728x90

 최근에 회사에서 갑작스럽게 혼자 AWS를 사용해야 하는 업무를 맡게 되어서 당분간 AWS를 공부하게 되었는데, 이번 기회에 작년에 포기했던 SAA 자격증도 도전할 겸 제대로 학습해 보고, 업무와 개인 프로젝트에서도 실제로 다양하게 사용해 봐야겠다.

 

리전

 AWS가 글로벌 서비스를 제공하기 위해 세계 각지에 데이터 센터를 클러스터링하는 물리적 위치

리전 선택 시 주의 사항

  • 국가의 정책 (예 : 프랑스의 데이터는 프랑스에 있어야 한다.)
  • 지연 시간
  • 사용하려는 AWS 서비스가 해당 리전에 제공되는지
  • 리전 간 요금 차이 확인

 

AZ (Availbility Zones)

  • 리전마다 존재하는 논리적 데이터 센터의 각 그룹
  • 최소 3개, 최대 6개의 가용 영역이 존재하고, 보통 3개의 가용 영역이 존재한다.
  • 각각의 가용 영역은 여분의 전원, 네트워킹, 통신 기능을 갖춘 하나 또는 두 개의 데이터 센터 존재
  • 가용 영역들은 재난 발생에 대비해 서로 분리되어 있어, 한 곳에 문제가 생겨도 다른 곳은 괜찮다.

 

Edge Location

  • AWS는 40개 이상의 국가의 90개 이상의 도시에 400개 이상의 엣지 로케이션 보유 중
  • 최저 지연 시간을 통해 사용자에게 빠른 데이터 전송 가능

 

IAM (Identity and Access Management)

 AWS 권한과 리소스에 대한 액세스를 안전하게 제어할 수 있는 기능을 제공해주는 서비스

동작 과정

  1. 보안 주체(Principal) : 리소스에 대한 작업을 요청하는 엔티티(사용자, 서비스, 역할)
  2. 요청(Request) : 보안 주체가 보안 자격 증명 등을 이용해 리소스에 대한 조치나 작업을 수행하게 요청
  3. 인증(Authentication) : IAM이 보안 주체와 연결된 권한을 확인
  4. 인가(Authorization) : 인증된 보안 주체의 요청에 대해 허용/거부를 결정
  5. 작업(Action) / 연산(Operation) : 보안 주체가 요청에 대한 권한이 있는 경우 요청을 진행하도록 허용
  6. 리소스 : 요청이 승인된 경우 해당하는 리소스에서 작업 수행

 

주요 개념

  • 사용자 : 리소스에 액세스 할 수 있는 사람/애플리케이션에 대해 개별 사용자를 생성해 사용자별로 고유한 보안 자격 증명 세트를 통해 AWS 리소스에 접근 가능하다.
  • 사용자 그룹 : 사용자를 그룹으로 구성해 동일한 권한을 다수의 사용자들이 해당 권한을 상속 받게 된다.
  • 역할 : 사용자나 서비스에 일시적으로 권한을 부여하는 방법이다.
  • 정책 : 사용자, 그룹, 역할에 대한 권한을 정의하는 JSON 문서다. 작업이 하용하거나 거부되는 리소스 및 조건을 정의한다.
  • 자격 증명 공급자 : 별도의 IAM 사용자 생성 없이 회사 디렉터리의 사용자나, 소셜 미디어 계정 등의 기타 자격 증명 공급자와 연동을 지원해 중앙에서 사용자 액세스 관리가 용이하게 한다.

 

EC2

 아마존의 데이터 센터의 서버용 컴퓨터에 접속해 사용할 수 있는 클라우드 컴퓨팅 서비스로 필요에 따라 용량을 늘리거나 줄일 수 있는 탄력성, 사용한만큼의 비용만 지불하는 효율성, 인스턴스의 완전 제어 가능, 효과적이고 편리한 보안 및 네트워크, 스토리지 구성/관리가 장점이다.

 

VPC

 논리적으로 격리된 가상 네트워크 안에서 AWS의 리소스를 사용할 수 있는 서비스

장점

  • 서브넷 생성
  • VPC와 서브넷에 IP 주소 할당 (IPv4, IPv6 지원)
  • 라우팅 테이블을 사용해 서브넷/게이트웨이의 네트워크 트래픽 전달 위치 결정 가능
  • 게이트웨이를 통해 VPC를 다른 네트워크와 연결 가능
  • 엔드포인트를 사용해 게이트웨이나 NAT 장치 없이도 AWS 서비스 간의 비공개 연결 가능
  • VPC 간의 피어링 제공 (다른 계정 간 혹은 다른 리전의 VPC 간의 트래픽 라우팅도 가능)
  • 트래픽 미러링을 통해 보안 및 모니터링 향상
  • 전송 게이트웨이를 사용해 VPC, VPN의 연결 및 AWS Direct Connect 연결 간 트래픽 라우팅
  • VPC 네트워크 인터페이스로 들어오고 나오는 IP 트래픽에 대한 VPC 흐름 로그 제공
  • VPC와 VPN 연결 가능
  • 확장 용이

사용 예시

  • 클라이언트가 접근해야 하는 프론트 측을 퍼블릭 서브넷을 사용해서 운영
  • 인터넷 액세스가 필요 없는 DB와 서버 등의 백엔드 시스템은 프라이빗 서브넷을 사용해서 운영
  • 서브넷으로 다수의 리소스들을 묶어서 보안 그룹 및 네트워크 액세스 제어를 보다 간단하고 효율적으로 할 수 있음

 

저작자표시

+ Recent posts

티스토리툴바