[AWS] 강의 4 - AWS 클라우드 핵심 서비스 소개 3

※ 아래는 'AWSome Day 온라인 컨퍼런스(2022-06-09)' 강의를 수강하고 정리한 내용입니다.

 

1. 네트워크

● Amazon Virtual Private Cloud(Amazon VPC)
- VPC : 논리적으로 분리되어있는 가상 네트워크
- 프라이빗 서브넷 : 기본적으로 생성하면 외부와 통신할 수 없음.
- 퍼블릭 서브넷 되려면
 1) 인터넷 게이트웨이라고 불리는 서비스를 생성해서 VPC에 연결
 2) 라우팅 테이블에서 해당 항목에 대한 트래픽 경로가 지정되어야 함
 3) 외부에서 접근할 수 있는 퍼블릭 IP주소를 가지고 있어야 함
- VPC의 계층화된 네트워크 방어
 1) VPC 라우팅 테이블
 2) 서브넷 ACL : inbound/outbound
 3) EC2/탄력젹 네트워크 인터페이스 보안 그룹 : inbound/outbound
  인바운드, 아웃바운드 트래픽을 제어하는 가상 방화벽
 4) 서드 파티 호스팅 기반 보호
  사용자가 직접 설치하는 보안솔루션 혹은 서비스

● Elastic Load Balancing(ELB)
- 들어오는 어플리케이션 트래픽을 EC2 인스턴스, 컨테이너, IP 주소 등과 같은 여러 대상에게 자동으로 분산시킨다.
- 어플리케이션 내결함성에 필요한 고가용성, 강력한 보안 등을 지니고 있다.

● Amazon Route 53
- 가용성과 확장성이 뛰어난 클라우드 DNS(Domain Name System) 서비스
1) 도메인 이름 등록
2) 인터넷을 통해 웹 서버 같은 리소스로 자동화된 요청을 보내고 접근 및 사용이 가능한지 확인
 리소스를 사용할 수 없을 때 다른 곳으로 보냄
3) 다양한 라우팅 옵션 제공 (지역 기반 라우팅, ...)

● 네트워킹 전체 요약
DNs를 통해 어플리케이션에 접근하면 Route 53이 IP
전달받은 ip 정보로 트래픽 요청
AWS 클라우드의 vpc
트래픽은
ELB는
오토 스케일링 그룹

 

2. 보안

● 공동 책임 모델
- 고객, AWS 둘의 공동 책임
- 고객 : AWS에서 제공한 보안 그룹을 직접 구성할 책임
- AWS : AWS 기초 서비스, AWS 글로벌 인프라
1) 클라우드의 보안 : AWS의 책임. 모든 서비스를 실행하는 인프라를 보호할 책임이 있다.
 AWS 서비스를 실행하하는 SW, 네트워킹으로 구성된다.
2) 클라우드에서의 보안: 고객이 책임지는 보안 책임 영역
 예 : 데이터의 서버측 암호화 여부, 운체 보안 패치 실행 여부

● IAM(AWS Identity and Access Management)
- AWS 리소스에 대한 액세스를 안전하게 제어
- 사용자, 그룹 또는 역활에 세분화된 권한 할당
  사용자를 생성하거나 사용자에게 개별 보안 자격 증명을 할당하거나 등
 사용자에게 액세스 권한을 부여할 수 있다
- AWS 계정에 대한 임시 액세스 공유
- 추가 비용 없이 제공하는 기능

● IAM 구성 요소
1) 사용자 : 사용자를 통해 인증. AWS와 상호 작용하는 사람 또는 어플리케이션
    Access Key ID, Secret Access Key
2) 그룹 : 동일한 권한을 가진 사용자 모음
3) 정책 : JSON 형태로 기술된 정책을 사용자, 그룹, 역할에 연결하게 된다.
4) 역할 : 사용자와 비슷하지만, AWS리소스에 액세스 권한을 위임할 수 있다.
 장기 자격 증명이 없다.

● IAM 사용자
- IAM 사용자는 별도의 AWS 계정이 아닌 계정 내 사용자
- 각 사용자는 자체 자격 증명 보유
- IAM 사용자는 자체 권한을 기준으로 특정 AWS 작업을 수행할 권한 보유
- 프로그래밍 방식 엑세스를 위해 Access Key ID, Secret Access Key를 사용한다.
- 계정은 프로그래밍 엑세스 방식으로 하지 않도록 한다(보안 문제, 계정은 슈퍼 유저 혹은 루트 사용자 권한을 갖고 있다).

● Amazon S3 액세스 제어 : 일반
IAM 정책 유형
S3 버킷 정책 :
- 리소스 자체에서 권한을 부여해 접근 부여
예제) # aws s3 ls s3://홈피주소
콘솔에 입력하여 해당 명령어가 수행되는지 확인. 권한이 없다면 조회되지 않음.

● AWS CloudTrail
- AWS 계정의 사용자 활동 및 API 사용 추적
- 지속적으로 사용자 활동을 모니터링하고 API 호출을 지록
- 규정 준수 감사, 보안 분석, 문제 해결에 유용
- 로그 파일은 Amazon S3 버킷으로 전송됨 

● AWS Trusted Advisor 
- 비용 절감, 성능 개선, 보안 강화에 도움이 되는 지침을 제공하는 서비스
- 모범 사례 5가지 확인 가능 (비용 최적화, 성능, 보안, 내결함성 기능, 서비스 한도)
1) 비용 최적화 : 비용 최적화에서 사용되지 않은 유휴 리소스 제거, 예약 용량을 약정하여 AWS에서 비용을 절약할 수 있는 방법 등을 알아볼 수 있다.
2) 성능 : 서비스 한도를 점검하고 프로비저닝된 처리량을 활용하는지 확인하고 초과 사용되는 인스턴스를 모니터링해 성능을 개선할 수 있다.
3) 보안 : 결함을 없애고, 다양한 AWS 보안 기능을 사용하고, 권한을 점검해 서비스에 대한 보안을 향상할 수 있다.
4) 내결함성 기능 : 자동조정, 상태확인, 복수 가용 영역, 백업 기능을 사용하여 AWS 애플리케이션의 가용성과 중복성을 높이는 데 활용될 수 있다.
5) 서비스 한도 : 서비스 한도의 80%가 넘는 서비스 사용량이 있는지 점검한다. 값은 스냅샷을 기반으로 하므로 현재 사용량과 다를 수 있다. 한도 및 사용량에 변경사항이 반영되는 데 최대 24시간이 걸릴 수 있다.