AWS Cloud Practitioner Essentials 정리 3
· 데이터베이스
o Releation Database Service(RDS)
§ 자동패치, 백업, 이중화, 장애조치, 재해복구 를 자동 처리
§ Aurora, PostgreSQL, MySQL, MariaDB, Oracle, MS SQL
§ 자동고가용성 복구기능, 고객이데이터/스키마 소유, 네트워크제어
§ Amazon Aurora
- MySQL, PostgreSQL 호환
- 6개의 복사본을 3개 가용영역에 저장
- 데이터를 S3에 백업
o Dyanmo DB
§ 서버리스 데이터베이스, 중복으로 데이터 저장, 키-값 데이터데이스에 저장
§ 테이블 – 항목/속성 으로 구성
§ 완전관리형 / 확장성, 안정적 빠른 응답
§ 비관계형 NoSQL 데이터베이스
§ 특수목적설계, 대규모처리량, 페타바이트 확장, 세분화된API
o Amazon Redshift
§ 빅데이터분석, 데이터웨어하우징 서비스
§ 과거의 데이터, 여러 원본에서 데이터를 수집하여 데이터 간의 관계 및 추세를 파악
o AWS DMS(Database Migration Service)
§ 동종 마이그레이션 / 이종 마이그레이션
o 추가 데이터 베이스
§ DocumentDB – MongoDB 워크로드 지원, 문서디비
§ Neptune – 그래프 데이터베이스 서비스
§ Quantum Ledger DB (QLDB) – 원장 데이터베이스 서비스
§ Managed Blockchain – 블록체인
§ ElastiCache – 자주사용, 캐싱계층 추가, Redis / Memcached 지원
§ DyanmoDB Accelerator(DAX) – 다이나모DB용 메모리 캐시
· 공동책임모델_보안 Shared Responsibility Model
o 고객 책임(일반적으로 ‘클라우드 내부의 보안’이라고 함)
o AWS 책임(일반적으로 ‘클라우드 자체의 보안’이라고 함)
§ 데이터센터 물리적보안, 하드웨어/소프트웨어, 인프라(네트워크,가상화등)
o Identity and Access Management (IAM)
§ 루트 사용자 – 가입계정, MFA (Multifactor-Authentication)
§ 사용자 – AWS에서 생성하는 자격증명 (사람, 어플리케이션), 이름+자격증명
§ 그룹 – 사용자의 모임
정책- 서비스, 리소스에 대한 권한을 허용/거부 문서, 최소권한원칙
§ 역할 – 임시로 권한에 액세스하기 위해 수임할 수 있는 자격증명(일시적)
o 보안그룹(Security Group)
§ EC2인스턴스에 대한 가상 방화벽 역할
§ 연결된 리소스에 대한 인아웃바운드 트래픽 제어
§ 기본사항
- 허용할 규칙만 지정
- 인아웃바운드 트래픽에 규칙 지정
- 포트, 트래픽으로 필터링
- 기본보안그룹 자동생성(VPC)
§ 용도에 따라
- Web : 80 HTTP, 443 HTTPS
- ALB : 인바운드 80
- MYSQL : 기본 3306, 아웃바운드 불가
§ stateful
§ stateless
o AWS Organizations
§ 중앙집중식관리, 여러 계정의 계층적 그룹화, 서비스및API작업 액세스 제어
§ 통합결제
§ 서비스제어 정책(SCP)
- 개별 멤버 계정, 조직 단위(OU) 권한을 중앙에서 관리
§ 2가지
- 빌링통합
- 빌링통합+계정정책관리
o 규정준수
§ AWS Artifact – 보안 및 규정준수 보고서
- Artifact Agreement
- Artifact Reports 보안 및 규정 준수 보고서
§ 고객 규정 준수 센터
o DDoS (분산 서비스 거부) 공격
§ AWS Shield
- AWS Shield Standard : 무료, 일반적DDoS 보호
- AWS Shield Advance : 유료, 정교한 DDoS, CloudFront/Route53, LB 통합, WAF 와도 통합
§ 사례
- UDP FLOOD – 가짜 회신 주소로 데이터 요청, 기상청 데이터 요청 -> 보안그룹으로 해결
- HTTP 수준 공격 – 여러 좀비PC활용
- SLOWORIS 공격 – 느린 요청으로 서비스 지연 -> ELB로 해결
o 추가 보안
§ KMS ( Key Management Service )
- 고객마스터키(CMK)
- 저장시 암호화, 전송중 암호화
§ AWS CloudHSM
- 클라우드기반 자체암호화키 생성 하드웨어 보안모듈
§ AWS WAF
- 웹어플리케이션 방화벽, CloudFront / ELB 와 함께, 웹ACL 사용
- SQL Injection, XSS
§ Amazon inspector – 자동화된 보안평가 실행, 오픈액세서/취약SW버전 등
§ Amazon GuardDuty – 인프라, 리소스에 대한 지능형 위험 탐지 기능 제공
o AWS Macie 메이시 : 기계학습과 패턴일치 사용하여 개인정보와 같은 민감한 데이터 검색 및 식별
· 환경 모니터링
o 모니터링 : 시스템을 관찰하고 지표를 수집한 다음 데이터를 사용하여 의사 결정
o Cloud Watch
§ 중앙 위치에서 모든 지표에 액세스
§ 애플리케이션, 인프라 및 서비스에 대한 가시성 확보
§ MTTR절감 및 TCO 개선
§ 애플리케이션 및 운영리소스 최적화를 위한 인사이트 확보
§ 지표에 대한 응답으로 자동 작업 및 알림 구성
o CloudTrail
§ 모든 요청을 기록, 계정에 대한 API 호출을 기록, 누군가의 이동 경로
§ API 호출 후 15분 이내 업데이트 (날짜, 시간, 요청자, 호출에 사용된 리소스 유형)
§ CloudTrail Insight – 계정의 비정상적인 API활용을 자동으로 감지
§ 운영 분석 및 문제 해결을 지원하기 위한 로그 필터링
o AWS Trusted Advisor
§ 환경을 검사하고 모범사례에 따른 실시간 권장(모범) 사항을 제시하는 웹서비스
§ 비용최적화, 성능, 보안, 내결함성, 서비스한도
§ 예) 2중인증이되어 있는지, S3버킷권한 상태, 보안그룹 액서스 허용여부
< 다음글 > - 맨마지막에 전체내역을 정리한 워드 파일을 첨부하였습니다.
2023.08.30 - [Cloud, Dev] - AWS Cloud Practitioner Essentials 정리 4