SAA - AWS 서비스 종류

https://experienced-candy-562.notion.site/b38d79ea526d40dfbc3e3529993ea08a?pvs=4

개념 정리 | Notion

 

Analystics - (17)

1. Amaon Kinesis

• Kinesis Data Streams : 데이터 스트림을 캡쳐, 처리, 저장
• Kinesis Data Firehose : AWS 데이터 스토어에 데이터 스트림 분석
• Kinesis Data Analytics : SQL이나 Apache Flink로 데이터 스트림 분석
• Kinesis Video Streams : 비디오 스트림 캡쳐, 처리, 저장 역할

   Amazon Kinesis Data Firehose

• 안정적으로 실시간 스트림을 데이터 스토어, 웨어하우스, 분석 서비스에 로드
• 스트리밍 데이터를 전송받아 보기 쉽게 원하는 형태로 변환하여 저장해주는 서비스

 

2. AWS Glue

사용자가 여러 소스의 데이터를 쉽게 검색, 준비, 이동 및 통합할 수 있게 해주는 서버리스 데이터 통합 서비스

 

1) 데이터 검색 및 구성

• 여러 데이터 저장소에서 데이터 검색
• AWS Glue 크롤러를 사용하여 스키마 정보를 추론하고 데이터 카탈로그에 통합
• 스키마에 대한 액세스를 검증하고 제어

2) 분석을 위한 데이터 변환, 준비 및 정리  

• 여러 데이터 저장소에서 데이터 검색
• AWS Glue 크롤러를 사용하여 스키마 정보를 추론하고 데이터 카탈로그에 통합
• 스키마에 대한 액세스를 검증하고 제어

3) 분석을 위한 데이터 변환, 준비 및 정리

• 끌어서 놓기 편집기에서 ETL (Extract 추출 Transform 변환 Load 적재) 프로세스를 정의하고 데이터 추출 및 변환, 로드하는 코드 자동 생성
• 작업 예약으로 복잡한 ETL 파이프라인 구축 -> 이벤트 요청에 따른 AWS Glue 작업 호출
• 전송 중 스트리밍 데이터 정리 및 변환
• 내장된 기계 학습으로 데이터 중복 제거 및 정리
• ETL 코드 편집, 디버깅 및 테스트
• 민감한 데이터 정의, 감지 및 수정

4) 데이터 파이프라인 구축 및 모니터링

• 워크로드에 따라 리소스를 동적으로 확장 및 축소
• 이벤트 기반 트리거로 작업 자동화
• AWS CloudTrail을 사용하여 모니터링

 

3. Amazon EMR

Amazon EKS에서 오픈 소스 빅 데이터 프레임워크를 실행할 수 있는 Amazon EMR용 배포 옵션 제공

 

4. Amazon QuickSight

특정 데이터에 대한 시각화 대시보드를 생성하고 다른 사용자와 공유 가능

 

 

5. Amazon Athena

표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스

• 서버리스 서비스이기에 관리할 인프라가 없으며 실행한 쿼리에 대해서만 비용 지불
• SELECT, INSERT 기능만 제공 -> 요청량이 많은 실시간 서비스와 지속적으로 삭제, 변경되는 서비스에는 적합하지 않음

6. Amazon Redshift

완전 관리형으로 제공해주는 클라우드 데이터웨어하우스

• 데이터 로딩이나 ETL 없이도 데이터 레이크에 대한 쿼리 실행 가능
• 무제한의 동시 사용자 및 동시 쿼리를 일관되게 빠른 쿼리 성능으로 지원

7. Amazon AppFlow

서비스형 소프트웨어(SaaS) 애플리케이션과 AWS S3 및 Readshift와 같은 서비스 간에 데이터를 안전하게 전송할 수 있게 해 주는 완전관리형 통합 서비스

 

8. Amazon MSK

kafka를 사용하여 스트리밍 데이터를 처리하는 완전 관리형 서비스

 

9. Amazon OpenSearch Service

AWS 클라우드에서 OpenSearch 클러스터를 쉽게 배포, 운영 및 확장할 수 있는 관리형 서비스

 

 

Application Integration - (8)

애플리케이션을 여러 개 배포하려고 할 때 정보와 데이터를 공유하기 위해서 애플리케이션 커뮤니케이션이 필요하다.

트래픽이 갑자기 급증하는 등 예측할 수 없을 때 일반적으로 애플리케이션을 분리하여 분리 계층으로 확장한다.

💡 분리 계층 모델

SQS : 대기열 모델

SNS : pub/sub 모델

Kinesis : 실시간 스트리밍 및 대용량 데이터

 

1. Amazon SQS (=Simple Queue Service)

• SendMessage API를 사용하여 SQS에 메시지를 보냄
• 소비자가 해당 메시지를 읽고 삭제할 때까지 SQS 대기열에 유지
• 사용자 지정 암호화 SSE 키를 사용하여 대기열의 메시지 콘텐츠를 보호하면서 중요한 데이터 전송 가능
• 메시지의 안전을 위해 여러 서버에 저장

SQS 특징

• 무제한 처리량
  • 원하는 만큼 메시지를 포함시킬 수 있다.
• 짧은 메시지 수명
  • 기본값 4일, 최대 14일
• 빠른 응답 시간
  • 10초 밀리초 이내로 매우 빠르게 응답을 받을 수 있다.
• 중복 메시지가 있을 수 있음

메시지 가시성 시간 초과

• 가시성 시간 초과 기본값은 30초
• 가시성 시간 초과 기간 내에서는 그 메시지는 다른 소비자들에게 보이지 않음
• 가시성 시간 초과가 되고 메시지가 삭제되지 않았다면 메시지는 대기열에 다시 넣음 → 메시지가 두 번 처리될 수 있음
• 두 번 처리하고 싶지 않다면 ChangeMessageVisibility API 호출
• 가시성 제한 시간을 함수 제한 시간과 일괄 처리 창 제한 시간의 합계보다 큰 값으로 늘림

* ChangeMessageVisibility

메시지를 처리하지 않아 가시성 시간 초과 기간을 벗어날 때 사용

 

Long Polling

소비자가 대기열에 메시지를 요청하는데 대기열에 아무것도 없을 때 기다리는 경우

• 지연 시간을 줄일 수 있음
• SQS로 보내는 API 호출 숫자를 줄일 수 있음

2. Amazon SNS

게시자에서 생산자로 메시지를 전송하는 관리형 서비스

(EX) 특정 서비스를 구매했을 때 다양한 채널로 알림을 보내고 싶을 경우

• 게시자는 논리적 액세스 지점 및 커뮤니케이션 채널엔 주제에 메시지를 전송하여 구독자와 비동기식으로 통신
• Amazon Kinesis Data Firehose 전송 스트림, Lambda 함수, Amazon SQS 대기열와 같은 구독자를 지원
• 모바일 애플리케이션, 휴대폰 번호 및 이메일 주소와 같은 사용자 알림을 구독자에게 제공
• FIFO 주제를 사용하여 메시지 순서를 보장하고, 메시지 그룹을 정의하고, 메시지 중복을 방지할 수 있다.
• 게시된 메시지는 지리적으로 분리된 여러 서버 및 데이터 센터에 저장됨
• Amazon SNS + SQS : 메시지 필터 기능. SNS 주제 구독자가 관심 있는 주제 메시지의 하위 집합만 수신 가능

3. Amazon MQ

RabbitMQ와 ActiveMQ를 위한 관리된 메시지 브로커 서비스

애플리케이션을 클라우드에 마이그레이션하는 경우 SQS, SNS 프로토콜 혹은 API를 사용하기 위해 전부 재설계를 하는 대신 메시지 대기열을 클라우드로 옮길 수 있다

 

 

Business Applications - (13)

1. Amazon SES

사용자의 이메일 주소와 도메인을 사용해 이메일을 보내고 받는 이메일 플랫폼

 

2. Amazon Pinpoint

사용자 지정 채널을 통해 푸시 알림, 인앱 알림, 이메일, 문자 메시지, 음성 메시지를 보낼 수 있는 서비스

 

 

Cloud Financial Management - (4)

1. AWS Billing and Cost Management

 

Cost Explorer

추가 분석을 위해 비용 데이터를 시각화하는 데 사용할 수 있는 기능

 

2. Savings Plans

1년 또는 3년 동안의 컴퓨팅 성능 사용을 약정하는 대가로 할인 혜택을 제공받을 수 있는 할인 모델

 

 

Compute - (15)

1. AWS Elastic Beanstalk

서버에서 개발된 웹 애플리케이션 및 서비스를 간편하게 배포하고 조정할 수 있는 서비스

• 코드를 업로드해서 용량 프로비저닝, 로드 밸런싱 오토 스케일링, 애플리케이션 상태 모니터링, 배포를 자동으로 처리하도록 구성할 수 있음
• 추가 비용 없이 애플리케이션을 저장 및 실행하는 데 필요한 AWS 리소스에 대해서만 요금을 지불

2. Amazon Lightsail

AWS에서 만든 가상 프라이빗 서버(VPS)

• 프로젝트를 빠르게 시작하는데 필요한 가상머신, SSD 기반 스토리지, 로드밸런서 등을 모두 포함하고 있어 웹서비스를 빠르게 쉽게 구축하는데 특화되어 있는 서비스
• 기존 EC2에 비해 저렴한 비용

3. AWS ParallelCluster

고성능 컴퓨팅(HPC) 클러스터를 쉽게 배포하고 관리할 수 있게 해 주는 오픈 소스 클러스터 관리 도구

 

 

Containers - (15)

1. Amazon ECS (=Elastic Container Service)용량

클러스터에서 도커 컨테이너를 손쉽게 관리하기 위한 컨테이너 관리 서비스

용량 – 컨테이너가 실행되는 인프라

컨트롤러 - 컨테이너에서 실행되는 애플리케이션 배포 및 관리

프로비저닝 – 스케줄러와 함께 애플리케이션 및 컨테이너를 배포 및 관리하는 데 사용할 수 있는 도구

 

ECS Auto Scaling

• ECS 태스크의 수를 자동으로 늘리고 줄이는 기능
• CPU 사용률, 메모리 사용률, 타겟당 요청 수에 대해 확장 및 축소
• 대상 추적, 단계 스케일링, 예약 스케일링이 있음

2. Amazon EKS

컨트롤 플레인을 직접 구성하지 않고서 k8s를 손쉽게 사용할 수 있도록 서비스 제공

 

 

Cryptography & PKI - (8)

1. AWS KMS

데이터를 암호화 할 때 사용되는 암호화키를 쉽게 생성하고 제어하는 데 도움이 되는 관리형 서비스

 

KMS 특징

• 데이터에 대한 액세스를 제어하는 암호화 키를 중앙에서 관리 가능
• 권한 부여를 위해 IAM과 완전히 통합되고 KMS로 암호화한 데이터에 관한 액세스를 쉽게 제어할 수 있게 함
• CloudTrail을 통해서 키를 사용하기 위해 호출한 모든 API 감사 가능

2. AWS Certificate Manager

AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스

• ACM에서 발급받은 인증서를 통해 ELB 혹은 Cloudfront에서 HTTPS 통신 사용 가능
• DNS 유효성 검사 사용시 ACM이 인증서를 자동으로 갱신
• ACM 만료가 다가오면 전자 메일 알림 보냄

1) 이메일 인증 방식

2) DNS 인증 방식 - CNAME 레코드 제공

 

ACM 인증서 만료 알림

ACM은 가져온 인증서에 대해 관리형 갱신을 제공하지 않는다.

• Amazon EventBridge의 ACM API를 사용하여 ACM 인증서 만료 임박 이벤트 구성
• 사용자 정의 Amazon EventBridge를 생성하여 인증서 만료 날짜가 가까워질 때 이메일 알림 받음
• SNS 주제와 EventBridge 규칙 생성 및 AWS Config 사용

 

Database - (10)

1. Amazon RDS

AWS 클라우드에서 관계형 데이터베이스를 더 쉽게 설치, 운영 및 확장할 수 있는 웹 서비스

 

RDS 기능

• 자동화된 프로비저닝, OS 패치
• 특정 타임스탬프에 대한 지속적인 백업 및 복원 → 특정 시점 복원
• 모니터링 대시보드
• 향상된 읽기 성능을 위한 읽기 전용 복제본
• DR을 위한 다중 AZ 설정
• 확장 기능
• EBS 지원 스토리지

1) 스토리지 Auto Scaling

RDS DB 인스터의 스토리지를 동적으로 늘릴 수 있도록 지원

 

2) RDS Read Replicas

읽기 확장성을 위한 방법으로, 최대 5개의 읽기 전용 복제본 제공

 

3) RDS Custom

데이터베이스 관리 작업과 운영을 자동화하는 동시에 데이터베이스 운영 체제에 대한 액세스 권한 부여

 

RDS Proxy

응용 프로그램이 데이터 베이스에 대한 연결을 공유할 수 있도록 해주는 완전 관리 데이터베이스 프록시

=> CPU, RAM 효율성 증가

 

사용 사례

Amazon Cloud Watch + RDS : 데이터베이스 인스턴스에 대한 지표 제공

Amazon SNS + RDS : 데이터베이스 이벤트를 이메일이나 SMS 텍스트 메시지 알림

 

2. Amazon Aurora

고성능 상용 데이터베이스의 성능과 가용성에 오픈 소스 데이터베이스의 간편성과 비용 효율성을 결합한 MySQL 및 PostgreSQL 호환 관계형 데이터 베이스

 

Aurora 특징

• 3개의 가용 영역에 6개의 replica 존재
• 자동 장애 조치
• 백업 및 복구
• 격리 및 보안

1) Aurora Serverless

• 실제 사용량을 기반으로 자동화된 데이터베이스 인스턴스화 및 자동 크기 조정
• 간혈적이거나 예측할 수 없는 워크로드에 적합

2) Aurora Global Database

• 전 세계의 모든 리전에서 1초내의 지연시간으로 데이터 액세스 가능
• 재해 복구 용도로 활용 가능

3) Aurora DB 클러스터

 

기본 DB 인스턴스 – 읽기 및 쓰기 작업을 지원하고, 클러스터 볼륨의 모든 데이터 수정 실행

Aurora 복제본 – 기본 DB 인스턴스를 사용할 수 없는 경우 자동으로 Aurora 복제본으로 장애 조치

 

RDS MySQL과 AWS Aurora MySQL 차이점

• Storage : RDS는 자체 EBS로 운영하지만 Aurora는 공유 스토리지 사용
• 관리주체 : RDS는 관리자가 MySQL의 버전을 올리면서 사용하지만 Aurora는 AWS가 개발해서 버전 업그레이드가 주기적
• Read Replica 구성 : RDS는 standby와 read replica를 만들 때 binlog를 사용하지만 Aurora의 경우 내부 스토리지 및 redo log 전송을 통해 빠른 동기화가 가능

3. Amazon DynamoDB

완전관리형 NoSQL 데이터베이스 서비스

 

DynamoDB 특징

• 저렴한 가격 및 오토 스케일링
• 대량 워크로드로 확장할 때 사용
• 데이터가 자동으로 다중 AZ간에 복제 → 가용성이 높음
• DynamoDB API는 IAM과 완전 통합(보안, 권한 부여, 관리 기능 포함)

1) 프로비저닝

• 기본값
• 사전에 용량을 계획
• 사용할 만큼 미리 지불

2) 온디멘드

• 프로비저닝 모드 비용의 두 세배 가격
• 아주 예측하기 힘든 워크로드에 사용
• 사용한 만큼 지불

DynamoDB Accelerator (DAX)

• DynamoDB를 위한 가용성이 뛰어난 완전관리형인 메모리 cache로서, 초당 요청 수가 몇 백만 개인 경우에도 최대 10배 성능을 제공
• 대규모 성능에 대한 걱정 없이 애플리케이션을 개발하는 데 집중할 수 있다.

DynamoDB Stream

• 저장된 항목이 변경되는 경우 변경 사항을 캡처하기 위해서 사용
• 테이블의 변경 사항은 수정된 순서에 따라 실시간으로 정보를 수집하여 24시간동안 로그에 저장

4. Amazon DocumentDB

완전관리형 기본 JSON 도큐먼트 데이터베이스

• 인프라를 관리하지 않고도 규모와 관계없이 중요한 문서 워크로드를 쉽고 비용 효율적으로 운영 가능

5. Amazon ElastiCache

클라우드에서 분산된 인 메모리 데이터 스토어 또는 캐시 환경을 손쉽게 설정, 관리 및 확장할 수 있는 웹 서비스

• 디스크 기반 데이터베이스에 의존하기보다는, 빠른 관리형 인 메모리 데이터 스토어에서 정보를 검색할 수 있도록 지원하여 웹 애플리케이션의 성능을 향상시킴
• 실패한 노드를 자동으로 감지한 후 교체하여 자가 관리형 인프라와 관련된 오버헤드를 줄이고, 복원력이 뛰어난 시스템 제공

Redis – 빠른 오픈 소스 인 메모리 데이터 스토어 및 캐시

• 자동 장애 조치가 있는 다중 AZ
• 읽기 확장 및 고가용성을 위한 복제본
• 백업 및 복원 기능
• 웹, 모바일 앱, 게임과 같은 고성능 사용 사례에 매우 적합한 서비스

Memcashed – 메모리 객체 캐싱 시스템

• 데이터 파티셔닝을 위한 다중 노드(샤딩)
• 백업 및 복원 없음
• 고가용성 없음

 

 

Developer Tools - (18)

1. AWS X-Ray

애플리케이션이 처리하는 요청에 대한 데이터를 수집하고 해당 데이터를 보고 필터링하고 통찰력을 얻어 문제와 최적화 기회를 식별하는 데 사용할 수 있는 도구를 제공하는 서비스

• 서비스로부터 데이터를 세그먼트로 수신
• 공통 요청이 있는 세그먼트를 추적으로 그룹화
• 추적을 처리하여 애플리케이션을 시각적으로 표현하는 서비스 그래프 생성
• 세그먼트 – 리소스 이름, 요청에 대한 세부정보, 완료된 작업에 대한 세부정보를 제공

(ex) 호스트, 요청, 응답, 완료된 작업, 발생하는 문제

 

추적 헤더 – 모든 요청은 구성 가능한 최소값까지 추적된다.

활성 계측 – 샘플 및 계측 수신 요청

수동 계측 – 다른 서비스에서 샘플링한 계측 요청

요청 추적 – 들어오는 모든 요청에 추적 헤더를 추가하고 다운스트림으로 전파

• AWS Lamda + X-Ray : 모든 런타임에서 수신 요청을 능동적 및 수동적으로 계측
• Amazon API Gateway + X-Ray: 능동 및 수동 계측.
• AWS Elastic Beanstalk + X-Ray

 

Front-End Web & Mobile -(8)

1. AWS Amplify

비즈니스에 따라 크기를 조정할 수 있는 빠르고, 안전하며, 신뢰할 수 있는 정적 및 서버 측 렌더링 앱을 위한 완전관리형 CI/CD 및 호스팅 서비스

 

 

General Reference -(7)

1. Tagging AWS Resources

각 리소스에 대해 각 태그 키는 고유해야 하며 각 태그 키는 하나의 값만 가질 수 있다.

 

* 태그 = 사용자 또는 AWS가 리소스에 할당하는 레이블

• AWS 생성 태그
• 사용자 정의 태그

 

Machine Learning - (34)

1. Amazon SageMaker

제품 추천, 맞춤화, 지능형 쇼핑, 로봇 공학, 음성 지원 디바이스를 포함하여 Amazon의 실제 기계 학습 애플리케이션 개발 경험에 기반하여 구축된 서비스

 

2. Amazon Comprehend

기계 학습을 사용하여 텍스트에서 유용한 인사이트 및 관계를 찾아내는 자연어 처리

 

3. Amazon Rekognition

이미지 및 비디오에서 정보와 인사이트를 추출하기 위한 기능 제공

(EX) 안면 생체 감지, 얼굴 비교 및 검색, 콘텐츠 조정

 

4. Amazon Textract

스캔한 문서에서 텍스트, 필기, 레이아웃 요소 및 데이터를 자동으로 추출하는 기계 학습 서비스

 

5. Amazon Transcribe

기계 학습 모델을 사용하여 오디오를 텍스트로 변환하는 자동 음성 인식 서비스

 

6. Amazon Lex

음성과 텍스트를 사용하는 애플리케이션에 대화형 인터페이스를 구축하는 서비스 (=챗봇)

 

 

Management & Goverance - (35)

클라우드 환경을 관리할 때 각 프로젝트 또는 사업 단위로 관리하게 되면서 멀티 계정에 대한 관리가 필요해졌다.

 

1. AWS CloudFormation

리소스를 모델링하고 설정하는 서비스

• 템플릿과 스택으로 작업
• 템플릿 – JSON 또는 YAML 형식의 텍스트 파일
• 스택 – 관련 리소스를 스택이라는 단일 단위로 관리(생성, 업데이트, 삭제)

2. AWS CloudTrail

이벤트를 기록하는 세 가지 방법 제공

 

1) 이벤트 기록 (요금 X)

• AWS 리전에서 지난 90일간의 관리 이벤트에 대한 보기, 검색, 다운로드 및 변경 불가능한 기록을 제공

2) CloudTrail Lake (요금 O)

• 감사 및 보안 목적으로 AWS에서 사용자 및 API 활동을 캡처, 저장, 액세스 및 분석하기 위한 관리형 데이터 레이크
• CloudTrail Lake는 행 기반 JSON 형식의 기존 이벤트를 Apache ORC로 변환
• ORC – 빠른 데이터 검색에 최적화된 컬럼형 저장 형식

3) 트레일

• 트레일은 AWS 활동 기록을 캡처하여 Amazon CloudWatch Logs 및 Amazon EventBridge에 대한 선택적 전달과 함께 이러한 이벤트를 Amazon S3 버킷에 전달 및 저장
• Amazon Athena와 같은 솔루션을 사용하여 로그 검색 및 분석 가능

 

3. CloudWatch

AWS 리소스 및 실행되는 애플리케이션을 실시간으로 모니터링

 

• 지표를 감시해 알림을 보내거나 임계값을 위반한 경우 모니터링 중인 리소스를 자동으로 변경하는 경보 생성 가능

* 복합 경보

여러 지표를 결합하여 단일 경보를 생성하는 기능을 제공

 

4. AWS Config

AWS 리소스 구성에 대한 진단, 감사 및 평가를 진행하는 서비스

 

Config 특징

• 리전 단위 서비스이므로 모든 리전별로 구성해야 함
• 데이터 중앙화를 위해 리전과 계정 간 데이터 통합 가능
• 모든 리소스 구성을 S3에 저장해서 Athena와 같은 서버리스 쿼리 엔진을 통해 분석할 수 있음

Config로 해결할 수 있는 문제

• 보안 그룹에 제한되지 않은 SSH 접근이 있는지?
• 버킷에 공용 액세스가 있는지?
• 시간이 지나며 변화한 ALB 구성이 있는지?
• 변화가 생길 때마다 SNS 알림을 받을 수 있음

5. AWS Trusted Advisor

비용 최적화, 성능, 보안, 내결함성, 서비스 한도에 대해서 AWS 환경을 자동으로 검토하고 권장 설정을 안내하는 서비스

• 적색(즉시 대응 추천), 주황색(조사 추천), 녹색(정상), 회색(제외된 아이템)으로 구분

6. Auto Scaling

서버 사이즈를 자동으로 조절하는 서비스

 

Auto Scaling 특징

목표 추적 확장 - 리소스 기준으로 확장 특정 CloudWatch 목표 값

단계적 확장 - 일련의 리소스를 기반으로 리소스 확장 알람 위반 크기에 따라 달라지는 스케일링 조정

예약 확장 - 리소스를 반복적인 일정으로 확장

 

7. AWS Compute Optimize

AWS 리소스의 구성 및 사용 지표를 분석하는 서비스

• 과거 리소스 사용률을 참고해 알맞은 스펙을 권장하는 서비스
• 최소한의 데이터 수집 필요

8. AWS Control Tower

 

안전하고 호환성 높은 다중 계정 AWS 환경을 설정하고 제어하기 위한 서비스

 

* 랜딩존

고객이 클라우드 환경을 설정할 때 기본적으로 계정 생성을 하면 보통 아무것도 없는데, 이때 전체 보안적인 구조나 트레일 구조, 모니터링 구조, 관리 구조를 기본으로 세팅하여 구성하여 제공

 

9. AWS Organizations

여러 AWS 계정을 조직에 통합하고 중앙에서 관리할 수 있는 계정 관리 서비스

• 모든 AWS 계정의 중앙 집중식 관리
• 모든 멤버 계정에 대한 통합 결제
• 계정의 계층적 그룹화
  • 계정을 조직 단위(OU)로 그룹화
  • OU마다 다른 액세스 정책을 연결하여 서비스에 대한 액세스를 차단할 수 있음
• 서비스 제어 정책 (SCP)
  • 조직의 권한을 관리하는 정책 유형
  • 조직에 속한 계정이 관리하는 IAM 사용자 및 역할만 관리

 

10. AWS Systems Manager (SSM)

AWS의 리소스 및 온프레미스 서버의 자동 및 수동 작업 관리

• 온프레미스와 EC2 인스턴스의 패키지 업그레이드
• 설치 소프트웨어 목록 생성
• 새 애플리케이션 설치
• EBS 스냅샷을 이용한 AMI 이미지 생성
• IAM 인스턴스 프로파일 부착
• S3 버킷에 대한 퍼블릭 접근 차단

Patch Manager

인스턴스를 스캔하여 누락된 패치 보고서만 보거나, 혹은 스캔 후 누락된 패치를 모두 자동으로 설치 가능

 

11. AWS Resource Groups

많은 리소스에 대한 태스크를 한 번에 관리하고 자동화할 수 있는 서비스

 

Tag Editor

지원되는 여러 리소스에 태그 한 번에 추가 가능

* 태그 - AWS 리소스 구성을 위한 메타데이터 역할을 하는 한 쌍의 키와 값

 

 

Migration & Transfer - (8)

1. AWS Database Migration Service (DMS)

소스 데이터 스토어에서 대상 데이터 스토어로 마이그레이션하는 데 사용할 수 있는 웹 서비스

 

2. AWS Transfer Family

SFTP, FTPS, FTP 프로토콜을 사용하여 S3, EFS로 파일을 전송할 수 있게 하는 서비스

 

3. AWS Migration Hub

마이그레이션 상태 정보를 하나의 콘솔로 모아 마이그레이션 추적을 단순화하고 가속화하는 서비스

 

4. AWS Application Discovery Service

AWS Migration Hub와 통합되어 있으며 에이전트 없는 탐색과 에이전트 기반 탐색 두 가지 탐색 수행 방법을 지원

• 에이전트 없는 탐색 - 가상 머신 및 데이터베이스에 대한 정적 구성 데이터 및 활용률 데이터를 수집하는 VMware vCenter를 통해 Application Discovery Service Agentless Collector를 배포하여 수행 가능
• 에이전트 기반 탐색 - 정적 구성 데이터, 상세 시계열 시스템 성능 정보, 인바운드 및 아웃바운드 네트워크 연결 및 실행 중인 프로세스를 수집하는 각 VM 및 물리적 서버에 AWS Application Discovery Agent를 배포하여 수행 가능

5. AWS DataSync

온프레미스와 AWS 스토리지 서비스 사이에서 데이터 이동을 자동화 및 가속화하는 안전한 온라인 서비스

• SMB 혹은 NFS 프로토콜을 사용하는 온프레미스 파일을 AWS로 동기화 하려할 때 사용 가능
• 온프레미스에 AWS DataSync 에이전트를 설치하고 NFS 또는 SMB 서버에 연결시킨뒤, 에이전트를 통한 암호화를 거쳐 DataSync 서비스에 연결하면 스토리지 클래스나 AWS EFS 혹은 Amazon FSx 등 어느 위치든 통신이 가능

 

 

Networking & Content Delivery - (14)

1. AWS VPN

온프레미스 네트워크, 클라이언트 및 ASW 글로벌 네트워크 사이에서 보안 연결 설정 서비스

 

1) Site-to-Site VPN

• 구성 요소 : AWS 측 게이트웨이(Transit or VGW), VPN 연결, 고객 게이트웨이

2) Client VPN

• AWS 리소스 및 온프레미스 네트워크의 리소스에 안전하게 액세스할 수 있도록 하는 관리형 클라이언트 기반 VPN 서비스

2. AWS Global Accelerator

AWS의 글로벌 네트워크 인프라를 통해 사용자 트래픽을 전송하여 인터넷 사용자 성능을 최대 60% 개선하는 네트워킹 서비스

• 사용자와 가장 가까운 위치의 사용 가능한 정상 엔드포인트로 트래픽을 자동으로 라우팅하여 접속 속도 개선
• 즉각적인 장애 조치

3. AWS Direct Connect

온프레미스에서 AWS로 전용 네트워크 연결을 쉽게 설정할 수 있는 클라우드 서비스

 

연결(Connections) - 사내의 라우터와 Direct Connect 까지의 전용성 (물리적 연결)

가상 인터페이스(VIF) - AWS 서비스에 액세스하기 위해 필요한 인터페이스 (논리적 연결)

 

4. Amazon CloudFront

HTML, CSS, JS 및 이미지 파일과 같은 정적 및 동적 웹 콘텐츠를 사용자에게 더 빨리 배포하도록 지원하는 웹 서비스

 

• 지연 시간이 가장 낮은 엣지 로케이션으로 요청이 라우팅

S3 Origin Access Identity (OAI)

• 사용자가 S3에서 개체에 직접 액세스하는 것을 방지
• S3 오리진 객체는 공개 읽기 권한을 부여받아야 하므로 객체는 S3와 CloudFront에서 모두 접근 가능

5. Route53

가용성과 확장성이 뛰어난 DNS(도메인 이름 시스템) 웹 서비스

• 도메인 등록
• DNS (Domain Name Service) 서비스
  • www.example.com과 같은 도메인 이름을 192.168.10.10과 같은 IP 주소로 변환
  • 인터넷 트래픽을 CloudFront, Elastic Beanstalk, ELB 또는 S3로 라우팅할 수 있음
• 상태 점검
  • 웹 및 메일 서버와 같은 리소스의 상태를 모니터링 할 수 있음
  • 인터넷을 통해 자동화된 요청을 응용프로그램으로 보냄
  • 리소스를 사용할 수 없을 때 상태 점검에 대해 CloudWatch 경보 구성 가능

 

Route53 라우팅 정책

• 단순 라우팅 정책 - 도메인에 대해 특정 기능을 수행하는 하나의 리소스만 있는 경우
• 장애 조치라우팅 정책 - 액티브-패시브 장애 조치를 구성하려는 경우에 사용
• 지리 위치 라우팅 정책 - 사용자의 위치에 기반하여 트래픽을 라우팅하려는 경우에 사용
• 지연 시간 라우팅 정책 - 여러 AWS 리전에 리소스가 있고 왕복 시간이 적은 최상의 지연 시간을 제공하는 리전으로 트래픽을 라우팅하려는 경우에 사용
• 다중 응답 라우팅 정책 - Route 53이 DNS 쿼리에 무작위로 선택된 최대 8개의 정상 레코드로 응답하게 하려는 경우에 사용
• 가중치 기반 라우팅 정책 - 사용자가 지정하는 비율에 따라 여러 리소스로 트래픽을 라우팅하려는 경우에 사용

Route53 호스트 영역

• 레코드 컨테이너로, 도메인 및 모든 하위 도메인에 대한 트래픽 라우팅 방법에 대한 정보 포함
• 개인 호스트 영역이 겹치는 경우, Route53 Resolver는 트래픽을 가장 구체적인 일치 항목으로 라우팅

 

 

Robotics - (1)

1. AWS RoboMaker (ROS)

지능형 로보틱스 애플리케이션을 대규모로 쉽게 개발, 테스트 및 배포할 수 있는 서비스

• ROS(로봇 운영 체제)를 클라우드 서비스에 결합하여 확장
• AWS 기계 학습 서비스, 모니터링 서비스 및 분석 서비스 포함

ROS 프록시

• RDS에서 자주 사용하지 않는 연결을 공유
• 장애 조치를 통한 고가용성 확보

 

 

Security, Identity & Compliance - (23)

1. Amazon GuardDuty

데이터 원본인 CloutTrail 관리 이벤트 로그, CloudTrail S3 데이터 이벤트 로그, DNS 로그, EKS 감사 로그 및 VPC 흐름 로그를 분석하고 처리해 보안 위협을 식별하는 보안 모니터링 서비스

• 리전 단위
• 악성 IP 주소 및 도메인 목록 등 머신러닝을 적용하여 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냄

2. AWS Audit Manager

주어진 규정 준수 표준 또는 규정에 대한 평가를 구조화하고 자동화하는 사전 구축된 프레임워크 제공

• 정책, 절차 및 활동이 효과적으로 작동하는지 쉽게 평가 가능

3. Amazon Macie

기계 학습 및 패턴 일치를 사용하여 AWS 환경에서 민감한 데이터를 검색, 모니터링 및 보호하는 완전 관리형 데이터 보안 및 개인 정보 보호 서비스

• S3에서 직접 버킷과 객체에 대해 민감한 데이터에 관한 검색 진행

4. Amazon Cognito

웹 및 모바일 앱에 대한 인증과 권한 부여 그리고 사용자 관리를 제공

• 개발자는 로그인/회원가입에 드는 노력을 줄일 수 있음
• 운영자는 데이터 보관에 대해 신경을 쓸 필요가 없음
• 로그인 시 S3, DynamoDB 등 다양한 AWS 서비스에 액세스 가능

Cognito 사용자 풀

사용자 프로필을 저장 및 관리하고 사용자 등록, 로그인 및 액세스 제어를 처리할 수 있는 안전하고 확장 가능한 사용자 디렉토리 제공

 

5. AWS Secrets Manager

자체 인프라 운영에 대한 선행 투자 및 지속적인 유지 관리 비용 없이 애플리케이션, 서비스 및 IT 리소스에 대한 액세스 보호

• 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 비밀을 쉽게 교체, 관리 및 검색 가능
• AWS KMS를 사용하여 관리되는 암호화 키로 시크릿을 암호화

* Secrets Manager 리전 간 복제 기능

• 암호에 대한 리전 읽기 복제본 생성 가능
• 새 암호를 생성하거나 기존 암호를 편집할 때 암호를 복제해야 하는 리전 지정 가능

Secrets Manager 특징

• KMS를 사용하여 비밀 보안 및 관리 가능
• IAM 정책을 사용하여 세분화된 액세스 제어 가능
• 암호 자동 교체를 지원하므로 사용자 지정 교체 일정을 설정하고 AWS Lambda와 통합하여 사용자 지정 교체 기능 생성
• AWS CloudTrail과 통합하여 보안에 대한 액세스를 모니터링하고 기록 가능

1) 보안 암호 유형

• RDS or Aurora 데이터베이스
• DocumentDB 데이터베이스
• Redshift 클러스터

2) 자격 증명 - 데이텁이스에 대한 자격 증명 입력

3) 암호화 키 - AWS KMS key 선택

 

6. Amazon Inspector

ECR에 있는 EC2 인스턴스와 컨테이너 이미지를 자동으로 검색하여 취약성과 의도하지 않은 네트워크 노출이 있는지 검사

• 스캔을 수행하려면 EC2 인스턴스에 에이전트를 설치해야함

7. AWS Identity and Access Management

 

MFA

서비스에 액세스 할 때 최소 2가지 이상의 인증을 받게 하는 액세스 제어 방식

 

8. AWS IAM Identity Center

AWS SSO(Single Sign-On)의 후속 서비스로 한 번의 로그인으로 통합 서비스 이용 가능

요구 사항

• AWS Organization의 모든 기능 활성화
• AWS Organization Root계정의 AdministratorAccess 권한이 있는 IAM 계정에서만 SSO 활성화 가능

 

9. AWS Shiled

AWS에서 실행 중인 애플리케이션을 보호하는 DDoS 보호 서비스

 

AWS Shield Advanced

Amazon EC2 인스턴스, 로드 밸런서, CloudFront 배포, Route 53 호스팅 영역 및 AWS Global Accelerator에 대한 확장된 DDoS 공격 보호 기능 제공

 

10. AWS WAF

보호되는 웹 애플리케이션 리소스로 전달되는 HTTP 및 HTTPS 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽

• Amazon CloudFront 배포
• Amazon API 게이트웨이 REST API
• 애플리케이션 로드 밸런서
• Amazon Cognito 사용자 풀
• AWS 앱 러너 서비스
• AWS 인증 액세스 인스턴스

 

11. AWS Directory Service

AWS의 다양한 리소스들에 AD를 쉽게 연동할 수 있다.

• AWS Managed Microsoft AD
• AD Connector
• Simple AD

 

 

Serverless - (10)

 

1. Amazon API Gateway

모든 규모의 REST, HTTP 및 WebSocket API 생성, 게시, 유지 관리, 모니터링 및 보호하기 위한 서비스

• 상태 저장(WebSocket) 및 상태 비저장(HTTP 및 REST) API 지원
• CloutTrail은 API 변경 사항을 로깅하고 모니터링
• 경보 설정 기능을 포함한 CloudWatch 액세스 로깅 및 실행 로깅
• AWS CloudFormation 템플릿을 사용하여 API 생성 활성화 기능
• 사용자 정의 도메인 이름 지원
• 일반적인 웹 공격으로부터 API 보호를 위해 WAF와 통합
• 성능 지연 시간을 이해하고 분류하기 위해 AWS X-Ray와 통합

2. Amazon EventBridge

AWS 서비스 분만 아니라 Saas 서비스, 개인 어플리케이션에서 보내는 이벤트를 받아 원하는 SNS나 lambda와 같은 타겟으로 보내주는 서비스

 

3. AWS Step Functions

AWS의 여러 컴퓨팅 자원들의 수행 순서를 설정할 수 있는 서비스

 

4. AWS Lambda

서버를 프로비저닝하거나 관리하지 않고 코드를 실행할 수 있는 서비스

 

* Lambda SnapStart

함수 실행 속도 및 성능 가속화 기능

 

* 동시성 제어

1) 예약 동시성 → 요금 X

• 함수에 대한 최대 동시 인스턴스 보장
• 한 함수가 동시성을 예약하면 다른 함수는 해당 동시성 사용 불가

2) 프로비저닝 동시성 → 요금 O

• 함수의 호출에 즉시 응답할 준비가 되도록 요청된 수의 실행 환경 초기화

 

Storage - (9)

1. Amazon S3

최고의 확장성과 데이터 가용성 및 보안과 성능을 제공하는 온라인 오브젝트 스토리지 서비스

S3 구성 시, 버킷(Bucket)을 위치시킬 리전을 선택하고, 해당 버킷에 객체 형태로 데이터 스토리지를 구축

• 객체 – 데이터와 메타데이터를 구성하고 있는 저장 단위
• 버킷 – 객체를 저장하고 관리하는 역할

S3 티어

1. Standard-IA – 자주 접근되지는 않으나 빠른 접근이 요구되는 파일이 많을시 유용
2. One Zone IA – 하나의 AZ에만 데이터 저장
3. Intelligent Tiering – 자동으로 파일의 티어 변경 서비스
4. Glacier – 거의 접근하지 않을 데이터 저장 시 유용(빙하 데이터)

S3 권한

1) 퍼블릭 액세스 차단 (Block Public Access)

• 퍼블릭 액세스 차단 설정 : 버킷 및 해당 콘텐츠에 대한 모든 퍼블릭 액세스 차단. 재정의 불가능
• 새 퍼블릭 ACL을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단
• 새로운 퍼블릭 버킷 정책을 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단
• 퍼블릭 액세스가 있는 액세스 포인트를 통해 부여된 버킷 및 객체에 대한 퍼블릭 액세스 차단

2) 버킷 정책 (Bucket Policy) – AWS 계정, IAM 사용자 및 역할과 익명 액세스에 대한 권한 정의

• 버킷을 소유한 동일한 AWS 계정이 소유한 객체에만 적용

3) 객체 소유권 (Object Ownership)

4) ACL (액세스 제어 목록)

5) CORS (Cross-origin 리소스 공유)

 

S3 Transfer Acceleration

클라이언트와 S3 버킷 간의 장거리 파일 전송을 빠르고 쉽고 안전하게 전송할 수 있는 버킷 수준 기능

 

S3 객체 잠금

버킷에 있는 객체의 우발적 또는 악의적 삭제 또는 수정에 대한 추가 보호 계층을 제공하는 기능

• 거버넌스 모드 - 30일, 60일과 같은 특정 기간 동안 객체를 잠글 수 있음
• 규정 준수 모드 - 객체가 무기한 잠기며 버킷 소유자를 포함하여 누구도 삭제하거나 수정할 수 없다.

 

2. Amazon EFS

AWS 클라우드 서비스와 온프레미스 리소스에서 사용할 수 있는 간단하고 확장 가능하며 탄력적인 파일 스토리지를 제공하는 서비스

• 온프레미스 환경의 NFS, NAS 폴더와 비슷한 서비스
• 두 개 이상의 EC2로부터 하나의 공유된 스토리지 공간이 필요할 때 사용

 

3. Amazon EBS

EC2에 사용할 영구 블록 스토리지 볼륨을 제공하는 서비스

• 워크로드 실행에 필요한 지연시간이 짧고 일관된 성능 제공
• 프로비저닝한 부분에 대해서만 저렴한 비용 지불
• EBS 볼륨을 암호화하면 볼륨 내의 저장된 데이터가 암호화

 

4. Amazon FSx

 

완전 관리형 서비스로, S3, EFS 가 아닌 다른 파일 시스템을 사용하고 싶을 때 사용

 

1) FSx for Windows File Server

• 윈도우 서버에서는 EFS를 사용X -> 윈도우용 FSx를 사용하여 SMB, FTFS 프로토콜을 지원

2) FSx for Lustre

• Linux와 클러스터에서 이름을 따옴
• 대규모 컴퓨팅을 위한 병령 분산 파일 시스템
• FSx로 S3를 파일 시스템처럼 읽기 가능

3) FSx for NetApp ONTAP

• NFX, SMB, iSCSI 프로토콜과 호환
• 온프레미스 시스템의 ONTAP이나 NAS에서 실행 중인 워크로드를 AWS로 이동 가능
• AWS 리전 내의 여러 가용성 영역게 걸쳐 있는 파일 시스템 배치 가능

4) FSx for OpenZFS

• NFS 프로토콜과 호환이 가능
• 주로 ZFS에서 실행되는 워크로드를 내부적으로 AWS로 옮길 때 사용

 

5. AWS Backup

클라우드 및 온프레미스에서 데이터 보호를 쉽게 중앙 집중화하고 자동화할 수 있는 완전 관리형 AWS 서비스

• 백업 정책을 중앙에서 구성하고, EBS, RDS, DynamoDB, EFS와 같은 AWS 리소스 백업 활동 모니터링 가능

 

6. AWS Storage Gateway

온프레미스 데이터와 S3의 클라우드 연결을 제공

온프레미스 데이터를 EBS 또는 S3나 Glacier로 가져옴

 

* 하이브리드 클라우드

하이브리드 클라우드 → 클라우드 + 온프레미스 방식

사용 이유 : 클라우드 상에서 시간이 오래 걸리는 마이그레이션, 보안 요건 준수, 탄력있는 워크로드 클라우드를 사용하기 위함

• 데이터 백업 및 복원
• 온프레미스 파일 공유
• 클라우드 기반 개발 및 테스트 환경 구축

사용 사례

• 재해 복구
• 백업 및 복원
• 계층형 스토리지
• 온프레미스 캐시 및 대기 시간이 짧은 파일 액세스

 

Storage Gateway 유형

파일 게이트웨이 - 파일 기반의 스토리지 프로토콜(NFS, SMB)를 통해 S3 액세스 제공

볼륨 게이트웨이 - iSCSI 프로토콜을 사용하여 블록 레벨의 스토리지 제공

테이프 게이트웨이 - 가상 테이프 라이브러리를 제공하여 온프레미스 애플리케이션에서 가상 테이프 백업 수행 가능

 

7. AWS Snow Family

네트워크에 대한 의존 없이 대량 데이터를 클라우드 안팎으로 마이그레이션 할 수 있도록 재원하는 물리적 디바이스 모음

 

1)Snowcone

• 패밀리 엣지 컴퓨팅 및 데이터 전송 디바이스 중 가장 작은 제품

2) Snowball Edge

• 여행 가방 크기의 데이터 마이그레이션 및 엣지 컴퓨팅 디바이스

3) Snowmobile

• 견인 트레일러로 옮길 수 있는 선적 컨테이너
• 데이터 마이그레이션, 재해 복구, 데이터 센터 종료 및 원격 데이터 수집 프로젝트 지원

8. AWS Fargate

별도의 인스턴스를 생성, 관리하지 않고, 완전한 서비스 형태로 도커 컨테이너를 실행시킬 수 있는 컨테이너 서비스

•