거리에서 실행해야 하는 대기 시간이 짧은 워크로드에 이상적입니다.
- Outposts는 온프레미스에 설치되어 기본적으로 현재 데이터가 있는 곳으로 AWS를 가져오기 때문에 고객의 데이터 상주 요구 사항을 충족
- 경우에 따라 규제 또는 정보 보안상의 이유로 데이터가 특정 지역에 남아 있어야 합니다. 금융 서비스 또는 석유 및 가스와 같은 의료 및 기타 규제 산업에는 특정 데이터 상주 요구 사항이 있습니다.
- Outposts는 온프레미스에 설치되어 기본적으로 현재 데이터가 있는 곳으로 AWS를 가져오기 때문에 고객의 데이터 상주 요구 사항을 충족
- AWS 리전으로 마이그레이션하기 어려운데 짧은 대기시간이 필요하다면 outpost, 워크로드에 1밀리초의 짧은 지연 시간이 필요한 최종 사용자에게 스트리밍하는 라이브 브로드캐스트가 포함되지만 최종 사용자가 AWS 리전을 사용할 수 없는 곳에 있는 경우 다양한 대도시에 분산된 로컬 영역이 콘텐츠를 제공하는 데 가장 적합
- AWS Outposts를 사용하면 다음과 같이 VPC를 온프레미스 데이터 센터로 확장할 수 있음
AWS Local Zones
- 로컬 영역은 AWS 컴퓨팅, 스토리지, 데이터베이스 및 기타 선별된 AWS 서비스를 최종 사용자에게 더 가까운 대도시 지역에 배치하는 새로운 유형의 인프라 배포입니다. 이를 통해 AWS Direct Connect 를 사용하고 데이터 레지던시 요구 사항을 충족하는 기능을 사용하여 한 자릿수 밀리초 지연 시간에 액세스할 수 있습니다
- 데이터 센터 또는 선택한 코로케이션 내에 배포하는 Outposts와 달리 Local Zones는 AWS에서 소유, 관리 및 운영함
AWS Cloud Development Kit(AWS CDK)
- 익숙한 프로그래밍 언어를 사용하여 클라우드 애플리케이션 리소스를 정의하는 오픈소스 소프트웨어 개발 프레임워크
- AWS CloudFormation을 사용하여 인프라를 배포할 수 있음
AWS Data Pipeline
- 서로 다른 AWS 컴퓨팅 및 스토리지 서비스 간에 데이터를 안정적으로 처리하고 이동할 수 있도록 지원하는 웹 서비스
AWS DataSync
- 스토리지 시스템과 AWS 간의 데이터 복제 및 마이그레이션에 사용
Bare Metal EC2 Instance
- ‘베어메탈(Bare Metal)’이란 용어는 원래 하드웨어 상에 어떤 소프트웨어도 설치되어 있지 않은 상태를 뜻합니다. 즉, 베어메탈 서버는 가상화를 위한 하이퍼바이저 OS 없이 물리 서버를 그대로 제공하는 것을 말합니다. 따라서 하드웨어에 대한 직접 제어 및 OS 설정까지 가능합니다.
- 특히 가상화로 인한 불필요한 성능 저하가 없어 고성능을 발휘하는 데에 유리합니다. 이런 특징들을 보면 베어메탈 서비스는 결국 서버호스팅과 같지만, 베어메탈 서버는 직접 물리 서버를 구매하고 설치하는 것이 아니라 클라우드 가상 서버와 동일하게 클라우드 환경에 신속하게 배치하고 사용할 수 있다는 점에서 다릅니다.
클라우드 사용 시 6가지 이점
- 고정 비용을 가변 비용으로 전환 – 사용 방법을 알기도 전에 데이터 센터와 서버에 막대한 투자를 하는 대신 컴퓨팅 리소스를 사용할 때만 비용을 지불하고 소비한 양에 대해서만 비용을 지불할 수 있습니다.
- 막대한 규모의 경제 효과 – 수십만 고객의 사용량이 클라우드에 집계되기 때문에 AWS와 같은 제공업체는 더 높은 규모의 경제를 달성할 수 있으며 이는 더 낮은 종량제 가격으로 이어집니다.
- 용량 추측 중지 – 인프라 용량 요구 사항에 대한 추측을 제거합니다. 애플리케이션을 배포하기 전에 용량을 결정할 때 값비싼 유휴 리소스를 사용하거나 제한된 용량을 처리하게 되는 경우가 많습니다. 클라우드 컴퓨팅을 사용하면 이러한 문제가 사라집니다. 필요한 만큼의 용량에 액세스할 수 있으며 몇 분 전에 통지하면 필요에 따라 확장 및 축소할 수 있습니다.
- 속도 및 민첩성 향상 – 클라우드 컴퓨팅 환경에서는 클릭 한 번으로 새로운 IT 리소스를 사용할 수 있습니다. 즉, 개발자가 해당 리소스를 사용할 수 있도록 하는 시간을 몇 주에서 몇 분으로 단축할 수 있습니다. 그 결과 **실험 및 개발**에 소요되는 비용과 시간이 현저히 줄어들기 때문에 조직의 민첩성이 크게 향상됩니다.
- 데이터 센터 운영 및 유지 관리 비용 지출 중단 – 인프라가 아닌 비즈니스를 차별화하는 프로젝트에 집중하십시오. 클라우드 컴퓨팅을 사용하면 랙을 설치하고 쌓고 서버에 전원을 공급하는 무거운 작업이 아니라 고객에게 집중할 수 있습니다.
- 몇 분 만에 글로벌 진출 – 몇 번의 클릭만으로 전 세계 여러 지역에 애플리케이션을 쉽게 배포할 수 있습니다. 즉, 최소한의 비용으로 고객에게 더 짧은 대기 시간과 더 나은 경험을 제공할 수 있습니다.
AWS Directory Service
- AWS Directory Service는 클라우드에서 기존 Microsoft AD 또는 LDAP (Lightweight Directory Access Protocol) 인식 애플리케이션을 사용하려는 고객에게 다양한 디렉터리 선택 옵션을 제공
- 디렉터리는 사용자, 그룹 및 디바이스에 대한 정보를 저장하고, 관리자는 이를 사용하여 정보 및 리소스에 대한 액세스를 관리
TCO 계산기
- TCO 계산기는 온프레미스에서 실행 중인 서버(물리적 또는 VM)의 수를 묻습니다. 또한, 리소스 정보(CPU, RAM)를 제공하고 서버가 DB인지 비 DB인지 지정해야 합니다.
- 이 새로운 계산기를 사용하여 온프레미스 또는 기존 호스팅 환경의 애플리케이션 비용을 AWS와 비교하십시오. 온프레미스 또는 호스팅 환경 구성을 설명하여 AWS와 자세한 비용 비교를 생성합니다.
Service Quotas
- 한 위치에서 여러 AWS 서비스에 대한 할당량을 관리하는 데 도움이 되는 AWS 서비스
- 할당량 값 조회와 함께 Service Quotas 콘솔에서 할당량 증가 요청 가능
Top 7 AWS Benefits and Advantages
https://intellipaat.com/blog/aws-benefits-and-drawbacks/#no4
- User-friendly
- Flexible
- Secure
- Cost-effective
- Reliable
- Scalable and Elastic
- Highly Performant
Disadvantages of AWS
- Limitations
- Lack of Experts
- Price Variations
- General Issues
[참고자료]
'AWS 관련 > AWS 자격증 관련' 카테고리의 다른 글
| [AWS SAA-003] [서비스 및 기능] 9. 기계 학습 (0) | 2022.08.22 |
|---|---|
| [AWS SAA-003] [서비스 및 기능] 8. Frontend Web 및 Mobile (0) | 2022.08.22 |
| [AWS SAA-003] [서비스 및 기능] 7. 개발자 도구 (0) | 2022.08.22 |
| [AWS SAA-003] [서비스 및 기능] 6. 데이터베이스 (0) | 2022.08.22 |
| [AWS SAA-003] [서비스 및 기능] 5. 컨테이너 (0) | 2022.08.22 |
