글쓰는 감자

영역 1: 복원력을 갖춘 아키텍처 설계(30%)

1.1 멀티 티어 아키텍처 솔루션 설계

• 액세스 패턴을 기반으로 솔루션 설계를 결정

• 설계에 사용되는 구성 요소에 대한 조정 전략을 결정

• 요구 사항에 따라 적절한 데이터베이스를 선택

• 요구 사항에 따라 적절한 컴퓨팅 및 스토리지 서비스를 선택

1.2 고가용성 및/또는 내결함성 아키텍처 설계

• 가용 영역 전반에 내결함성 아키텍처를 제공하는데 필요한 리소스의 양을 결정

• 단일 장애 지점을 완화하는 고가용성 구성을 선택

• 애플리케이션을 변경할 수 없는 경우 레거시 애플리케이션의 안정성을 개선하는 AWS 서비스를 적용

• 비즈니스 요구 사항을 충족하는 데 적절한 재해 복구 전략을 선택

• 솔루션의 고가용성을 보장하는 주요 성능 지표를 식별

1.3 AWS 서비스를 사용하여 결합 해제 메커니즘 설계

• 구성 요소의 소결합을 달성하기 위해 활용할 수 있는 AWS 서비스를 결정

• 결합 해제를 활성화하기 위해 서버리스 기술을 활용할 시기를 결정

1.4 적절한 복원력을 갖춘 스토리지 선택

• 데이터의 내구성을 보장하는 전략을 정의

• 데이터 서비스 일관성이 애플리케이션 운영에 미치는 영향을 파악
• 애플리케이션의 액세스 요구 사항을 충족하는 데이터 서비스를 선택
• 하이브리드 또는 비클라우드 네이티브 애플리케이션과 함께 사용할 수 있는 스토리지 서비스를 식별

영역 2: 고성능 아키텍처 설계(28%)

2.1 워크로드를 위한 탄력적이고 확장 가능한 컴퓨팅 솔루션 식별

• 컴퓨팅, 스토리지 및 네트워킹 요구 사항에 따라 적절한 인스턴스를 선택
• 성능 요구 사항을 충족하도록 확장 가능한 적절한 아키텍처 및 서비스를 선택
• 솔루션의 성능을 모니터링하는 지표를 식별

2.2 워크로드를 위한 확장 가능한 고성능 스토리지 솔루션 선택

• 성능 요구 사항을 충족하는 스토리지 서비스 및 구성을 선택
• 향후 요구 사항을 수용하도록 확장 가능한 스토리지 서비스를 결정

2.3 워크로드를 위한 고성능 네트워킹 솔루션 선택

• 성능 요구 사항을 충족하는데 적절한 AWS 연결 옵션을 선택
• AWS 퍼블릭 서비스에 대한 연결을 최적화하는데 적절한 기능을 선택
• 성능 이점을 제공하는 엣지 캐싱 전략을 결정

• 마이그레이션 및/또는 수집에 적합한 데이터 전송 서비스를 선택

2.4 워크로드를 위한 고성능 데이터베이스 솔루션 선택

• 적절한 데이터베이스 조정 전략을 선택
• 성능 향상을 위해 데이터베이스 캐싱이 필요한 시점을 결정
• 성능 요구 사항을 충족하는 적합한 데이터베이스 서비스를 선택

영역 3: 안전한 애플리케이션 및 아키텍처 설계(24%)

3.1 AWS 리소스에 대한 보안 액세스 설계

• 사용자, 그룹, 역할 간에 선택할 시점을 결정
• 지정된 액세스 정책의 순 효과를 해석
• 루트 계정을 보호하는데 적절한 기술을 선택
• AWS IAM의 기능을 사용하여 자격 증명을 보호하는 방법을 결정
• 애플리케이션이 AWS API에 액세스할 수 있는 안전한 방법을 결정
• AWS 리소스에 대한 액세스 추적 가능성을 생성하는데 적절한 서비스를 선택

3.2 보안 애플리케이션 계층 설계

• 주어진 트래픽 제어 요구 사항에 따라 보안 그룹 및 네트워크 ACL을 사용할 시점 및 방법을 결정
• 퍼블릭 서브넷과 프라이빗 서브넷을 사용하여 네트워크 세분화 전략을 결정
• Amazon VPC에서 AWS 서비스 엔드포인트 또는 인터넷 기반 리소스에 안전하게 액세스하는데 적절한 라우팅 메커니즘을 선택

• 외부 위협으로부터 애플리케이션을 보호하는데 적절한 AWS 서비스를 선택

3.3 적절한 데이터 보안 옵션 선택

• 액세스 패턴을 기반으로 개체에 적용해야 하는 정책을 결정
• AWS 서비스의 저장 데이터 및 전송 중 데이터에 적절한 암호화 옵션을 선택
• 요구 사항에 따라 적절한 키 관리 옵션을 선택

영역 4: 비용에 최적화된 아키텍처 설계(18%)

4.1 비용 효율적인 스토리지 솔루션 식별

• 요구 사항에 따라 가장 비용 효율적인 데이터 스토리지 옵션을 결정
• 비용을 최소화하기 위해 시간 경과에 따라 데이터를 스토리지 계층에 저장하는 자동화된 프로세스를 적용

4.2 비용 효율적인 컴퓨팅 및 데이터베이스 서비스 식별

• 워크로드의 각 측면에 대해 가장 비용 효율적인 Amazon EC2 결제 옵션을 결정
• 요구 사항에 따라 가장 비용 효율적인 데이터베이스 옵션을 결정
• 비용 관점에서 적절한 조정 전략을 선택
• 워크로드에 가장 적합한 컴퓨팅 리소스를 선택하고 크기를 조정
• 관리형 서비스 및 서버리스 아키텍처를 통해 TCO(총 소유 비용)를 최소화하는 옵션을 결정

4.3 비용에 최적화된 네트워크 아키텍처 설계

• 비용을 절감하기 위해 콘텐츠 전송을 사용할 수 있는 시점을 파악
• AWS 내에서 데이터 전송 비용을 절감하기 위한 전략을 결정
• AWS 환경과 온프레미스 환경 간에 가장 비용 효율적인 연결 옵션을 결정

https://aws.amazon.com/ko/certification/certified-solutions-architect-associate/ 

관련 포스팅

시험 안내서

AWS-Certified-Solutions-Architect-Associate_Exam-Guide.pdf (awsstatic.com)

• 3쪽부터 시험 범위 파악(p3 ~ p6)
• 부록 내용 서비스 파악(p7 ~ p9)

백서

1. 개요: Overview of Amazon Web Services - AWS Whitepaper

2. WAF: AWS Well-Architected Framework - AWS Well-Architected Framework (amazon.com)

3. 가격 책정 방식: How AWS Pricing Works - AWS Whitepaper (amazon.com)

4. Support Plan 비교: 지원 계획 비교 | Developer, Business, Enterprise On-Ramp, Enterprise | AWS 지원 (amazon.com)

샘플 문항

AWS-Certified-Solutions-Architect-Associate_Sample-Questions.pdf (awsstatic.com)

https://explore.skillbuilder.aws/learn/signin

자격증 신청

AWS Certification | AWS 교육 및 자격증

참고할 만한 블로그

분석

• Amazon Athena
  • 표준 SQL을 사용해 S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스
  • 서버리스 서비스(ETL 불필요), 실행한 쿼리에 대해서만 비용 지불
• Amazon Kinesis
  • 실시간 스트리밍 데이터를 손쉽게 수집, 처리 및 분석 가능 → 통찰력을 확보하고 새로운 정보에 신속하게 대응
  • 완전 관리형
• Amazon QuickSight
  • 조직의 모든 사람이 자연어로 질문하거나 대화형 대시보드를 통해 탐색하거나 기계 학습을 기반으로 패턴과 이상값을 자동으로 찾는 방법으로 데이터에 대한 이해를 높임
  • 모두를 위한 BI 지원, ML 인사이트로 고급 분석 수행, 분석 기능 임베딩

애플리케이션 통합

• Amazon SNS(Amazon Simple Notification Service)
  • 애플리케이션 간(A2A) 및 애플리케이션과 사용자 간(A2P) 통신 모두를 위한 완전 관리형 메시징 서비스
• Amazon SQS(Amazon Simple Queue Service)
  • 마이크로 서비스, 분산 시스템 및 서버리스 애플리케이션을 쉽게 분리하고 확장할 수 있도록 지원하는 완전 관리형 메시지 대기열 서비스

컴퓨팅 및 서버리스

• AWS Batch
  • 수많은 배치 컴퓨팅 작업을 효율적으로 손쉽게 실행 가능
  • 작업 실행을 위한 배치 컴퓨팅 소프트웨어나 서버 클러스터를 설치해 관리할 필요가 없어 결과 분석과 문제 해결에 집중 가능
  • 완전 관리형
• Amazon EC2
  • 거의 모든 워크로드에 적합한 안전하고 크기 조정 가능한 컴퓨팅 용량
  • 안정적인 확장 가능한 인프라에 온디맨드로 액세스
    • 99.99% 가용성을 지원하는 SLA 약정을 기반으로 용량 크기 조정
  • AWS Migration Tools, AWS Managed Services 또는 Amazon Lightsail을 사용해 간편하게 앱을 마이그레이션하고 구축함
• AWS Elastic Beanstalk
  • Java, .NET, PHP, Node.js, Python, Ruby, Go, Docker를 사용해 Apache, Nignx, Passenget, IIS와 같은 친숙한 서버에서 개발된 웹 애플리케이션 및 서비스를 간편하게 배포하고 조정할 수 있는 서비스
  • 코드를 업로드하기만 하면 알아서 배포를 자동으로 처리
  • 완벽한 리소스 제어
• AWS Lambda
  • 서버 또는 클러스터에 대한 걱정 없이 코드 실행(이벤트 중심의 서버리스 컴퓨팅 서비스)
  • 사용 사례
    • 대규모 데이터 처리, 대화형 웹 및 모바일 백엔드 실행, 강력한 기계 학습 인사이트 지원, 이벤트 중심의 애플리케이션 생성
• Amazon Lightsail
  • 사용하기 쉬운 가상 프라이빗 서버(VPS) 인스턴스, 컨테이너, 스토리지, 데이터베이스 등을 비용 효율적인 월별 가격으로 제공(저렴한 비용의 사전 구성된 클라우드 리소스를 통해 애플리케이션 및 웹 사이트를 빠르게 구축)
  • 사용 사례
    • 간단한 웹 애플리케이션 시작, 사용자 지정 웹 사이트 생성, 소규모 비즈니스 애플리케이션 구축, 테스트 환경 구동
• Amazon WorkSpaces
  • 모든 위치에서 안전하고 안정적이며 확장 가능한 방식으로 비영구 데스크톱에 액세스
  • 모든 디바이스에서 리소스에 액세스 할 수 있는 Windows 및 Linux용 완전 관리형 데스크톱 가상화 서비스
  • 사용 사례
    • 파견 작업자 온보딩, 원격 근무 촉진, 강력한 데스크톱 실행, 모든 위치에서 고객 센터 상담원의 업무를 지원

컨테이너

• Amazon ECS(Amazon Elastic Container Service)
  • 고도로 안전하고, 안정적이며, 확장 가능한 컨테이너 실행(완전 관리형 컨테이너 오케스트레이션 서비스)
  • 선호하는 지속적 통합 및 지속적 전달(CI/CD)과 자동화 도구를 사용하여 클라우드에서 수천 개의 컨테이너를 시작
  • 사용 사례
    • 하이브리드 환경에 배포, 배치 처리 지원, 웹 애플리케이션 크기 조정
• Amazon EKS(Amazon Elastic Kubernetes Service)
  • 클라우드 또는 온프레미스에서 Kubernetes 애플리케이션을 실행하고 크기를 조정하는 관리형 컨테이너 서비스
  • 사용 사례
    • 하이브리드 환경 전반에 배포, 기계 학습(ML) 워크플로 모델링, 웹 애플리케이션 구축 및 실행
• AWS Fargate
  • 서버를 관리하지 않고도 애플리케이션 구축에 초점을 맞출 수 있도록 지원하는 종량제 서버리스 컴퓨팅 엔진
  • ECS 및 EKS와 모두 호환됨
  • 사용 사례
    • 웹 앱, API 및 마이크로 서비스, 컨테이너 워크로드 실행 및 크기 조정, AI 및 기계 학습 훈련 애플리케이션 지원, 비용 최적화

데이터베이스

• Amazon Aurora
  • 클라우드용으로 구축된 MySQL 및 PostgreSQL 호환 관계형 데이터베이스
  • 표준 MySQL 보다 5배 빠르고, 표준 PostgreSQL 보다 3배 빠름
  • 내결함성을 갖춘 자가 복구 분산 스토리지 시스템(최대 128TB까지 자동으로 확장됨)
    • 읽기 전용 복제본 최대 15개, 3개 가용 영역에 걸친 복제
  • 완전 관리형, 마이그레이션 지원
  • 사용 사례
    • 엔터프라이즈 애플리케이션, SaaS 애플리케이션, 웹 및 모바일 게임
• Amazon DynamoDB
  • 모든 규모에서 10밀리초 미만의 성능을 제공하는 빠르고 유연한 NoSQL 데이터베이스 서비스
  • 거의 무제한의 처리량 및 스토리지와 자동 다중 리전 복제 기능을 사용
  • 유휴 시 암호화, 자동 백업 및 복원과 최대 99.999% 가용성의 SLA로 보장되는 안정성
  • 완전 관리형 서버리스 키-값 NoSQL 데이터베이스
  • 사용 사례
    • 소프트웨어 애플리케이션 개발, 미디어 메타데이터 스토어 생성, 원활한 소매 경험 제공, 게임 플랫폼 확장
• Amazon ElastiCache
  • 유연한 실시간 사용 사례를 지원하는 완전 관리형 인 메모리 캐싱 서비스
  • 애플리케이션 및 데이터베이스 성능을 가속화, Redis 및 Memcached와 호환 가능
  • 사용 사례
    • 애플리케이션 성능 가속화, 간편한 백엔드 데이터베이스 로드, 낮은 대기 시간 데이터 스토어 구축
• Amazon RDS
  • 클라우드에서 관계형 데이터베이스를 간편하게 설정, 운영 및 확장 가능
  • 하드웨어 프로비저닝, 데이터베이스 설정, 패치 및 백업과 같은 시간 소모적인 관리 작업을 자동화하면서 비용 효율적이고 크기 조정 가능한 용량을 제공
  • 여러 데이터베이스 인스턴스 유형으로 제공되며 Aurora, PostgreSQL, MySQL, MariaDB, Oracle DB 및 SQL Server를 비롯한 6개의 익숙한 데이터베이스 엔진 중에서 선택 가능
• Amazon Redshift
  • SQL을 사용하여 여러 데이터 웨어하우스, 운영 데이터베이스 및 데이터 레이크에서 정형 데이터 및 반정형 데이터를 분석하고 AWS가 설계한 하드웨어 및 기계 학습을 사용해 어떤 규모에서든 최고의 가격 대비 성능을 지원
  • 사용 사례
    • 재무 및 수요 예측 개선, 협업 및 데이터 공유, 비즈니스 인텔리전스 최적화, 개발자 생산성 향상

개발자 도구

• AWS CodeBuild
  • 소스 코드를 컴파일하는 단계부터 테스트 실행 후 소프트웨어 패키지를 개발하여 배포하는 단계까지 마칠 수 있는 완전 관리형의 지속적 통합 서비스
  • 지속적으로 확장되며 여러 빌드를 동시에 처리
• AWS CodeCommit
  • 프라이빗 Git 리포지토리를 호스팅 하는 안전하고 확장성이 뛰어난 관리형 소스 제어 서비스
  • 완전 관리형
• AWS CodeDeploy
  • EC2, Fargate, Lambda 및 온프레미스 서버와 같은 다양한 컴퓨팅 서비스에 대한 소프트웨어 배포를 자동화하는 완전 관리형 배포 서비스
• AWS CodePipeline
  • 빠르고 안정적인 애플리케이션 및 인프라 업데이트를 위해 릴리스 파이프라인을 자동화하는 데 도움이 되는 완전 관리형 지속적 전달 서비스
    • 코드 변경이 발생할 때마다 사용자가 정의한 릴리스 모델을 기반으로 릴리스 프로세스의 빌드, 테스트 및 배포 단계를 자동화
• AWS CodeStar
  • 통합된 사용자 인터페이스를 제공하므로 한 곳에서 소프트웨어 개발 활동을 손쉽게 관리
  • 몇 분 만에 전체 지속적 전달 도구 체인을 구성할 수 있으므로 코드 릴리스를 더욱 빠르게 시작

고객 지원

• Amazon Connect
  • 몇 분 내로 고객 센터를 확장하여 수백만 명의 고객을 지원할 수 있음
  • 사용 사례
    • 옴니 채널 고객 서비스 제공, 내장 AI 및 기계 학습을 사용하여 상호 작용을 개인화, 에이전트 생산성 향상

관리, 모니터링 및 거버넌스

• AWS Auto Scaling
  • 애플리케이션을 모니터링하고 용량을 자동으로 조정하여, 최대한 저렴한 비용으로 안정적이고 예측 가능한 성능을 유지
• AWS Budgets
  • 사용자 지정 예산을 설정하여 난이도가 각기 다른 여러 사용 사례의 비용과 사용량을 추적 가능
  • 다양한 기타 AWS 서비스와 통합할 수 있음
  • AWS Cost Explorer와 통합하면 비용 및 사용량 증가 요인을 손쉽게 확인/분석 가능
  • 요구에 맞는 사용자 지정 예산 책정, 알림과 보고서를 통해 지속적으로 정보 파악, 예산 기간 세부 지정
  • 사용 사례
    • 모니터링, 보고서, 대응
• AWS CloudFormation
  • 인프라를 코드로 처리하여 AWS 및 서드 파티 리소스를 모델링, 프로비저닝 및 관리할 수 있음
  • 인프라를 전 세계로 확장하고 모든 AWS 계정 및 리전의 리소스를 단일 작업으로 관리
  • 사용 사례
    • DevOps로 인프라 관리, 프로덕션 스택 크기 조정, 모범 사례 공유
• AWS CloudTrail
  • AWS 인프라 전체의 계정 활동을 모니터링하고 기록하여 스토리지, 분석 및 해결 작업을 제어 가능
  • 단일의 중앙 제어식 플랫폼에서 AWS 리전 및 계정 전체의 사용자 활동 및 API 사용을 캡처하고 통합 가능
  • 사용 사례
    • 활동 감사, 보안 인시던트 식별, 운영 관련 문제 해결
• Amazon CloudWatch
  • 모니터링 및 관찰 서비스
  • 모니터링 및 운영 데이터를 로그, 지표 및 이벤트 형태로 수집
  • 사용 사례
    • 인프라 모니터링 및 문제 해결, 평균 해결 시간 개선, 사전에 리소스 최적화, 애플리케이션 모니터링, 관측성 분석 사용
• AWS Config
  • AWS 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스
  • AWS 리소스 구성을 지속적으로 모니터링 및 기록하고, 원하는 구성을 기준으로 기록된 구성을 자동으로 평가해줌
  • 사용 사례
    • 검색, 변경 관리, 지속적 감사 및 규정 준수, Compliance-as-Code 프레임 워크, 문제 해결, 보안 분석
• AWS 비용 및 사용 보고서
  •  AWS 서비스, 요금, 크레딧, 수수료, 세금, 할인, 비용 범주, 예약 인스턴스 및 Savings Plans에 대한 추가 메타데이터를 비롯하여 사용 가능한 가장 포괄적인 AWS 비용 및 사용 데이터가 포함됨
• Amazon EvenBridge(Amazon CloudWatch Events)
• AWS License Manager
  • 공급 업체에서 제공한 소프트웨어 라이선스를 AWS 및 온프레미스 환경 전반에 걸쳐 손쉽게 관리할 수 있음
  • 라이선스 사용에 대한 제어권 확보, 비용 절감, 규정 미준수 위험 감소
• AWS Managed Services(AMS)
  • AWS 인프라를 더욱 효율적이고 안전하게 운영하도록 도와줌
  • 운영 유연성, 강화된 보안 및 규정 준수, 비용 최적화
  • 사용 사례
    • 데이터 센터 마이그레이션 가속화, 클라우드 운영 모델 구축 턴키, 직원 보강
• AWS Organizations
  • AWS 리소스가 늘어나고 확장됨에 따라 환경을 중앙 집중식으로 관리하고 규제하는데 도움됨  
  • 다른 AWS 서비스에 통합되므로 중앙 구성, 보안 메커니즘, 감사 요구 사항 및 조직 내 계정에 걸쳐 공유되는 리소스 정의
  • 사용 사례
    • AWS 계정 생성 자동화 및 그룹을 사용하여 워크로드 분산
    • 감사 및 규정 준수 정책 구현 및 적용
    • 개발을 촉진하는 동시에, 보안 팀에 필요한 도구 및 액세스 제공
    • 여러 계정에서 공통 리소스 공유
• AWS Secrets Manager
  • 애플리케이션, 서비스, IT 리소스에 액세스 할 때 필요한 보안 정보를 보호하는데 도움됨
  • 수명 주기에 걸쳐 데이터베이스 자격 증명, API 키 및 다른 보안 정보를 손쉽게 교체, 관리 및 검색 가능
  • RDS, Redshift 및 DocumentDB에 기본적으로 통합되어 보안 정보 교체 기능을 제공
• AWS Systems Manager
  • 하이브리드 클라우드 환경을 위한 안전한 엔드 투 엔드 관리 솔루션
  • 운영 관리, 애플리케이션 관리, 변경 관리, 노드 관리
  • 사용 사례
    • 운영 데이터의 중앙 집중화, 애플리케이션 문제를 자동으로 해결, 모범 사례 구현, 보안 이벤트 해결
• AWS Systems Manager Parameter Store
• AWS Trusted Advisor
  • AWS 모범 사례를 따르는데 도움이 되는 권장 사항을 제공
  • 검사를 사용하여 계정을 평가
  • Developer Support: 핵심 보안 검사 및 서비스 할당량에 대한 모든 검사에 액세스
  • Business, Enterprise Support: 비용 최적화, 보안, 내결함성, 성능, 서비스 할당량을 포함한 모든 Trusted Advisor 검사에 액세스

네트워킹 및 콘텐츠 전송

• Amazon API Gateway
  
  • 어떤 규모에서든 개발자가 API를 손쉽게 생성, 게시, 유지 관리, 모니터링 및 보안 유지할 수 있도록 하는 완전 관리형 서비스
  • 실시간 양방향 통신 애플리케이션이 가능하도록 하는 RESTful API 및 WebSocket API를 작성 가능
• Amazon CloudFront
  • 뛰어난 성능, 보안 및 개발자 편의를 위해 구축된 콘텐츠 전송 네트워크(CDN) 서비스
  • 사용 사례
    • 빠르고 안전한 웹 사이트 전송, 동적 콘텐츠 전송 및 API 가속화, 라이브 및 온디맨드 비디오 스트리밍, 패치 및 업데이트 배포
• AWS Direct Connect
  • AWS 리소스에 대한 최단 경로
  • 네트워크 트래픽은 AWS 글로벌 네트워크에 남아있으며 퍼블릭 인터넷에 닿지 않음
  • 사용 사례
    • 하이브리드 네트워크 구축, 기존 네트워크 확장, 대규모 데이터 집합 관리
• Amazon Route 53
  • 높은 가용성과 확장성이 뛰어난 클라우드 DNS 웹 서비스
  • 최종 사용자를 인터넷 애플리케이션으로 라우팅 할 수 있는 매우 안정적이고 비용 효율적인 방법을 개발자와 기업에 제공
• Amazon VPC
  • 리소스 배치, 연결 및 보안을 포함하여 가상 네트워킹 환경을 완전히 제어할 수 있음
  • 사용 사례
    • 멀티 티어 웹 애플리케이션 호스팅, 하이브리드 연결 생성

보안, 자격 증명 및 규정 준수

• AWS Artifact
  • 자신에게 해당되는 규정 준수와 관련된 정보를 제공하는 신뢰할 수 있는 중앙 리소스
  • AWS 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스 제공
• ACM(AWS Certificate Manager)
  • AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스
  • 사용 사례
    • 웹 사이트 보호 및 보안, 내부 리소스 보호 및 보안, 규정 준수 요구 사항을 충족하도록 지원, 가동 시간 향상
• AWS CloudHSM
  • 자체 암호화 키를 손쉽게 생성 및 사용할 수 있도록 지원하는 클라우드 기반 하드웨어 보안 모듈(HSM)
• Amazon Cognito
  • 웹과 모바일 앱에 빠르고 손쉽게 사용자 가입, 로그인 및 액세스 제어 기능 추가 가능
• Amazon Detective
  • 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 식별 가능
  • AWS 리소스에서 로그 데이터를 자동으로 수집하고, 기계 학습, 통계 분석 및 그래프 이론을 사용하여 보다 쉽고 빠르게 효율적인 보안 관련 조사를 시행할 수 있도록 지원하는 연결된 데이터 집합을 구축
  • 사용 사례
    • 보안 탐지 결과 분류, 인시던트 조사, 위협 헌팅
• Amazon GuardDuty
  • AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스
  • 사용 사례
    • 무단 활동 차단, 지속적인 모니터링 및 분석 지원, 포렌식 간소화
• AWS IAM(Identiy and Access Management)
  • 모든 AWS에 대해 세분화된 액세스 제어를 제공
    • 서비스 및 리소스에 액세스 할 수 있는 사용자와 액세스할 수 있는 조건을 지정
    • IAM 정책으로 인력 및 시스템에 대한 권한을 관리하여 최소 권한 보장 가능
    • 사용 사례
      • 세분화된 액세스 제어 적용, AWS 조직 전체에 권한 가드레일 및 데이터 경계 설정, IAM Access Analyzer를 통해 최소 권한 달성, ABAC를 통해 세분화된 권한을 자동으로 조정
• Amazon Inspector
  • 소프트웨어 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스
  • 사용 사례
    • 신속하게 취약성 발견, 패치 수정 우선순위 지정, 규정 준수 요구 사항 충족, 더 빠르게 제로 데이 취약성 식별
• AWS License Manager
  • 공급 업체에서 제공한 소프트웨어 라이선스를 AWS 및 온프레미스 환경 전반에 걸쳐 손쉽게 관리할 수 있음
  • 라이선스 사용에 대한 제어권 확보, 비용 절감, 규정 미준수 위험 감소
• Amazon Macie
  • 완전 관리형 데이터 보안 및 데이터 프라이버시 서비스
  • 기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호
  • 사용 사례
    • 데이터 프라이버시 및 보안 평가, 규제 준수 유지, 데이터 마이그레이션 시 민감한 데이터 식별
• AWS Shield
  • AWS에서 실행되는 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스
  • Standard: 가장 일반적이고 빈번하게 발생, 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호(추가 비용 없음)
  • Advanced: 애플리케이션 앞에 CloudFront를 배포함으로써 전 세계 어디에서든 호스팅 된 웹 애플리케이션 보호 가능
• AWS WAF
  • 가용성에 영향을 주거나, 보안을 위협하거나, 리소스를 과도하게 사용하는 일반적인 웹 공격으로부터 웹 애플리케이션이나 API를 보호하는데 도움이 되는 웹 애플리케이션 방화벽
  • CloudFront, Application Load Balancerm REST API용 API Gateway, GraphQL API용 AppSync에 배포 가능

스토리지

• AWS Backup
  • AWS 서비스 및 하이브리드 워크로드에서 데이터 보호를 중앙 집중화하고 자동화할 수 있음
  • 정책을 기반으로 대규모 데이터 보호를 간편하고 비용 효율적으로 수행할 수 있는 완전 관리형 서비스
  • 사용 사례
    • 클라우드 네이티브 백업, 하이브리드 데이터 보호
• Amazon EBS(Amazon Elastic Block Store)
  • 사용이 쉽고 확장 가능한 고성능 블록 스토리지 서비스로서 EC2용으로 설계됨
  • 사용 사례
    • I/O 집약적 애플리케이션을 위해 클라우드에서 SAN 구축, 관계형 데이터베이스 또는 NoSQL 데이터베이스 실행, 적정 크기의 빅데이터 분석 엔진
• Amazon EFS(Amazon Elasitc File System)
  • 파일을 추가하고 제거할 때 자동으로 확장되고 축소되며 관리 또는 프로비저닝이 필요하지 않음
  • 사용 사례
    • DevOps 간소화, 애플리케이션 개발 현대화, 콘텐츠 관리 시스템 개선, 데이터 과학 가속화
• Amazon S3
  • 업계 최고 수준의 확장성, 데이터 가용성, 보안 및 성능을 제공하는 객체 스토리지 서비스
  • 원하는 양의 데이터를 저장하고 보호하여 데이터 레이크, 클라우드 네이티브 애플리케이션 및 모바일 앱과 같은 거의 모든 사용 사례를 지원 가능
  • 비용 효율적인 스토리지 클래스와 사용이 쉬운 관리 기능을 통해 비용을 최적화하고, 데이터를 정리하고, 세분화된 액세스 제어를 구성해 특정 비즈니스, 조직 및 규정 준수 요구 사항을 충족할 수 있음
  • 사용 사례
    • 데이터 레이크 구축, 중요한 데이터의 백업 및 복원, 최저 비용으로 데이터 아카이브, 클라우드 네이티브 애플리케이션 실행
• Amazon S3 Glacier
  • 데이터 아카이빙을 위해 특별히 제작되어 최고의 성능, 유연성, 최저 비용의 아카이브 스토리지 제공
  • 사실상 무제한 확장성을 제공하며 99.99...(11개)% 의 데이터 내구성을 제공하도록 설계됨
  • 즉각적인 액세스가 필요한 아카이브 데이터, 밀리초 단위의 검색: S3 Glacier Instant Retrieval
  • 즉각적인 액세스가 필요하지 않지만 비용 없이 큰 데이터 집합을 검색하는 유연성, 5~12시간의 무료 대량 검색 또는 몇 분 내 검색을 지원: S3 Glacier Flexible Retrieval(S3 Glacier)
  • 규정 준수 아카이브 및 디지털 미디어 보존과 같은 장기 아카이브 스토리지, 12시간 이내의 검색 시간: S3 Glacier Deep Archive
  • 사용 사례
    • 미디어 자산 워크플로, 의료 정보 아카이브, 규정 준수 및 비즈니스 정책 아카이빙, 과학적 데이터 스토리지, 디지털 보존, 장기 백업 보존, 테이프 대체
• AWS Snowball Edge
  • AWS Snow 패밀리의 일부로, 두 가지 옵션으로 제공되는 엣지 컴퓨팅, 데이터 마이그레이션 및 엣지 스토리지 디바이스
  • 로컬 스토리지 및 대규모 데이터 전송에 적합함
  • 사용 사례
    • 클라우드 데이터 마이그레이션, 콘텐츠 배포, 전술적 엣지 컴퓨팅, 기계 학습, 제조, 단순 데이터가 저장된 원격 위치
• AWS Storage Gateway
  • 사실상 무제한의 클라우드 스토리지에 대한 온프레미스 액세스 권한을 제공하는 하이브리드 클라우드 스토리지 서비스 세트
  • 사용 사례
    • 온프레미스 애플리케이션에서 클라우드에 액세스 시 지연 시간 최소화, 클라우드 스토리지가 지원하는 온프레미스 파일 공유 사용, 백업을 클라우드로 이동, 데이터 보호 및 재해 복구

4. 결제 및 요금제

4.1 AWS의 다양한 요금제 비교 및 대조

온디맨드 인스턴스 요금제에 가장 적합한 시나리오

예약 인스턴스 요금제에 가장 적합한 시나리오

• 예약 인스턴스 유연성
• AWS 조직의 예약 인스턴스 동작

스팟 인스턴스 요금제에 가장 적합한 시나라오

4.2 AWS 결제 및 요금제와 관련된 다양한 계정 구조 인식

통합 결제가 AWS Organizations의 기능임

여러 계정을 통해 부서 전체에 비용을 할당하는 방법

4.3 결제 지원에 사용할 수 있는 리소스 식별

결제 지원 및 정보를 얻는 방법

• 비용 탐색기, AWS 비용 및 사용 보고서, Amazon QuickSight, 서드 파티 파트 파트너 및 AWS Marketplace 도구
• 결제 지원 케이스 열기
• AWS Enterprise Support 플랜 고객을 위한 컨시어지의 역할

AWS 서비스에 대한 요금 정보를 찾을 수 있는 위치 식별

• AWS 월 사용량 계산기
• AWS 서비스 제품 페이지
• AWS 요금 API

경보/경고가 존재함을 인식

비용 할당에 태그가 사용되는 방식

3. 기술

3.1 AWS 클라우드에서 배포 및 운영 방법 정의

AWS 클라우드에서 다양한 프로비저닝 및 운영 방식을 개략적으로 식별

• 프로그래밍 방식 액세스, API, SDK, AWS Management Console, CLI, Infrastructure as Code(IaC)

다양한 유형의 클라우드 배포 모델 식별

• 클라우드/클라우드 네이티브 사용
• 하이브리드
• 온프레미스

연결 옵션 식별

• VPN
• AWS Direct Connect
• 퍼블릭 인터넷

3.2 AWS 글로벌 인프라 정의

리전, 가용 영역 및 엣지 로케이션의 관계

더보기

리전

• AWS 클라우드 인프라는 리전을 중심으로 구축됨
• 하나 이상의 가용 영역이 있는 물리적 위치

가용 영역(Availability Zone)

• 각 리전에는 다수의 가용 영역이 있음
• 각 가용 영역은 AWS 인프라의 완전히 격리된 파티션
• 가용 영역은 별개의 데이터 센터로 구성됨

엣지 로케이션

• CDN 서비스인 CloudFront를 위한 캐시 서버들의 모음
  • CDN(Content Delivery Network): 콘텐츠를 서버와 물리적으로 사용자들이 빠르게 받을 수 있도록 전 세계 곳곳에 위치한 캐시 서버에 복제해주는 서비스

PoP(Point of Presence)

• 187개의 PoP = 176개의 Edge Location + 11개의 Region Edge Cache
• Region Edge Cache: CloudFront에서 기본적으로 사용, 엣지 로케이션에 유지할 정도로 자주 액세스 되지 않는 콘텐츠가 있을 때 사용

여러 가용 영역을 사용하여 고가용성을 달성하는 방법

• 고가용성은 여러 가용 영역을 사용하여 달성된다는 점
• 가용 영역이 단일 장애 지점을 공유하지 않는다는 점

여러 AWS 리전의 사용을 고려해야 할 시기

• 재해 복구/비즈니스 연속성
• 최종 사용자를 위한 짧은 지연 시간
• 데이터 주권

엣지 로케이션의 이점

• Amazon CloudFront
• AWS Global Accelerator

3.3 핵심 AWS 서비스 식별

AWS 서비스 범주

AWS 컴퓨팅 서비스

• 서로 다른 컴퓨팅 제품군
• 컴퓨팅을 제공하는 다양한 서비스 인식
• 탄력성은 Auto Scaling
• 로드 밸런서의 목적

다른 AWS 스토리지 서비스

• Amazon S3
• Amazon EBS
• Amazon S3 Glacier
• AWS Snowball
• Amazon EFS
• AWS Storage Gateway

AWS 네트워킹 서비스

• VPC 식별
• 보안 그룹 식별
• Amazon Route 53의 목적
• VPN, AWS Direct Connect

다른 AWS 데이터베이스 서비스

• AWS 관리형 데이터베이스 대비 EC2에 데이터베이스 설치
• Amazon RDS
• Amazon DynamoDB
• Amazon Redshift

3.4 기술 지원을 위한 리소스 식별

문서(모범 사례, 백서, AWS 지식 센터, 포럼, 블로그)가 있음을 인식

AWS 지원의 다양한 수준과 범위 식별

• AWS 침해
• AWS 지원 사례
• Premium Support
• 기술 지원 관리자

전문 서비스, 솔루션 아키텍트, 교육 및 자격증, Amazon 파트너 네트워크를 비롯한 AWS 기술 지원 및 지식의 출처

AWS Trusted Advisor 사용의 이점

2. 보안 및 규정 준수

2.1 AWS 공동 책임 모델 정의

공동 책임 모델의 요소 인식

더보기

• AWS - 클라우드 "자체"의 보안(의)
• 고객 - 클라우드 "내부"의 보안(에서의)

AWS에 대한 고객의 책임 설명

• 사용한 서비스에 따라 고객의 책임이 어떻게 달라질 수 있는지

더보기

• 클라우드에서의 보안
• 예시
  • EC2 인스턴스의 운영체제에 대한 업그레이드 및 패치
  • EC2 보안 그룹 설정
  • EC2 인스턴스에서 실행되는 애플리케이션의 구성
  • Oracle이 EC2 인스턴스에서 실행되는 경우 Oracle 업그레이드 또는 패치
  • S3 버킷 액세스 구성
  • 서브넷 구성, SSH 키 보안, VPC 구성
  • 모든 사용자 로그인에 대해 Multi-Factor Authentication 적용

 AWS 책임 설명

더보기

• 클라우드의 보안
• 예시
  • 데이터 센터의 물리적 보안
  • 가상화 인프라
  • Oracle 인스턴스가 RDS 인스턴스로 실행되는 경우 Oracle 업그레이드 또는 패치
  • AWS Management Console에 대한 해킹 차단
  • AWS 리전의 네트워크 중단에 대한 보호
  • AWS 고객 데이터 간의 네트워크 격리 보장
  • 웹서버와 S3 버킷 간 지연 시간이 짧은 네트워크 연결 보장

2.2 AWS 클라우드 보안 및 규정 준수 개념 정의

AWS 규정 준수 정보를 찾을 수 있는 위치 식별

• 사용 가능한 공식 규정 준수 제어 목록 위치
• AWS 서비스마다 규정 준수 요구 사항이 다르다는 점을 인식

고객이 AWS에서 규정 준수를 달성하는 방법

• AWS에서 서로 다른 암호화 옵션 식별

특정 서비스에 대해 AWS에서 암호화를 활성화하는 사용자 설명

감사 및 보고에 도움이 되는 서비스가 있음을 인식

• 감사 및 모니터링을 위한 로그가 존재함을 인식
• Amazon CloudWatch, AWS Config 및 AWS CloudTrail 정의

최소 권한 액세스의 개념

2.3 AWS 액세스 관리 기능 식별

사용자 및 ID 관리의 목적 이해

• 액세스 키 및 암호 정책(교체, 복잡성)

• MFA(Multi-Factor Authentication)

• AWS IAM(Identity and Access Management)
  • 그룹/사용자
  • 역할
  • 정책, 사용자 지정 정책 대비 관리형 정책

더보기

IAM을 사용하여 AWS 리소스에 대한 액세스 제어

• IAM 사용자: AWS 계정으로 인증할 수 있는 사람 또는 애플리케이션
• IAM 그룹: 동일한 권한 부여를 허락받은 IAM 사용자의 모음
• IAM 정책: 액세스할 수 있는 리소스와 각 리소스에 대한 액세스 수준을 정의하는 문서
  • 자격 증명 기반: 모든 IAM 엔터티에 연결
  • 리소스 기반: 리소스에 연결됨

• IAM 역할: AWS 서비스 요청을 위한 권한 세트를 부여하는 유용한 메커니즘
  • 사용자가 아닌 다른 AWS 계정의 사용자나 서비스가 대상임
• https://devlog-wjdrbs96.tistory.com/302

• 루트 계정을 사용해야 하는 태스크
  • 루트 계정 보호

더보기

1. 계정 루트 사용자: 계정 루트 사용자의 사용을 가능한 빨리 중지
2. MFA를 활성화
3. AWS CloudTrail 사용해서 활동 추적
4. 결제 보고서 활성화

•  

2.4 보안 지원을 위한 리소스 식별

서로 다른 네트워크 보안 기능이 있음을 인식

• 기본 AWS 서비스
• AWS Marketplace의 서드 파티 보안 제품

문서가 있다는 점과 문서를 찾을 수 있는 위치를 인식

• AWS 지식 센터, 보안 센터, 보안 포럼 및 보안 블로그
• 파트너 시스템 통합 사업자

보안 검사가 AWS Trusted Advisor의 구성 요소임을 파악