Cloud

[Cloud] AWS Cloud 기초 part 2

꾸준함. 2024. 5. 20. 19:46

서론

사내 온라인 강의 내용을 정리한 글입니다.

틀린 내용이 있을 수 있으니, 발견되면 댓글로 지적해 주시기 바랍니다!

 

AWS Cloud 기초 part 1은 다음 링크를 참고하시면 됩니다.

https://jaimemin.tistory.com/2506

 

[Cloud] AWS Cloud 기초

서론사내 온라인 강의 내용을 정리한 글입니다. 틀린 내용이 있을 수 있으니, 발견되면 댓글로 지적해 주시기 바랍니다! 1. AWS(Amazon Web Services)컴퓨팅, 스토리지, 데이터베이스, 분석 등등 광범위

jaimemin.tistory.com

 

1. EBS

 

1.1 스토리지 개념

  • 데이터를 일시적으로 또는 지속적으로 저장하기 위한 공간
  • 저장된 데이터는 나중에 필요할 때 검색, 수정, 삭제 등의 작업을 수행
  • 스토리지는 주로 컴퓨터, 서버, 클라우드, 모바일 디바이스 등 다양한 플랫폼에서 사용

 

1.1.1 스토리지 종류

  • HDD
  • SSD
  • NAS 및 SAN
  • 클라우드 스토리지 (EBS, EFS, S3, etc.)

 

1.2 클라우드 스토리지의 장점

  • 보안 강화 (데이터를 안전하게 보관 가능하며 유실이나 손상될 우려가 낮음)
  • 효율적인 데이터 공유 (클라우드 스토리지를 사용하면 언제 어디서든 파일에 접근 가능)
  • 비용 절약 (인터넷에 연결된 장소에서 언제든지 접근할 수 있으며, 데이터를 저장하고 관리하는데 필요한 하드웨어, 소프트웨어 등 구축하는 비용 감소)

 

1.3 다양한 유형의 클라우드 스토리지

  • Instance Store
    • Instance Storage로 EC2 내 일시적이며 휘발성이 강한 데이터 저장
    • ex) 인스턴스 캐시, 버퍼, 임시 작업
    • 인스턴스가 종료되면 데이터도 함께 손실됨
    • 보존, 보관 경우에는 다른 스토리지 활용 고려

 

  • S3 (Object Storage)
    • 데이터를 개별 객체로 다룸
    • 각 객체에는 데이터와 메타 데이터를 가지고 있음
    • 대규모의 데이터 셋이나 미디어 파일, 이미지, 문서 등등 다양한 유형의 데이터를 저장하는데 적합한 스토리지

 

  • EBS (Block Level Storage)
    • 데이터를 일정한 크기의 블록으로 분할 저장
    • 각 블록은 고유한 주소를 가지고 독립적으로 관리됨
    • ex) 데이터베이스, 가상머신 디스크, 온프레미스 서버용 스토리지

 

  • EFS (Shared Storage)
    • 데이터를 파일 형식으로 조직 저장
    • 파일에는 디렉토리 구조와 메타 데이터 포함됨
    • ex) 공유 파일 시스템, 네트워크 저장소, 협업 환경에서의 파일 공유 시스템

 

1.3.1 Instance Store 추가 설명

  • 일부 CSP에서 제공하는 스토리지 유형 중 하나
  • Amazon EC2 인스턴스에 블록 수준 임시 스토리지 제공
  • 특정 인스턴스에 물리적으로 연결된 로컬 스토리지
  • 인스턴스가 실행 중일 때만 유효
  • 인스턴스가 중단 및 종료될 경우 데이터가 영구 손실될 가능성 있음
  • 일시적 저장하는데 적합하고 영속성 저장은 다른 스토리지 옵션 고려해야 함

 

1.3.2 블록 스토리지 추가 설명

  • 저장하고 관리할 데이터를 블록이라는 고정된 크기의 단위로 나누어 저장
  • 디렉토리(폴더)에 저장되고, 계층형 구조로 구성
  • 각 블록들은 고유 식별자를 가지고 있고 데이터를 불러올 때 고유 식별자를 조합해서 찾아옴
  • 균일하게 블록을 분산 저장하기 때문에 입출력 성능 좋음
  • 데이터를 사용하는 OS 환경과 관계없이 저장 가능
  • 대규모 트랜잭션을 수행하는 작업과 어울리는 스토리지

 

1.3.3 EBS(Elastic Block Store) 추가 설명

  • Amazon EC2 인스턴스에서 사용할 수 있는 블록 수준 스토리지 볼륨을 제공하는 서비스
  • Amazon EC2 인스턴스를 중지 또는 종료하더라도 연결된 EBS 볼륨의 모든 데이터 사용 가능 (영구적이고 독립적인 스토리지)
  • EBS 볼륨 생성할 때 볼륨 크기 및 유형을 정의한 후 프로비저닝
  • EBS 스냅샷을 통해 데이터 증분 및 백업 가능
  • 가상의 블록 디바이스를 제공하는 블록 수준의 스토리지라는 점에서 차별점
  • 가용 영역 내 지속적 가동성 (데이터 손실 방지 및 높은 가용성 확보)
  • 암호화 지원하여 보안 강화
  • 확장성이 높아 필요에 따라 확장 가능하고 여러 볼륨을 하나의 인스턴스에 연결 가능
  • 읽기 및 쓰기 성능이 높음

 

1.3.4 EBS 기능 추가 설명

 

스냅샷

  • 시점 사본을 만들어 Amazon EBS 볼륨의 데이터를 백업
  • 증분 백업을 지원 (가장 최근 스냅샷 이후 변경된 디바이스의 블록만 저장)

 

빠른 스냅샷 복원(Fast Snapshot Restore)

  • 생성 시 완전히 초기화된 스냅샷에서 볼륨을 생성
  • 처음 접근할 때 블록에 대한 I/O 작업 지연 시간 없어짐
  • FSR을 통해 생성된 볼륨은 프로비저닝 된 모든 성능을 즉시 제공받음 (스냅샷에서 FSR 기능 활성화해야지만 지원받을 수 있음)
  • AWS Outposts, 로컬 영역 및 Wavelength 영역은 미지원
  • 크기가 16 TiB 이하인 스냅샷에서 사용 가능

 

탄력적인 볼륨

  • 볼륨 크기를 늘리거나 볼륨 유형을 변경하거나 EBS 볼륨의 성능을 조정
  • 볼륨을 분리하거나 재시작하지 않고도 변경 가능
  • 볼륨 구성 변경은 무료이며 볼륨이 수정된 이후 새 볼륨에 대한 요금 청구
  • 지원되는 인스턴스 유형
    • 모든 현재 세대 인스턴스
    • 이전 세대 인스턴스: C1, C3, C4, G2, I2, M1, M3, M4, R3, R4 유형

 

암호화

  • EC2 인스턴스와 연결된 EBS 리소스를 위한 간단한 암호화 솔루션
  • 암호화된 볼륨 및 스냅샷을 생성할 때 AWS KMS keys를 사용
  • 모든 EBS 볼륨 유형에서 지원

 

2. S3

 

2.1 객체 스토리지

  • 데이터를 저장할 때 객체 단위로 처리를 해서 저장
  • 데이터 및 속성, 메타데이터, 오브젝트 ID를 저장하는 가상의 컨테이너 형태의 스토리지
    • 데이터는 이미지, 동영상, 텍스트 문서 또는 기타 유형의 파일
    • 메타 데이터는 사용 방법, 데이터 내용, 객체 크기
    • 오브젝트 ID는 고유 키

 

  • 객체 스토리지에서 파일을 수정하면 전체 객체가 업데이트됨
    • 파일 스토리지의 경우 변경된 부분만 업데이트

 

2.2 Amazon Simple Storage Service (Amazon S3)

  • 객체 스토리지 유형의 서비스
  • 모든 유형의 파일 업로드 가능 (백업 파일, 웹사이트용 미디어파일, 보관된 문서 등)
  • 저장 공간을 무제한으로 제공
  • 최대 파일 크기는 5TB
  • 파일에 대한 표시 여부 및 액세스 관리도 가능
  • 객체 변경사항 추적 가능
  • 언제 어디서나 원하는 양의 데이터를 저장 및 검색 가능

 

2.2.1 S3의 구성 요소

 

버킷(Bucket)

  • 객체를 저장하는 컨테이너
  • 버킷에 저장할 수 있는 객체의 개수는 무제한
  • 계정당 최대 100개의 버킷 생성 가능
  • 100개 이상 사용해야 한다면 서비스 쿼타 콘솔에서 증가 요청해야 함

 

객체(Object)

  • S3 버킷에 저장되는 각 객체
  • 객체 데이터와 메타 데이터로 구성되며 메타 데이터는 객체를 설명하는 이름값의 페어 집합
  • 1개의 객체의 최대 크기는 5TB

 

키(Key)

  • 객체에 할당한 이름
  • 키를 사용하여 객체를 검색

 

버전 ID

  • 버킷 내에서 키와 버전 ID를 사용하여 고유하게 객체를 식별

 

  • 저장하는 컨텐츠
  • 5TB까지 저장 가능

 

메타데이터(Metadata)

  • 객체 관련 정보를 저장하기 위한 이름-값의 페어

 

2.2.2 S3 종류와 특징

 

S3 특징 - Versioning

 

How S3 Versioning works - Amazon Simple Storage Service

Normal Amazon S3 rates apply for every version of an object that is stored and transferred. Each version of an object is the entire object; it is not a diff from the previous version. Thus, if you have three versions of an object stored, you are charged fo

docs.aws.amazon.com

 

S3 특징 - 퍼블릭 액세스 차단

  • 기본적으로 새 버킷 액세스 포인트 및 객체는 퍼블릭 액세스를 차단
  • 액세스 포인트, 버킷 및 게정에 대한 설정을 제공하여 Amazon S3 리소스에 대한 퍼블릭 액세스를 관리
  • 버킷의 정책, 액세스 포인트 정책, 객체 권한 등을 수정할 수 있는 기능 제공

 

S3 특징 - 버킷 ACL(Access Control List)

  • 권한이 부여된 사용자에게 개별 버킷 및 객체에 대한 읽기 및 쓰기 권한 부여
  • 일반적으로 ACL 정책 대신 S3 리소스 기반의 정책 또는 IAM 사용자 정책 사용하는 것을 권장 (정책은 단순하고 보다 유연)
  • ACL에서의 권한
    • READ
    • WRITE
    • READ_ACP
    • WRITE_ACP
    • FULL_CONTROL

 

S3 특징 - 정적 웹 사이트 호스팅

  • 버킷의 AWS 리전별 웹사이트 엔드포인트를 통해 웹사이트를 사용 가능
  • 버킷을 공개적으로 읽기 가능하게 하려면 퍼블릭 액세스 차단 설정 해제해야 하며 퍼블릭 읽기 액세스 권한 부여 필요

 

S3 특징 - 버킷 정책

  • 버킷과 버킷 내 객체의 액세스 권한을 부여할 수 있는 리소스 기반 IAM(Identity Access Management) 정책
  • 버킷에 연결된 권한은 버킷 내 모든 객체에 적용
  • 인증받은 사용자더라도 적절한 권한이 없다면 S3 리소스에 액세스 불가

 

S3 스토리지 클래스

  • 각 객체에는 그와 연결된 스토리지 클래스가 존재
  • 객체를 나열하면 AWS Console에서는 스토리지 클래스를 출력
  • 사용 사례 시나리오 및 성능 액세스 요구사항에 따라 클래스를 선택하여 사용
  • ex) S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA, S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Glacier Instant Retrieval, S3 on Outposts

 

S3 스토리지 클래스 - S3 Standard

  • 기본 스토리지 클래스
  • 객체를 업로드할 때 스토리지 클래스를 지정하지 않으면 S3 Standard 스토리지 클래스를 할당
  • 광범위한 사용 사례에 적합
  • 자주 액세스하는 데이터에 대해 높은 내구성, 높은 가용성, 좋은 성능 제공
  • 자주 액세스하는 데이터용으로 설계
  • 상대적으로 요금이 높음
  • 최소 3개의 가용영역에 저장

 

S3 스토리지 클래스 - S3 Standard-Infrequent Access (Standard-IA)

  • 자주 액세스하지 않는 데이터에 이상적
  • 필요할 때 빠르게 액세스 해야 하는 데이터에 적합
  • 상대적으로 저렴함
  • 최소 3개의 가용영역에 저장
  • 지연 속도가 스탠더드에 비해 느리다
  • 장기적 스토리지, 백업 및 재해 복구 파일에 적합

 

S3 스토리지 클래스 - S3 One Zone-Infrequent Access(S3 One Zone-IA)

  • 자주 액세스 하지 않는 데이터에 이상적
  • 필요할 때 빠르게 액세스 해야 하는 데이터에 적합
  • 단일 AZ(가용영역)에 데이터를 저장하여 저비용으로 사용 가능

 

S3 스토리지 클래스 - S3 Intelligent-Tiering

  • 액세스 패턴을 알 수 없거나 자주 변화하는 데이터에 이상적
  • 데이터를 액세스 패턴에 따라 자동으로 비용을 절감
  • 객체당 소량의 월별 모니터링 및 자동화된 요금을 부과하는 시스템
  • S3가 객체의 액세스 패턴을 모니터링하다가 사용자가 연속적으로 30일 이상 해당 데이터를 액세스하지 않으면 S3에서 자동으로 S3 Standard Infrequent Access로 이동시킴
    • 사용자가 IA에 위치한 데이터를 접근하면 다시 원복 시킴

 

S3 스토리지 클래스 - S3 Glacier Instant Retriieval

  • 자주 액세스하지 않는 데이터에 이상적
  • 밀리 초 단위의 검색이 필요한 장기 데이터에 대해 가장 저렴한 비용의 스토리지 제공
  • 분기당 1회 접근한다고 가정하고 Standard IA보다 68% 저렴한 비용 자랑
  • 의료 이미지 및 뉴스 미디어 아카이브용으로 적합

 

S3 스토리지 클래스 - S3 Glacier Flexible Retrieval

  • 자주 액세스하지 않는 데이터에 이상적
  • 연간 1 ~ 2회 접근하는 비동기식 검색용으로 적합
  • 분 단위의 비동기식 검색으로 S3 Glacier Instant Retrieval보다 최대 10% 저렴

 

S3 스토리지 클래스 - S3 Glacier Deep Archive

  • 가장 저렴한 객체 스토리지 클래스
  • 거의 액세스 할 필요가 없는 데이터를 보관할 때 사용
  • 12시간 안에 검색하는 것을 목표로 하지만 최대 48시간 걸릴 수 있음
  • 1년에 한두 번 접근할 수 있는 데이터 
    • 장기 보존
    • 7~10년 보관용, 백업 및 재해 보상용으로 사용

 

S3 스토리지 클래스 - S3 Outposts

  • 온프레미스 AWS Outposts 환경에 객체 스토리지를 제공
  • 로컬에 저장해야 하는 요구사항이 있는 워크로드에 적합
  • 액세스 정책, 암호화, 태그 지정 등 Amazon S3에서와 같이 AWS Outposts에서도 동일한 API 및 기능 사용

 

3. EFS

 

3.1 파일 스토리지

  • 데이터를 파일 단위로 처리하여 저장
  • 계층적 폴더 구조를 통해 파일을 관리
  • 동시에, 동일한 데이터에 접근할 때 이상적인 스토리지

 

3.2 Amazon Elastic File System(Amazon EFS)

  • 파일 스토리지 유형의 서비스
  • 스토리지 용량과 성능을 프로비저닝 하거나 관리하지 않고도 파일 데이터를 공유
  • 애플리케이션을 중단하지 않고 페타바이트까지 온디멘드 규모로 확장할 수 있도록 구축
  • 파일을 추가하고 제거할 때 확장 혹은 축소가 됨
  • EFS의 웹서비스 인터페이스를 제공하기 때문에 시스템을 빠르고 쉽게 구성 가능
  • 복잡한 파일 시스템을 조정할 필요가 없어짐

 

3.3 EFS 구성요소

 

File System

  • EFS에서 제공되는 기본 서비스 리소스 단위
  • 사용한 용량만큼 과금 구조
  • 파일 시스템 생성 시 기본 DNS 이름 부여

 

Mount Target

  • 인스턴스가 파일시스템에 접근할 때 사용하는 액세스 포인트
  • 가용 영역 단위로 제공
  • 가용 영역에 매핑된 서브넷에서 ENI(Elastic Network Interface) 생성 후 ENI 통해 파일 시스템 접근
    • ENI에 시큐리티 그룹을 설정해서 보안 강화 가능

 

EFS 구성 방식

  • One Zone (EFS의 Mount Target을 하나의 가용 영역에만 구성하는 방식)
  • Regional (EFS의 Mount Targe을 해당 리전의 모든 가용 영역에 생성함에 따라 고가용성 보장)

 

3.4 EFS 스토리지 클래스

S3와 유사한 스토리지 클래스들을 지원

  • Standard
  • Standard-Infrequent Access(Standard-IA)
  • One Zone
  • One Zone-Infrequent Access(One Zone-IA)
  • Intelligent-Tiering

 

3.5 EFS Throughput Mode

 

3.5.1 Bursting Mode (EFS 기본 모드)

  • Burst 버킷에 Credit 저장
  • 더 높은 처리량을 요구할 때 Credit을 소모하는 방식
  • 최대 Bursting 가능 처리량은 리전마다 다르며, 대략 3~5 GiB/s
  • 파일 시스템의 용량에 따라 처리량을 확장해야 하는 워크로드에서 사용하는 것을 권장
  • 각 파일 시스템이 비활성 상태가 되거나 처리량 기준 속도 이하로 떨어질 때 Burst Credit을 획득하는데 해당 크레딧을 통해 처리량을 기준 속도 이상으로 끌어올릴 수 있는 모드

 

3.5.2 Provisioned Mode

  • 기본 처리량을 지정하여 보장받는 방식
  • Burst Credit과 별개로 처리되며 보장 받는 처리량 대비 추가 비용 청구

 

3.5.3 Elastic Mode

  • 워크로드 활동에 따라 처리량을 자동으로 늘리거나 줄이는 방식

 

3.6 EFS Lifecycle Management

  • 비용 효율적으로 저장되도록 파일 시스템 관리
  • 스토리지 클래스 간에 데이터를 자동으로 전환
    • 미사용 시 Infrequent Access로 이동

 

3.7 EFS 백업

  • AWS Backup 서비스를 활용하여 파일 시스템 백업 수행
  • 증분식 시스템으로 관리
    • 초기 백업은 전체 복사본으로 백업
    • 후속 백업은 변경이나 추가, 제거된 파일이나 디렉토리만 백업

 

  • AWS Backup 기능
    • 백업할 AWS 리소스 구성 및 감사
    • 백업 예약 자동화
    • 보존 정책 설정
    • 최근 백업 및 복원 활동 모두 모니터링

 

3.8 EFS 암호화

  • 저장된 데이터 암호화 (EFS 생성 시 필요)
  • 이동하는 데이터 암호화 (EFS를 탑재, 마운트할 때 필요)
  • 생성 시 암호화 여부 결정 후 변경 불가
    • 암호화 하지않은 파일 시스템은 설정 불가능

 

3.9 EBS vs EFS vs S3

 

  Amazon EBS Amazon EFS Amazon S3
작업 별 대기 시간 최저, 일관성 낮음, 일관성 낮음 (요청 유형이 혼합된 경우 및 CloudFront와의 통합)
처리량 규모 1GB/s x GB/s x GB/s
데이터 가용성 단일 가용 영역에 중복 저장 여러 가용 영역에 중복 저장 여러 가용 영역에 걸쳐 중복 저장
접근 단일 가용 영역의 단일 EC2 인스턴스 여러 가용 영역에서 동시에 1~수 천개의 EC2 인스턴스 또는 온프레미스 서버 웹을 통한 최대 수백만 개의 연결
사용 사례 부팅 볼륨
트랜잭션 및 NoSQL 데이터베이스
데이터 웨어하우징 및 ETL		 웹 서비스 및 콘텐츠 관리
엔터프라이즈 애플리케이션
미디어 및 엔터테인먼트
홈 디렉토리
데이터베이스 백업
개발자 도구
컨테이너 스토리지
빅 데이터 분석		 웹 서비스 및 콘텐츠 관리
미디어 및 엔터테인먼트
백업
빅 데이터 분석
데이터 레이크

 

3.10 다양한 스토리지 솔루션

 

Amazon Redshift

  • 빅 데이터 분석에 사용할 수 있는 데이터 웨어하우징 서비스
  • 여러 원본 데이터를 수집한 뒤 데이터 간의 관계, 추세를 파악

 

AWS Database Migration Service(AWS DMS)

  • 관계형, 비관계형 데이터베이스 및 기타 유형의 데이터 저장소를 마이그레이션 할 수 있는 서비스

 

Amazon DocumentDB

  • MongoDB 워크로드를 지원하는 문서 및 데이터베이스

 

Amazon Neptune

  • 빠르고 안정적인 종합관리형 그래프 데이터베이스

 

Amazon Quantum Ledger Database(Amazon QDLB)

  • 원장 데이터베이스 서비스
  • 투명하고 변경 불가능
  • 암호화 방식으로 검증이 가능한 트랜잭션 제공

 

Amazon Managed Blockchain

  • 오픈 소스 프레임워크를 사용하여 블록체인 네트워크를 생성하고 관리하는 데 사용할 수 있는 서비스
  • 사용자가 중앙기관 없이 거래를 실행 및 데이터 공유

 

Amazon ElastiCache

  • 자주 사용되는 요청의 읽기 시간을 향상하기 위해 데이터베이스 위에 캐싱 계층을 추가하는 서비스
  • serverless 형태 (Redis, Memcached와 호환)

 

Amazon DynamoDB Accelerator

  • 응답시간을 마이크로초까지 향상할 때 사용
  • DynamoDB인 메모리 케시

 

4. 클라우드 보안

 

4.1 AWS 공동 책임 모델

 

https://aws.amazon.com/ko/compliance/shared-responsibility-model/

 

AWS 책임

  • AWS 모든 서비스를 실행하기 위한 인프라에 대한 책임

 

고객 책임

  • 고객이 선택하는 AWS 서비스에 따라 달라짐
    • ex) EC2의 경우 IaaS로 분류되며 고객이 필요한 모든 보안 구성 그리고 관리 작업을 수행하도록 요구

 

4.2 기본적인 AWS 보안 서비스

 

4.2.1 AWS Identity and Access Management(IAM)

  • AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스
  • AWS 리소스를 제어하는 권한을 중앙에서 관리
  • IAM을 이용하여 리소스를 활용하도록 인증 및 권한 허가

 

4.2.1.1 IAM 기능

  • AWS 계정에 대한 공유 액세스
  • 세분화된 권한
  • Amazon EC2에서 실행되는 애플리케이션을 위한 보안 AWS 리소스 액세스
  • 멀티 팩터 인증 (MFA) -> 보안 강화
  • 아이덴티티 페더레이션
  • 많은 AWS 서비스와의 통합

 

4.2.1.2 IAM 기본 용어

  • IAM 리소스(IAM Resource)
    • 사용자, 그룹, 역할, 정책, ID 제공자 객체

 

  • IAM 엔터티(IAM Entity)
    • AWS가 인증에 사용하는 IAM 리소스
    • 사용자, 역할

 

  • IAM 자격 증명(IAM Identity)
    • 정책에서 권한을 부여받아 작업을 수행하고 리소스에 액세스 할 수 있는 IAM 리소스
    • 사용자, 그룹, 역할
    • 정책: 자격 증명이나 리소스와 연결될 때 해당 권한을 정의하는 AWS의 객체

 

  • 보안 주체(Principals)
    • AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 사용하여 로그인하고 AWS에 요청하는 사람 또는 애플리케이션

 

  • 인간 사용자(Human User)
    • Human ID라고도 하며 애플리케이션의 사용자, 관리자, 개발자, 운영자 및 소비자

 

  • 워크로드
    • 비즈니스 가치를 창출하는 리소스 및 코드의 컬렉션

 

https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html

 

 

4.2.1.3 IAM 작동 방식

  • 먼저, 인간 사용자 또는 응용 프로그램은 AWS에 로그인 자격 증명을 사용하여 인증
    • 인증은 AWS 계정에서 신뢰하는 주체(인증된 IAM 사용자, 페더레이션 된 사용자, IAM 역할 또는 응용 프로그램)에게 로그인 자격 증명을 일치시킴으로써 제공

 

  • 다음으로, 주체에게 리소스에 대한 액세스를 부여하기 위한 요청이 발생
    • 액세스는 권한 부여 요청에 대한 응답으로 부여
    • 예를 들어 콘솔에 처음으로 로그인하고 콘솔 홈 페이지에 있는 경우 특정 서비스에 액세스 X
    • 서비스를 선택하면 권한 부여 요청이 해당 서비스로 전송되고 귀하의 식별이 권한이 부여된 사용자 목록에 있는지, 부여된 액세스 수준을 제어하기 위해 적용되는 정책은 무엇인지, 그리고 적용되는 다른 정책이 있는지 확인
    • 권한 부여 요청은 AWS 계정 내의 주체 또는 신뢰하는 다른 AWS 계정에서 발생할 수 있음

 

  • 한 번 권한이 부여되면, 주체는 AWS 계정의 리소스에 대해 작업을 수행할 수 있음
    • 예를 들어, 주체는 새로운 Amazon Elastic Compute Cloud 인스턴스를 시작하거나 IAM 그룹 멤버십을 수정하거나 Amazon Simple Storage Service 버킷을 삭제 가능

 

https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html

 

4.2.1.4 IAM 사용자

  • root 사용자
    • 모든 AWS 서비스 및 리소스에 대해 완전한 액세스 권한이 있는 단일 로그인 ID로 시작
    • 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스
    • 보안 인증정보를 보호하고 root 계정으로만 수행할 수 있는 업무에만 활용하는 것을 권장

 

  • IAM 사용자
    • 개별 계정이 아니라 해당 계정(root) 내의 사용자
    • 각 사용자는 고유의 AWS Management Console 액세스 암호 생성 가능

 

4.2.1.5 IAM 권한 부여

  • IAM의 액세스 관리를 통해 게정에서 보안 주체 엔터티에 허용된 권한을 정의
  • 정책을 사용해서 권한을 정의하며 이때 정책은 일정 행동을 허가하거나 제한하는 제약을 정의하는 객체
  • 정책을 생성하고 IAM 자격 증명(사용자, 사용자 그룹 또는 역할) 또는 AWS 리소스에 연결하여 AWS에서 액세스를 관리

 

권한 부여 정책 - ABAC(Attribute Based Access Control)

  • 속성 기반 액세스 제어
  • 속성을 기반으로 권한을 정의하는 권한 부여 전략
  • AWS에서는 이러한 속성을 태그로 설정

 

권한 부여 정책 - RBAC(Role-based Access Control)

  • 역할 기반 액세스 제어
  • AWS 외부에서 역할로 알려진 개인의 직무에 따라 권한을 정의

 

권한 부여 정책 - RBAC 대신 ABAC을 사용할 때 이점

  • 혁신적으로 확장을 지원 
    • 관리자가 새 리소스에 접근할 수 있도록 기존 정책을 업데이트할 필요가 없음
    • RBAC의 경우 역할에 새로운 인스턴스 추가 필요
    • ABAC의 경우 인스턴스를 생성할 때 기존에 설정했었던 tag만 지정하면 됨

 

  • 필요 정책 수 감소
    • ABAC의 경우 각 직무에 서로 다른 정책을 생성할 필요 없음
    • 관리 용이

 

  • 빠르게 변화하여 성장
    • 새 리소스에 대한 권한이 속성에 따라 자동으로 부여되기 때문

 

  • 세분화된 권한 사용
    • 정책을 생성할 때는 최소 권한을 제공하는 것을 권장
    • RBAC의 경우 특정 리소스에 대한 접근만 허용하는 정책 생성 필요
    • ABAC의 경우 리소스 태그가 보안 주체에 대한 태그가 일치하는 경우에만 접근 가능하기 때문에 권한을 최소한으로 부여할 수 있는 조건 충족

 

4.2.2 AWS Organizations

  • 여러 AWS 계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스
  • 기업의 예산, 보안 및 규정 준수 요구 사항에 충족하는데 활용

 

4.2.2.1 AWS Organizations 주요 개념

  • 조직 (AWS 계정을 단일 단위로 관리할 수 있도록 통합하기 위해 생성하는 개체)
  • 루트 (조직의 모든 계정에 대한 상위 컨테이너)
  • 조직 단위 (루트에 있는 계정을 위한 컨테이너)
  • 계정 (AWS 리소스를 포함하는 표준 AWS 계정)

 

https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_getting-started_concepts.html

 

 

4.2.2.2 AWS 계정 유형

  • 관리 계정(Management Account)
    • 조직을 만들 때 사용하는 계정
    • 조직에서 계정 생성 가능
    • 다른 계정을 조직에 초대 가능
    • 조직 내 계정 제외 가능
    • 위임된 관리자 계정 지정 가능
    • 초대 관리 또한 조직 내 개체에 정책 지정 가능
    • AWS 서비스 지원을 통해 조직 내 모든 계정에 서비스 연동 가능
    • 모든 요금을 지불하고 담당
    • 변경 불가능

 

  • 멤버 계정(Member Account)
    • 관리자 계정 외 모든 계정
    • 하나의 조직 멤버만 될 수 있음

 

4.2.3 AWS Artifact

  • AWS ISO 인증, PCI(지불 카드 산업) 보고서, SOC(Service Organization Controls) 보고서와 같은 AWS 보안 및 규정 준수 문서를 온디맨드로 다운로드할 수 있는 서비스
  • 시간 절약 및 대규모 관리가 이점
  • AWS 보안 및 규정 준수를 충족해야 하는 고객에게 적합한 서비스

 

4.2.4 AWS WAF(Web Application Firewall)

  • 보호된 웹 애플리케이션 리소스로 포워딩되는 HTTP 및 HTTPS 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽
  • 콘텐츠에 대한 액세스를 제어

 

4.2.4.1 WAF의 기능 동작

  • 지정한 요청을 제외한 모든 요청 허용
  • 지정한 항목을 제외하고 모든 요청을 차단
  • 기준에 맞는 요청 수 계산
  • 기준에 맞는 요청에 대해 CAPTCHA 또는 챌린지 검사 실행

 

4.2.5 AWS Shield Standard

  • AWS에서 실행되는 웹 애플리케이션을 DDoS 공격으로부터 보호하는 관리형 서비스
  • DDoS 보호 및 인 라인 공격 완화하는 역할 수행
  • 3-4 계층의 공격으로부터 보호해 주는 무료 서비스
    • 강력하고 맞춤화된 기능을 위해서는 유료 서비스인 Advanced 서비스 권장

 

4.2.6 AWS Shield Advanced

  • HTTP Flood와 같은 7 계층의 공격에 보호 지원 (WAF와 통합)
  • 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 실시간에 가까운 공격에 대한 가시성, 웹 애플리케이션 방화벽 AWS WAF와의 통합을 제공
  • 제공하는 기능
    • 트래픽 패턴에 따른 탐지
    • 상태 기반 탐지
    • 고급 공격 완화
    • 애플리케이션 계층 DDoS 완화
    • 선제적 이벤트 대응

 

4.2.7 AWS Key Management Service(AWS KMS)

  • 데이터를 보호하는 데 사용하는 암호화 키를 쉽게 생성하고 제어할 수 있게 해주는 관리형 서비스
  • 제공하는 기능
    • 암호화 키 생성 및 관리
    • 데이터 암호화
    • 키 사용 권한 제어

 

4.2.8 Amazon Inspector

  • 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는 AWS 워크로드를 지속적으로 스캔하는 취약성 관리 서비스

 

4.2.9 Amazon GuardDuty

  • AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 조사 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스

 

5. 클라우드 모니터링

 

5.1 환경 모니터링

  • 다양한 서비스와 도구를 활용하여 클라우드 시스템의 상태와 성능을 지속적으로 추적하고 분석하는 과정
  • 데이터를 수집, 분석 및 사용하는 행위
  • 클라우드 모니터링 목적
    • IT 리소스 및 시스템에 대한 여러 가지 질문의 답 산출 및 의사 결정
    • 리소스 과다 사용, 애플리케이션 결함, 리소스 구성 오류 또한 보안 관련 이벤트로 인한 운영 문제 감시

 

5.2 AWS 모니터링 서비스

  • AWS CloudWatch
    • AWS 리소스 및 AWS에서 실행되는 애플리케이션을 실시간으로 모니터링

 

  • AWS CloudTrail
    • AWS 계정의 운영 및 위험 감사, 거버넌스 및 규정 준수를 활성화하는 데 도움이 되는 AWS 서비스

 

  • Trusted Advisor
    • 사용자의 AWS 환경을 검사하고 모범 사례 및 AWS Well-Architected 프레임워크에 대한 권장 사항을 제공하는 서비스

 

5.2.1 AWS CloudWatch의 장점

  • Amazon CloudWatch 지표와 타임스탬프
    • 지표 (CloudWatch에 게시된 시간 순서 별 데이터 요소 집합)
      • 기본적으로 많은 AWS 서비스에서 EC2 인스턴스나 EBS 볼륨, RDS 인스턴스 지표 무료로 제공
      • 유료로 세부 모니터링도 가능
    • 타임스탬프 (시간, 분, 초와 더불어 완전한 날짜가 있는 DateTime 개체(UTC 기준))

 

  • CloudWatch 대시보드
    • CloudWatch 콘솔에서 사용자 지정이 가능한 홈페이지
    • 단일 보기에서 리소스(다양한 리전에 분산되어 있는 리소스 포함)를 모니터링하는 데 사용
    • 여러 계정을 혼합해서 대시보드 구성 가능
    • AWS 리소스에 대한 지표 및 경보의 사용자 지정 보기를 생성

 

  • CloudWatch 로그
    • 시스템, 애플리케이션 및 AWS 서비스의 로그 파일을 중앙 집중화하여 저장 및 액세스
    • 로그 수집, 저장, 검색, 분석, 알림, 모니터링 등 다양한 기능 제공
    • 처리된 내용이나 이용상황을 시간의 흐름에 따라 기록
    • 로그는 메시지와 타임스탬프 두 가지로 구성
    • 로그 스트림은 모니터링 중인 애플리케이션 이벤트의 영속적인 목록 (이벤트가 발생한 상황의 연속적인 기록)
    • 로그 그룹은 로그 스트림들이 모여있는 폴더

 

  • CloudWatch 경보(Alarm)
    • 이벤트 및 메트릭 변경에 대한 경보 제공
    • 지표 경보는 단일 지표를 감시해서 설정한 조건에 부합할 때 경보 발생
    • 복합 경보는 모든 조건에 부합할 때 경보 발생
    • 대시보드에 경보 추가하거나 지정 작업 수행 가능
      • 3가지 알림 상태(OK/ALARM, INSUFFICIENT DATA) 사이에서 상태가 변경될 때 수행하는 작업을 지정
    • 경보 발생 시 
      • AWS SNS 서비스를 통해 구독자에게 이메일로 알림
      • Lambda 함수를 통해 작업 자동화 가능
      • 인스턴스를 중지, 종료, 재부팅, 복구 가능
      • 오토스케일링 그룹 설정을 통해 EC2 증설 혹은 삭제 가능

 

5.2.2 AWS CloudTrail

  • 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록
    • 어떤 리소스들에 대해 어떤 작업을 수행했는지 추적
    • 운영감사를 수행하는 것에 유용한 정보 제공 
    • 이벤트 기록하는 3가지 방식 제공 (이벤트 기록, CloudTrail Lake, 추적)

 

5.2.2.1 AWS CloudTrail 활용

  • CloudTrail 추적 작업
    • 지속적인 이벤트 레코드를 위해 추적을 생성
    • Amazon S3 버킷으로 로그 파일을 전송
    • 콘솔에서 추적을 생성하면 기본적으로 작업하는 AWS 파티션에서의 모든 AWS 리전에 추적 적용
    • 추적 생성 -> 추적 관리 -> 추적 삭제

 

5.2.2.2 CloudWatch vs CloudTrail

 

  CloudWatch CloudTrail
대상 AWS 리소스 & 애플리케이션 AWS 게정
수집 데이터 지표 로그 API 호출 로그
데이터 보관기간 최대 15개월 최대 90일
사용 목적 시스템 상태 파악, 문제 해결, 성능 개선 보안 강화, 규정 준수, 문제 해결
주요 기능 성능 모니터링, 로그 관리, 경보 설정 API 활동 추적, 감사, 로그 분석

 

 

5.2.3 AWS Trusted Advisor

  • AWS 환경을 검사하고 AWS 모범 사례에 따라 실시간 권장 사항을 제시하는 웹 서비스
  • AWS 환경을 검사하여 현재 상황을 비교 및 문제해결

 

https://aws.amazon.com/ko/blogs/aws/aws-trusted-advisor-update-cloudfront-content-delivery-optimization/

 

5.2.3.1 Trusted Advisor의 장점

  • 비용 최적화
    • 잠재적으로 비용을 절약할 수 있는 권장 사항
    • 사용되지 않는 리소스와 청구 금액을 줄일 수 있는 기회를 강조 표시

 

  • 성능
    • 애플리케이션의 속도와 응답성을 향상할 수 있는 권장 사항

 

  • 보안
    • AWS 솔루션을 더욱 안전하게 보호할 수 있는 보안 설정에 대한 권장 사항

 

  • 내결함성
    • AWS 솔루션의 탄력성을 높이는 데 도움이 되는 권장 사항
    • 중복성 부족과 리소스 과다 사용을 확인

 

  • 서비스 한도
    • 계정 사용량을 확인하고 계정이 AWS 서비스 및 리소스 한도에 도달하거나 한도를 초과하는지 확인

 

  • 운영 우수성
    • AWS 환경을 효과적이고 대규모로 운영하는 데 도움이 되는 권장 사항

 

  • Organizational view 기능
    • AWS 조직의 모든 멤버 계정에 대한 보고서 생성
    • 기능 사용 조건
      • AWS 조직의 멤버여야 함
      • 조직에서 Organizations의 모든 기능을 활성화
      • 조직의 관리 계정에 Business, Enterprise On-Ramp 또는 Enterprise Support 플랜

 

  • Priority 기능
    • 중요한 위험에 대한 우선순위가 지정된 보기를 제공
    • Enterprise Support Plan 사용 중이어야 하며 조직의 관리자 계정이어야 함

 

6. 클라우드 비용

 

6.1 AWS 요금 및 지원 모델 이해

 

AWS 프리 티어

  • 언제나 무료 서비스는 12개월 무료가 만료돼도 무료
  • 12개월 무료는 AWS에 처음 가입한 날로부터 12개월 동안 무료로 제공
  • 단기 무료 평가판 제품은 특정 서비스를 활성화한 날짜부터 시작

 

 

6.1.1 AWS 요금 적용 방식

  • 사용량에 따라 (온디멘드 요금)
    • AWS는 종량제 요금으로 다양한 클라우드 컴퓨팅 서비스를 제공하며 실제 사용한 만큼만 지불하는 형태
    • 장기 계약 또는 복잡한 라이선스 없이 각 서비스에서 실제로 사용한 양에 대해서 정확히 지불하는 형태

 

  • 예약하여 절감
    • 일부 서비스는 온디멘드 인스턴스 요금에 비해 할인을 제공
    • AWS 컴퓨팅, 머신러닝을 더 저렴한 비용으로 제공
    • 특정 약정을 조건으로 온디멘드보다 낮은 요금 제공
    • 동일한 용량에 비하여 최대 72% 절약 가능

 

  • 더 많이 사용하여 할인
    • 일부 서비스는 계층화된 요금을 제공하기 때문에 사용량이 늘어날수록 단가가 낮춰짐
    • 비용을 통제할 수 있는 경제의 규모 이점을 활용 가능

 

6.1.2 AWS 요금 계산기

  • AWS 서비스를 탐색하고 AWS 기반 사용 사례에 대한 비용을 추정
  • 그룹은 비용 센터별로 비용 추정을 제공
  • 제한된 아키텍처 파일을 신속하게 분석 가능
  • ex) AWS Lambda 요금 - 함수 요청 수와 함수 실행 시간을 기준으로 요금 청구
  • ex) Amazon EC2 요금 - 인스턴스가 실행되는 동안 사용한 컴퓨팅 시간에 대해서만 비용을 지불
  • ex) Amazon S3 요금 - 스토리지 사용료, 데이터 전송료, 관리 기능에 대한 비용에 대해 지불

 

6.1.3 AWS 결제 대시보드

  • AWS 청구서 결제
  • 사용량을 모니터링
  • 비용 분석 및 제어

 

6.1.4 통합 결제

  • AWS Organizations에서 조직을 관리하는 경우 통합 결제 기능을 사용 가능
  • 여러 AWS 계정의 청구 및 결제를 통합
  • 여러 계정에서 대량 구매 할인 공유 가능

 

6.1.5 AWS Budgets

  • 사용자 지정 예산을 설정하여 비용 및 사용량을 추적
  • 임계값 초과 시 이메일 또는 SNS 알림에서 수신된 알림에 빠르게 대응

 

6.1.6 AWS Cost Explorer

  • 시간 경과에 따라 AWS 비용 및 사용량을 시각화, 이해, 관리할 수 있는 도구

 

6.2 다양한 AWS Support 플랜 구분

 

6.2.1 AWS Support

  • AWS 솔루션의 성공과 운영 상태를 지원하는 도구

 

6.2.1.1 여러 Support 플랜

  • Basic
  • Developer
  • Business
  • Enterprise On-Ramp
  • Enterprise

 

6.2.2 기술 지원 관리자(TAM)

  • 애플리케이션을 계획, 배포, 최적화할 때 TAM이 지속적으로 커뮤니케이션하면서 권장 사항, 아키텍처 검토를 제공
  • TAM은 모든 AWS 서비스에 대한 전문 지식을 제공
  • 서비스를 효율적으로 통합하는 솔루션 제공

 

6.2.3 AWS Marketplace

  • 고객이 솔루션을 구축하고 비즈니스를 운영하는데 필요한 타사 소프트웨어, 데이터 및 서비스를 검색 구매, 배포 및 관리할 수 있도록 큐레이션 된 디지털 카탈로그

 

7. 클라우드 마이그레이션

 

7.1 Cloud Migration

  • 무중단 방식으로 워크로드를 온프레미스 데이터 센터에서 CSP의 인프라로 이전시키는 프로세스
  • 데이터, 애플리케이션, IT 리소스와 같은 디지털 자산을 클라우드로 이전하는 프로세스

 

7.1.1 Cloud Migration 이점

클라우드 이점과 동일

  • 비용 효율성
  • 확장성
  • 보안
  • 성능
  • 지속 가능성

 

7.2 Cloud Adoption Framework

  • 조직이 클라우드 기술을 시작하는 데 도움이 되는 일련의 모범 사례, 도구 및 지침

 

7.2.1 6가지 주요 관점

  • 비즈니스 관점
  • 인력 관점
  • 거버넌스 관점
  • 플랫폼 관점
  • 보안 관점
  • 운영 관점

 

https://jirak.net/wp/aws-cloud-adoption-frameworkcaf-3-0-%EC%B6%9C%EC%8B%9C-%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EA%B8%B0%EB%B0%98-%EB%94%94%EC%A7%80%ED%84%B8-%EC%A0%84%ED%99%98%EC%9D%84-%EC%9C%84%ED%95%9C/

 

 

7.2.1.1 비즈니스 관점

  • 클라우드 투자가 디지털혁신 야망과 성과를 가속화하도록 보장
  • 전략 관리 (전략적 목표에 우선순위 선정 후 시간에 따라 전략 계획 개선)
  • 포트폴리오 관리 (클라우드 이동을 위한 6가지 마이그레이션 전략 활용해서 기존 애플리케이션 포트폴리오 합리화하고 데이터 중심 비즈니스 사례 구축)
  • 혁신 관리 (전략적 우선순위에 따라 아이디어 수집하고 채택하는 메커니즘 구축하고 성공적인 혁신 파일럿 조율을 위한 e2e 프로세스 개발)
  • 제품 관리 (수명주기 동안 내/외부 고객에게 반복가능한 가치를 제공하는 데이터와 클라우드 지원상품 관리)
  • 전략적 파트너십 (특정 비즈니스 과제의 성공적인 해결을 강조)
  • 데이터 수익화 (분석 정보를 활용해서 운영, 고객 및 지원의 경험, 의사결정을 개선하고 새로운 비즈니스 모델 구현의 기회를 파악)
  • 비즈니스 인사이트 (실시간 인사이트 확보 및 비즈니스 질문에 대한 해답 도출)
  • 데이터 과학 (고급 분석 및 기계 학습을 활용하여 복잡한 비즈니스 문제 해결)

 

7.2.1.2 인력 관점

  • 문화의 진화 (민첩성, 자율성, 명확성, 확장성에 대한 모범 사례로 DX 포부를 통해 조직 문화를 평가하고 점진적으로 개선하며 체계화해야 함, 장기적인 초점을 유지하고 고객에게 집중하며 고객의 요구 충족을 위해 과감히 혁신)
  • 혁신적 리더십 (성과 중심의 교차 기능 의사 결정 지원)
  • 클라우드 숙련 (유능한 인력은 디지털 환경에 적응하는 것 이상으로 필요하며 가장 큰 과제는 기술 자체가 아니라 유능하고 지식이 풍부하고 성과가 높은 인력을 고용/개발하는 것)
  • 인력 혁신 (기존 HR과 경영진 리더십을 포괄하고 리더십, 학습, 보상, 포용, 채용 등을 전체적으로 현대화할 것)
  • 변화 가속화 (프로그래밍 방식의 변화 가속화, 프레임워크를 적용하여 새로운 업무 방식 도입 기간 단축)
  • 조직 설계 (새로운 클라우드형 업무 방식에 맞춰 조직 설계 평가 및 개진)
  • 조직 연계 (조직 구조, 비즈니스 운영, 인재, 문화 사이에 지속적 파트너십 수립)

 

7.2.1.3 거버넌스 관점

  • 프로그램 및 프로젝트 관리 (유연하고 조직적인 방식으로 상호 종속적 클라우드 이니셔티브 제공)
  • 이익 관리 (원하는 이점을 미리 파악 시 클라우드 투자에 우선순위를 정하고 시간에 따른 변환 진행 상황 추적 가능)
  • 위험 관리 (인프라의 가용성, 안전성, 성능, 보안 관련 운영 위험과 평판, 비즈니스 연속성, 시장 변화에 신속하게 대응하는 능력)
  • 클라우드 재무 관리 (클라우드 지출 계획, 측정 및 최적화)
  • 애플리케이션 포트폴리오 관리 (비즈니스 전략을 지원하기 위한 애플리케이션 포트폴리오 관리 및 최적화)
  • 데이터 거버넌스 (이해관계자의 기대에 맞춰 데이터에 대한 권한 행사 및 데이터 제어)
  • 데이터 큐레이션 (데이터 카탈로그에 데이터 제품 인벤토리 구성)

 

7.2.1.4 플랫폼 관점

  • 플랫폼 아키텍처 (구현 가속화와 위험 최소화, 클라우드 촉진에도 도움)
  • 데이터 아키텍처 (비용, 기술적 부채 최소화, 기하급수적으로 증가하는 데이터 볼륨에서 실행 가능한 인사이트를 얻을 수 있도록 지원)
  • 플랫폼 엔지니어링 (효과적인 클라우드 환경에서의 팀은 새 계정을 쉽게 프로비저닝 하는 동시에 계정이 조직 정책을 준수하는지 확인)
  • 데이터 엔지니어링 (조직 전반에 걸쳐 데이터 흐름 자동화 및 오케스트레이션)
  • 프로비저닝 및 오케스트레이션 (승인받은 클라우드 제품으로 카탈로그 구성 및 관리, 최종 사용자에게 카탈로그 배포)
  • 현대적 앱 개발 (올바른 방향으로 클라우드 네이티브 애플리케이션 구축)
  • CI/CD (신속하게 애플리케이션과 서비스 개진 및 개선)

 

7.2.1.5 보안 관점

  • 보안 거버넌스 (절차를 개발하고 유지하고 효과적으로 전달하여 공지, 명확한 책임 라인 보장은 보안 프로그램의 효율성에서 매우 중요)
  • 보안 보증 (규정 및 업계 표준 준수 입증)
  • 자격 증명 및 액세스 관리 (규모에 따른 자격 증명 및 권한 관리)
  • 위협 탐지 (잠재적 보안 구성 오류, 위협 또는 예상치 못한 동작 이해 및 식별)
  • 취약성 관리 (지속적으로 보안 취약성 식별, 분류, 해결, 완화)
  • 인프라 보호 (워크로드 내 시스템과 서비스가 보호되는지 검증)
  • 데이터 보호 (데이터에 대한 가시성 및 제어 관리, 조직 내 데이터 액세스 및 사용 방법 관리)
  • 애플리케이션 보안 (소프트웨어 개발 과정 중 보안 취약성 탐지 및 해결)
  • 인시던트 대응 (보안 인시던트에 효과적으로 대응하여 잠재적 피해 완화)

 

7.2.1.6 운영 관점

  • 관측성 (클라우드에서 운영하는 중에 문제가 발생하는 경우 이상적으로는 고객이 문제를 발견하기 전에 문제 선제 감지 및 신속대응하여 가능한 빠르게 해결)
  • 이벤트 관리 (노이즈를 필터링하고 우선순위 이벤트에 집중해서 임박한 리소스에 대한 소진을 예측하고 알림과 인스턴스를 자동으로 생성하고 가능한 원인 및 해결 조치 식별)
  • 인시던트 및 문제 관리 (클라우드를 채택하면 서비스 문제, 애플리케이션 상태 문제, 이 문제들에 대한 대응 프로세스를 고도로 자동화해서 서비스 가동 시간을 크게 늘릴 수 있음)
  • 변경 및 릴리즈 관리 (프로덕션 환경에 대한 위험을 최소화하면서 워크로드 도입 및 수정)
  • 성능 및 용량 (워크로드 성능 모니터링 및 용량의 현재 및 미래 수요 충족 여부 확인)
  • 구성 관리 (클라우드 워크로드, 워크로드 간 관계, 시간 경과에 따른 구성 변경사항 기록 관리)
  • 패치 관리 (체계적으로 소프트웨어 업데이트 배포 및 적용)
  • 가용성 및 연속성 (비즈니스상 중요 정보, 애플리케이션, 서비스에 대한 가용성 보장)
  • 애플리케이션 관리 (단일 대시보드에서 애플리케이션 문제 조사 및 해결)

 

7.3 6가지 마이그레이션 전략

  • 리호스팅(Rehosting)
  • 리팩토링(Refactoring)/아키텍처 재설계(Re-architecting)
  • 리플릿포밍(Replatforming)
  • 재구매 (App 재구매 시 유지관리 인프라 및 라이센싱 관련 비용 절감)
  • 유지
  • 사용 중지

 

* 대규모 마이그레이션 전략으로는 Rehosting, Replatforming, 그리고 사용중지를 권장

 

7.4 AWS 데이터 마이그레이션 

  • 마이그레이션 또는 진행 중인 워크플로를 위해 온프레미스 데이터를 AWS로 이전

 

7.4.1 AWS 클라우드 데이터 마이그레이션 서비스

  • 온라인 데이터 전송
    • AWS DataSync
    • AWS Transfer 패밀리
    • AWS Snowcone

 

  • 오프라인 데이터 전송
    • AWS Snow 패밀리

 

7.4.2 AWS 데이터 마이그레이션 이점

  • 간편한 사용
  • 최소한의 가동 중지 시간
  • 비용 효율성
  • 안전성
  • 지속적 복제
  • 개발자 생산성
  • DB 통합

 

8. Well-Architected 프레임워크

  • 클라우드 설계자가 다양한 애플리케이션 및 워크로드를 위한 안전하고 고성능의 탄력적이며 효율적인 인프라를 구축할 수 있도록 지원
  • 6가지 원칙을 중심으로 구축
    • 운영 우수성
    • 보안
    • 신뢰성
    • 성능 효율성
    • 비용 최적화
    • 지속 가능성

 

8.1 Well-Architected 프레임워크의 6가지 핵심

 

8.1.1 운영 우수성

  • 코드를 통한 운영
  • 되돌릴 수 있도록 변경 사항을 조금씩 자주 적용
  • 운영 절차를 자주 개선
  • 실패 예측
  • 각종 운영 실패에서 학습
  • 관리형 서비스 사용
  • 실행 가능한 인사이트를 위한 관찰성 구현

 

8.1.2 보안성

  • 강력한 자격 증명 기반 구현
  • 추적 기능 활성화
  • 모든 계층에 보안 적용
  • 보안 모범 사례의 자동 적용
  • 전송 및 보관 중인 데이터 보호
  • 사람들이 데이터에 쉽게 액세스 할 수 없도록 유지
  • 보안 이벤트에 대비

 

8.1.3 신뢰성

  • 장애 자동 복구
  • 복구 절차 테스트
  • 수평적 확장으로 워크로드 전체 가용성 증대
  • 용량 추정 불필요
  • 자동화 변경 사항 관리

 

8.1.4 성능 효율성

  • 고급 기술의 대중화
  • 몇 분 안에 전 세계에 배포
  • 서버리스 아키텍처 사용
  • 테스트 횟수 증가
  • 기계에 대한 공감

 

8.1.5 비용 최적화

  • 클라우드 재무 관리 구현
  • 소비 모델 도입
  • 전반적인 효율성 측정
  • 획일적인 업무 부담에 대한 비용 지출 중단
  • 비용 분석 및 기여도 파악

 

8.1.6 지속 가능성

  • 영향 이해
  • 지속 가능성 목표 수립
  • 활용률 극대화
  • 보다 효율적인 최신 하드웨어와 소프트웨어 제품 및 서비스 에측 및 도입
  • 고나리형 서비스 사용
  • 클라우드 워크로드의 다운스트림 영향 감

 

8.2 클라우드 컴퓨팅의 장점

  • 고정 비요을 변동 비용으로 전환
  • 대규모 규모의 경제 혜택
  • 용량 추정 불필요
  • 속도 및 민첩성 개선
  • 데이터 센터 운영 및 유지 고나리에 비용 투자 불필요
  • 몇 분 만에 전 세계에 배포
반응형
저작자표시 비영리 변경금지

'Cloud' 카테고리의 다른 글

[Cloud] AWS Cloud 기초 part 1  (1) 2024.05.13
[Cloud] 클라우드 이해  (1) 2024.04.30

'Cloud'의 다른글

  • 현재글[Cloud] AWS Cloud 기초 part 2

관련글

댓글

티스토리툴바