[AWS] Cloud Practitioner Essentials - 2

 

김형근님이 진행하는 Cloud Practitioner Essentials 과정을 기반으로 작성한 글 입니다. AWS 클라우드에 전반적인 기초내용을 다루고 있습니다. 클라우드 개념, AWS 서비스, 보안, 아키텍쳐, 요금 및 지원에 대한 상세한 개요를 제공합니다.

 

 

 

과정소개

 

• 1: Amazon Web Services 소개 

• 2: 클라우드컴퓨팅 

• 3: 글로벌인프라및안정성 

• 4: 네트워킹 

• 5: 스토리지및데이터베이스 

• 6: 보안

• 7: 모니터링및분석

• 8: 요금및지원

• 9: 마이그레이션및혁신

 

 

 

6. Amazon Web Services 보안

공동 책임모델, AWS Identity and Access Management, AWS Organizations 및 규정준수에 대해 알아보겠습니다.

 

 

공동책임모델

 

 

AWS Identity and Access Management(IAM)

AWS IAM을 사용하면 AWS 서비스 및 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. IAM은 회사의 고유한 운영 및 보안 요구사항에 따라 액세스권한을 구성할 수 있는 유연성을 제공합니다. IAM 사용자, 그룹및역할,  IAM 정책, 다중인증

 

 

AWS 계정 루트사용자

루트사용자는 AWS 계정을 만들때 사용한 이메일주소 및 암호로 로그인하여 액세스합니다. 모든 권한을 가집니다. 계정수준의 관리작업에 사용합니다.

 

 

IAM 사용자

IAM 사용자는 사용자가 AWS에서 생성하는 자격증명입니다. IAM 사용자는 AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션을 나타냅니다. IAM 사용자는 이름과 자격증명으로 구성됩니다

 

 

IAM 정책

IAM정책은 AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서입니다. IAM 정책을 사용하면 사용자가 리소스에 액세스할 수 있는 수준을 사용자지정할 수 있습니다. 권한을 부여할때 최소 권한 보안 원칙을 따르십시오.

 

 

IAM 그룹

IAM 그룹이란 IAM 사용자모음입니다. 그룹에 IAM 정책을 배정하면 해당 그룹의 모든 사용자에게 정책으로 지정된 권한이 부여됩니다.

 

 

IAM 역할

IAM 역할은 임시로 권한에 액세스 하기위해 수임할 수 있는 자격증명입니다. IAM 역할은 AWS 서비스와 상호작용하는데 선호되는 방법입니다. 모범사례로, IAM 역할은 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해야 하는 상황에 이상적입니다.

 

 

 

 

다중 인증(MFA)

 

 

 

 

AWS Organizations

 

AWS Organizations는 중앙위치에서 여러AWS 계정을 통합하고 관리할 수 있도록 지원합니다. AWS Organizations에서는 서비스제어정책(SCP)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어할 수있습니다. SCP를 사용하면 각 계정의 사용자 및 역할이 액세스 할 수 있는AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있습니다.

 

 

 

AWS Organizations에서는계정을 조직단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안요구사항이 있는계정을 손쉽게관리할 수 있습니다.

 

 

 

AWS Artifact

AWS Artifact는AWS 보안 및 규정준수 보고서와 일부 온라인 계약에 온디맨드로 액세스할 수 있는 서비스입니다. 감사 또는 검사를 통해 회사가 이러한 표준을 충족했는지 확인할 수 있습니다.  고객규정준수센터에는 AWS 규정 준수에 대해 자세히 알아볼 수 있는 리소스가 포함되어 있습니다.

 

 

 

AWS WAF

AWS WAF는 일반적인 웹 취약점 공격에서 웹 애플리케이션이나 API를 보호하는데 도움이되는 웹 애플리케이션 방화벽입니다. AWS WAF는 일반적인 웹 취약점 공격에서 웹 애플리케이션이나 API를 보호하는데 도움이되는 웹 애플리케이션 방화벽입니다.

 

 

웹 액세스 제어목록(ACL)

 

 

 

AWS Shield

AWS Shield는 분산서비스거부(DDoS) 공격으로부터 보호합니다. AWS Shield Advanced는 상세한 공격진단 및 정교한DDoS 공격을 탐지하고 완화할 수 있는기능을 제공하는 유료서비스입니다. 

 

 

Amazon Inspector

Amazon Inspector를 사용하면 애플리케이션에 대해 자동화된 보안 평가를수행할 수 있습니다.

 

 

 

 

AWS Key Management Service

AWS Key Management Service(AWS KMS)를 사용하면 암호화키를 사용하여 암호화작업을 수행할 수 있습니다. 암호화키는 데이터잠금(암호화) 및 잠금해제(암호해독)에 사용되는 임의의 숫자 문자열입니다. AWS KMS를사용하여 암호화키를 생성, 관리 및 사용할 수 있습니다. 또한 광범위한 서비스 및 애플리케이션에서 키사용을 제어할 수 있습니다.

 

 

 

Amazon GuardDuty

Amazon GuardDuty는AWS 인프라 및 리소스에 대한 지능형 위협탐지기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경내의 네트워크활동 및 계정동작을 지속적으로 모니터링하여 위협을 식별합니다.

 

 

 

 

7. 모니터링 및 분석

Amazon CloudWatch

Amazon CloudWatch는다양한 지표를 모니터링 및 관리하고, 해당 지표의 데이터를 기반으로 경보작업을 구성할 수 있게 해주는 웹서비스입니다. CloudWatch를 사용하면 지표의 값이 미리 정의된 임계값을 상회 또는 하회할 경우 자동으로 작업을 수행하는경보를생성할 수 있습니다. 또한 CloudWatch 대시보드를 사용하여 에를들면 Amazon EC2 인스턴스의 CPU 사용량을 모니터링할 수 있습니다.

 

 

AWS CloudTrail

AWS CloudTrail은 계정에 대한 API 호출을 기록합니다. 기록되는 정보에는 API 호출자 ID, API 호출시간, API 호출자의 소스 IP 주소등이 포함됩니다. CloudTrail Insights를 활성화 할 수 도있습니다. 이 옵션기능을 사용하면 CloudTrail이 AWS 계정에서 비정상적인 API 활동을 자동으로 감지할 수 있습니다.

 

 

AWS Trusted Advisor

AWS Trusted Advisor는AWS 환경을 검사하고 AWS 모범사례에 따라 실시간 권장사항을 제시하는 웹 서비스입니다. Trusted Advisor는 비용최적화, 성능, 보안, 내결함성 및 서비스 한도라는 5가지 범주에서 검사결과를 AWS 모범사례와 비교합니다.

 

 

 

 

8. 요금 및 지원

요금 개념

 

AWS 요금계산기를 사용하면 AWS 서비스를 탐색하고 AWS기반 사용사례에 대한 비용을 추정할 수 있습니다. AWS 비용추정을 정의된 그룹별로 구성할 수 있습니다.

 

AWS Organizations의 통합결제기능을 사용하면 조직의 모든 AWS 계정에 대한 단일청구서를 받을 수 있습니다. 

 

또한 통합결제를 사용하면 여러계정의 사용량을 합해 대량구매할인을 동시에 적용할 수 있습니다. Amazon S3와 같은일부AWS 서비스는 대량 구매할인을 제공하여 서비스를 많이 사용할수록 낮은요금을 제공합니다.

 

 

 

AWS Budgets

AWS Budgets에서 예산을 생성하여 서비스 사용량, 서비스 비용 및 인스턴스 예약을 계획할 수 있습니다. AWS Budgets에서 사용량이 예산금액을 초과하거나 초과할 것으로 예상되는 경우 사용자지정알림을 설정할수도있습니다

 

 

AWS Cost Explorer

AWS Cost Explorer는 시간경과에 따른AWS 비용 및 사용량을 시각화하고 이해하고 관리하는데 사용할 수있는 도구입니다. 발생비용기준 상위 5개AWS 서비스의 비용 및 사용량에 대한 기본보고서가 포함되어 있습니다.

 

 

 

9. 마이그레이션 및 혁신

AWS Cloud Adoption Framework

기술적인 관점에서 참조해야 할 프레임워크

 

비즈니스 관점은 IT가 비즈니스 요구사항에 맞게 조정되고 IT 투자가 주요 비즈니스 결과에 연계되도록 보장합니다.

인력 관점을 사용하여 조직구조 및 역할, 새로운 기술 및 프로세스 요구사항을 평가하고 격차를  파악합니다. 이를통해 교육, 인력배치및 조직변경의 우선순위결정을 지원할 수 있습니다.

거버넌스 관점은 IT 전략이 비즈니스전략에 부합하도록 조정하는 기술 및 프로세스에 중점을 둡니다. 이를 통해 비즈니스가치를 극대화하고 위험을 최소화할 수 있습니다.

플랫폼 관점에는 클라우드에 새로운 솔루션을 구현하고, 온프레미스 워크로드를 클라우드로 마이그레이션하는데 필요한 원칙과 패턴이 포함되어 있습니다.

보안 관점은 조직이 가시성, 감사가능성, 제어 및 민첩성에 대한 보안 목표를 충족하도록 보장합니다.

운영 관점은 비즈니스 이해관계자들과 합의된 수준까지 IT 워크로드를 활성화, 실행, 사용, 운영 및 복구할 수 있도록 지원합니다.

 

 

AWS 마이그레이션 사례

KBS, 삼성, 마켓컬리 등

 

 

AWS Snow Family

AWS Snow Family는 AWS Snowcone 및 AWS Snowball로 구성되어 있습니다. 이러한 디바이스는 각각 다른 용량포인트를 제공하며 대부분 내장컴퓨팅 기능을 포함합니다.

 

AWS Snowcone은 작고 견고하며 안전한 엣지컴퓨팅 및 데이터전송 디바이스입니다.

 

AWS는 다음과 같은 두 가지유형의 AWS Snowball 디바이스를 제공합니다.

 

• Snowball Edge Storage Optimized 디바이스는 대규모 데이터마이그레이션 및 반복 전송 워크플로 뿐만아니라 큰 용량이 필요한 로컬컴퓨팅에도 적합합니다.

• Snowball Edge Compute Optimized는 기계학습, 풀모션 비디오분석, 데이터분석 및 로컬컴퓨팅 스택과같은 사용사례를 위한 강력한 컴퓨팅리소스를 제공합니다.

 

 

 

Well-Architected Framework

Well-Architected Framework는 AWS 클라우드에서 안정적이고 안전하며 효율적이고 비용효율적인 시스템을설계하고 운영하는방법을 이해하는데 도움이 됩니다. 모범사례 및 설계원칙에 따라 아키텍처를 지속적으로 측정하고 개선할 영역을 파악할 수 있습니다.

 

Well-Architected Framework는다음과같은 6가지핵심요소를 기반으로 합니다.

 

• 운영우수성 

비즈니스가치를 제공하고 지원프로세스 및 절차를 지속적으로 개선하기 위해 시스템을 실행 및 모니터링하는데 중점을 둡니다. 예를들어 배포 파이프라인을 사용하여 변경내용을 자동화하거나 트리거된 이벤트에 응답할 수 있습니다.

 

• 보안 

위험평가 및 완화전략을 통해 비즈니스 가치를 제공하는 동시에 정보, 시스템, 자산을 보호하는 능력입니다.

가능하다면 보안 모범사례를 자동화, 모든 계층에 보안 적용, 전송중/저장시 데이터보호

 

• 안정성 

인프라 또는 서비스 장애로부터 복구, 컴퓨팅 리소스를 동적으로 확보하여 수요충족, 잘못된 구성 또는 네트워크문제와 같은 중단완화

 

• 성능효율성 

컴퓨팅리소스를 효율적으로 사용하여 시스템 요구사항을 충족하고, 수요변화와 기술 진화에 따라 이러한 효율성을 유지하는 능력입니다.

 

• 비용최적화 

가장 낮은 가격으로 비즈니스가치를 제공하도록 시스템을 실행하는 능력입니다. 소비 모델채택, 비용분석 및 귀속, 관리형서비스를 사용하여 소유비용절감이 포함됩니다.

 

• 지속가능성

사용되는 서비스의 영향을 이해하고, 전체워크로드 수명주기에서 영향을 수치화하고, 설계원칙 및 모범사례를 적용하여 이러한 영향을 줄이는 것 입니다.