글쓰는 감자

API: 애플리케이션 프로그래밍 인터페이스 / 개발자와 회사가 안전한 환경에서 API를 빌드하고, 분석하며, 운영하고, 확장할 수 있게 하는 도구 및 서비스 세트로 구성됨

SDK: (코드용)개발 키드

IaC: 코드형 인프라 / 코드를 통해 인프라를 관리하고 프로비저닝하는 것

클라우드 네이티브

• 클라우드의 이점을 최대로 활용할 수 있도록 애플리케이션을 구축하고 실행하는 방식
• DevOps / Continuous Delivery / Microservices / Containers

온프레미스(On-premise)

• 소프트웨어 등 솔루션을 클라우드 같이 원격 환경이 아닌 자체적으로 보유한 전산실 서버에 직접 설치해 운영하는 방식

VPN: 네트워크 또는 디바이스에서 AWS 글로벌 네트워크로 연결되는 보안 프라이빗 터널 제공

Direct Connect: 데이터 센터 또는 사무실에서 AWS로 연결되는 전용 프라이빗 네트워크 연결을 설정해 네트워크 비용을 줄이고 대역폭 처리량을 늘림

리전

• AWS 클라우드 인프라는 리전을 중심으로 구축됨
• 하나 이상의 가용 영역이 있는 물리적 위치

가용 영역(Availability Zone)

• 각 리전에는 다수의 가용 영역이 있음
• 각 가용 영역은 AWS 인프라의 완전히 격리된 파티션
• 가용 영역은 별개의 데이터 센터로 구성됨

엣지 로케이션

• CDN 서비스인 CloudFront를 위한 캐시 서버들의 모음
  • CDN(Content Delivery Network): 콘텐츠를 서버와 물리적으로 사용자들이 빠르게 받을 수 있도록 전 세계 곳곳에 위치한 캐시 서버에 복제해주는 서비스

PoP(Point of Presence)

• 187개의 PoP = 176개의 Edge Location + 11개의 Region Edge Cache
• Region Edge Cache: CloudFront에서 기본적으로 사용, 엣지 로케이션에 유지할 정도로 자주 액세스 되지 않는 콘텐츠가 있을 때 사용

독립 소프트웨어 공급업체 및 시스템 통합 사업자를 포함한 파트너 네트워크(마켓 플레이스, 서드 파티)가 있음

AWS 모범 사례에 따라 리소스를 프로비저닝하는데 도움이 되는 실시간 지침을 제공하는 온라인 도구

전체 AWS 환경을 분석해 5가지 범주별로 실시간 권장 사항 제시

(비용 최적화 / 성능 / 보안 / 내결함성 / 서비스 제한)

• AWS - 클라우드 "자체"의 보안(의)
• 고객 - 클라우드 "내부"의 보안(에서의)

• 클라우드에서의 보안
• 예시
  • EC2 인스턴스의 운영체제에 대한 업그레이드 및 패치
  • EC2 보안 그룹 설정
  • EC2 인스턴스에서 실행되는 애플리케이션의 구성
  • Oracle이 EC2 인스턴스에서 실행되는 경우 Oracle 업그레이드 또는 패치
  • S3 버킷 액세스 구성
  • 서브넷 구성, SSH 키 보안, VPC 구성
  • 모든 사용자 로그인에 대해 Multi-Factor Authentication 적용

• 클라우드의 보안
• 예시
  • 데이터 센터의 물리적 보안
  • 가상화 인프라
  • Oracle 인스턴스가 RDS 인스턴스로 실행되는 경우 Oracle 업그레이드 또는 패치
  • AWS Management Console에 대한 해킹 차단
  • AWS 리전의 네트워크 중단에 대한 보호
  • AWS 고객 데이터 간의 네트워크 격리 보장
  • 웹서버와 S3 버킷 간 지연 시간이 짧은 네트워크 연결 보장

규정 준수 프로그램?

• 고객이 AWS의 강력한 제어 기능을 이해하여 클라우드에서 보안과 규정 준수를 유지할 수 있도록 지원
• AWS에서 준수하는 IT 표준:
  • 인증/증명, 법률, 규정 및 프라이버시와 조정 및 프레임워크로 분류됨
• 독립된 서드 파티 감사 기관에 의해 평가되고 인증, 감사 보고서 또는 규정 검증이 수행됨

AWS Config

• AWS 리소스의 구성을 측정, 감사 및 평가
• 구성을 지속적으로 모니터링
• 기록된 구성과 원하는 구성을 자동으로 비교하여 평가
• 규정 준수 감사 및 보안 분석을 간소화

AWS Artifact

• 규정 준수 관련 정보를 위한 리소스
• 보안 및 규정 준수 보고서에 액세스하고 온라인 계약을 선택

AWS CloudWatch

• 모니터링 및 관찰 서비스
• 시스템 전체 성능 변경에 대응
• 리소스 사용률을 최적화하는데 필요한 데이터와 실행 가능한 인사이트 제공

AWS Config

• 규정 준수 감사 및 보안 분석을 간소화
• 리소스의 구성을 측정, 감사 및 평가함

AWS CloudTrail

• AWS 인프라 전체의 계정 활동을 모니터링하고 기록하여 스토리지, 분석 및 해결 작업을 제어

AWS Key Management Service(KMS)

• AWS CloudTrail과 통합할 경우 모든 키 사용을 로깅

• 사용자 이름과 암호에 추가로 고유한 인증 코드를 제공해야 AWS 서비스에 액세스 가능
• MFA 인증 토큰(가상 MFA 호환 애플리케이션 / U2F 보안 키 디바이스 및 하드웨어 MFA 디바이스)

IAM을 사용하여 AWS 리소스에 대한 액세스 제어

• IAM 사용자: AWS 계정으로 인증할 수 있는 사람 또는 애플리케이션
• IAM 그룹: 동일한 권한 부여를 허락받은 IAM 사용자의 모음
• IAM 정책: 액세스할 수 있는 리소스와 각 리소스에 대한 액세스 수준을 정의하는 문서
  • 자격 증명 기반: 모든 IAM 엔터티에 연결
  • 리소스 기반: 리소스에 연결됨

• IAM 역할: AWS 서비스 요청을 위한 권한 세트를 부여하는 유용한 메커니즘
  • 사용자가 아닌 다른 AWS 계정의 사용자나 서비스가 대상임
• https://devlog-wjdrbs96.tistory.com/302

1. 계정 루트 사용자: 계정 루트 사용자의 사용을 가능한 빨리 중지
2. MFA를 활성화
3. AWS CloudTrail 사용해서 활동 추적
4. 결제 보고서 활성화

서드 파티(third party): 하드웨어나 소프트웨어 등의 제품을 제조하고 있는 주요 기업이나 그 계열 회사 또는 기술 제휴를 하고 있는 기업이 아닌 제 3자 기업

Trusted Advisor

• AWS 모범 사례를 따르는데 도움이 되는 권장 사항을 제공
• 검사를 사용해 계정을 평가
• https://aws.amazon.com/ko/premiumsupport/technology/trusted-advisor/best-practice-checklist/

자본 비용 → 가변 비용

클라우드 사용자가 많아질수록 요금이 절감됨

필요한 인프라 용량을 추정할 필요가 없음(몇 분 만에 확장 또는 축소가 가능)

총 소유 비용(TCO): 시스템의 직접 및 간접 비용을 확인하는데 도움이 되는 재정적 추정

• 온프레미스와 AWS에서 전체 인프라 환경 또는 특정 워크로드를 실행할 때의 비용을 비교
• 클라우드로 이전하기 위한 예산을 책정하고 비즈니스 사례를 만들기 위해

관리형: 사용자가 EC2에 직접 DB를 설치해 운영하는 경우(DB 설치, 백업, 가용성에 대한 부분을 사용자가 관리)

완전관리형: 사용자가 RDS, DynamoDB와 같은 DB 서비스를 이용하는 것(사용자에게 설정이 드러나지 않음)