AWS SAA 자격증 준비.1

Amazon FSx
Amazon FSx는 SMB(service message block)프로토콜을 통해서 파일을 엑세스 할 수 있는 안정적인 완전 관리형 파일 스토리지이다. 기본적으로 Amazone FSx는 Microsoft Active Directory와 함께 작동하며, 기존에 사용하고 있던 windows환경과 통합된다. 인증 및 엑세스 제어를 위한 옵션은 aws관리형 MAD와 자체 관리형 MAD가 있다.

원도우 서버에 구축되어 있으며, 주요 기능으로는 할당량, 파일 복원, Microsoft Active Directory(AD)통합, windows, linux, macos컴퓨팅 인스턴스와 장비에 엑세스할 수 있다.

파일 시스템에 Active Directory구성을 만든 이 후 에는 해당 구성을 변경할 수 없다. 그렇기에 수정을 위해서는 새로운 Active Directory구성를 만들고 파일 자체를 변경해 주면 된다. 이런 방법을 통해서 도메인의 사용자는 기존 자격 증명을 활용해 FSx파일 시스템에 대한 접근제어를 할 수 있다.

A라는 회사에서 온프레미스 환경(사내에서 물리적으로 구축한 환경)을 AWS로 마이그레이션(cloud화)한다고 가정해 보자. 이때 A회사는 windows를 통해서 공유 파일 저장소를 사용하고 있다. 가용성이 높으며, 보안을 위해 엑세스 제어 및 인증을 위해 AD와 통합될 수 있는 스토리지 솔루션을 구축해야한다. 이때 windows 파일 서버용 Amazon FSx를 통해 파일 시스템을 생성하고, AWS 의 AD 도메인에 연결하면 된다.

B라는 회사가 IAM(Identity Access Management, ID 연합 및 역할 기반 엑세스 제어)와 AD그룹을 사용하고 있는데, 개발자에게 AWS 콘솔에 대한 엑세스를 제공하고 싶다고 한다. 이때는 AWS Directory Service AD Connector 라는 기능과 함께 IAM 역할을 사용하면 가능하다.

AWS AD FS(Active Directory Federation Service)를 활용하여 SAML 2.0 기반 연합 설정을 할 수 도 있다.

AWS DynamoDB and ElasticCache
세션 상태에서 데이터를 저장할 수 있으며, 고가용성 웹 애플리케이션을 구축하는데 사용가능한 키-값 쌍의 고성능 스토리지를 의미한다. 람다와 통합되어서 스트림 이벤트에 자동으로 등답하는 트리거를 생성할 수 있다.
DynamoDB 스트림은 테이블의 항목 변경사항에 대한 정보의 순서화된 흐름을 의미한다. 스트림을 활성화 하게 되면 DynamoDB는 테이블의 데이터 항목에 대한 모든 수정사항에 대한 정보를 켑쳐하게 된다.

AWS WAF
AWS WAF는 CloudFront, ALB, API G/W, AppSync 와 같은 서비스와 긴밀하게 통합되어 사용하는 서비스이다.
CloudFront에서 WAF를 사용하게 된다면, 전 세계에서 최종 사용자와 가까운 모든 AWS Edge로케이션 에서 규칙이 실행이된다. 즉 보안이 성능을 희생시키지 않는다 라는 의미이다. 차단된 요청은 웹 서버에 도달하기전에 중지가 된다. ALB, API G/W, AppSync 와 같은 서비스들이 같은 리전(지역)에서 WAF를 사용할 경우에는 이때 설정된 규칙이 리전에 실행되고, 인터넷 연결 리소스와 내부 리소스를 보호하는데 사용할 수 있게 된다.

외부에서 ip를 변경하여 지속적으로 서버에 접근하여 공격을 하여 성능이 하락될 경우에는, WAF에서 비율(접근속도 기반) 기반 규칙을 생성한 후 웹ACL을 ALB에 연결을 하게 된다면 문제를 해결할 수 있게 된다.

AWS CloudFront
서명된 URL과 서명된 쿠키는 동일한 기본 기능을 제공한다. 이것을 바탕으로 하여 작성한 컨텐츠에 접근할(엑세스)사람들을 제어할 수 있게 된다.

URL을 사용할 경우
RTMP 배포를 사용할때(RTMP은 쿠키지원X)
개별 파일에 대한 엑세스 제한(에플리케이션 다운로드-ex 네이버 마이박스)
사용자가 쿠키를 사용할 수 없을때(사용자 지정 http 클라이언트)
쿠키를 사용할 경우
HLS 형식의 비디오에 대한 파일 또는 웹사이트 구족자 영역에 있는 파일과 같이 제한된 여러 파일에 대한 엑세스 제공(유료 구독자에게만 제공 ==> 유투브 맴버십)
현재 URL을 변경하고 싶지 않을 경우.

AWS API G/W
AWS API G/W는 전역 및 서비스 호출을 포함한 여러 수준에서 조절을 제공하는 서비스 이다. 스로틀 제한과 같은 표준 속도 및 버스트에 대한 설정을 할 수 있다.
초당 요청수를 추적하며, 이때 제한시간을 초과하는 모든 요청은 429 HTTP응답을 받게된다.API G/W에서 생성된 클라이언트 SDK는 이 응답을 받으면 자동으로 호출을 재시도한다.
외부에서 트레픽이 급증될 것으로 예상되는 경우(신제품 발표로 인해 사용자 수 증가 와 같은 경우)에는 API Gateway에서 조절 제한을 사용하여 트레픽 급증으로부터 벡엔드 시스템과 에플리케이션을 보호할 수 있게 된다. 또한 이때 RDS(관계형 데이터베이스 솔루션)를 통해 웹 에플리케이션 데이터를 저장하고 있을 경우, API Gateway를 사용해 API를 생성하고, AWS Lambda를 활용해 트래픽 버스트를 몇 초안에 처리할 수 도 있다.

AWS RDS
관계형 데이터베이스 솔루션이다.
다중 AZ 장애 조치를 활성화하게 된다면, RDS가 자동으로 기본 DB인스턴스를 생성하고, 다른 AZ의 대기 인스턴스에 데이터를 동기식으로 복제할 수 있다. 또한 각 AZ는 물리적으로 구별되는 자체 독립 인프라에서 실행되며, 매우 안정적으로 설계되어있다. 보통 인프라 장애가 발생할 경우 사용할 수 있다.
DB의 스넵샷을 만들면 DB를 백업할 수 있다.
DB의 인스턴스 크기를 늘리면 PC의 용량을 업그레이드 하게 된다.
읽기전용 복제본을 만들게 되면 DB에 대한 워크로드의 성능이 향상된다.

AWS S3
데이터를 버켓 내에 객체로 저장하는 저장소이다. 개체는 파일 및 파일을 설명하는 선택적 메타데이터이다. 파일을 저장하기 위해 버켓으로 업로드한다. 파일을 개체로 업로드할 때 개체 및 모든 메타데이터에 대한 권한을 설정할 수 있다.
cloudwatch이벤트 규칙을 설정하여 s3 객체 put 작업을 감지하여, 대상의 작업수가 증가한 ecs클러스터로 설정하며, s3 elete작업을 감지하는 규칙을 생성, 작업수를 1로 줄이게 되면 최소한 구현을 할 수 있다.
또한 S3에 저장된-규정 준수 표준을 충족하는 방식으로 PII,PHI 혹은 IP와 같은 파일- 이 손상될 경우 경고를 받기 위해서는 S3 데이터의 사용페턴을 모니터링하고 감지하도록 Amazon Macie를 설정하고 구성해야한다.

실수로 내용을 삭제하는것을 방지하기 위해서는 2가지 방법을 사용할 수 있다.
버전 관리 활성화
동일한 버켓에 객체의 여러 변형을 유지하는 수단을 의미한다. 다른이름으로 저장과 유사하다고 이해할 수 있다. 이것을 사용하면 모든 버전을 보관할 수 있으며 검색 및 복원 기능을 사용할 수 있다.
MFA(multi-factor authentication, 다단계 인증 삭제)삭제 활성화
이때는 추가인증을 해야하는데 버킷의 버전 관리 상태 변경, 혹은 객체 버전을 영구히 삭제. 라는 기능을 활용할 수 있다.

AWS Lambda
서버리스기능을 활용하고 있다. 특별히 서버를 프로비저닝 하거나, 관리하지 않아도 코드를 실행할 수 있으며, 사용한 만큼만 비용을 지불하면 된다. 어지간한 유형의 app이나 벡엔드 서비스에 대한 코드를 실행할 수 있으며, 관리가 필요없다는 장점이 있다. 코드를 업로드 하기만 하면 lambda에서 고가용성으로 코드를 실행하고, 확장하는데 필요한 모든 기능을 활용한다.

AWS VPC
EndPoint를 활용하게 되면 IGW, NAT PC, VPNB 연결 또는 AWS DC연결 없이 VPC를 AWS privateLink에 제공하는 지원되는 AWS 및 VPC의 엔드포인트 서버리스에 비공개로 연결할 수 있게 된다. 보안을 위해서 EC2 인스턴스가 퍼블릭 인터넷을 통과하지 않는 프라이빗 엔드포인트에게 접근하기 위해서는, VPC 엔트포인트를 활용해 프라이빗 엔드포인트를 통해 S3및 DynamoDB에 대한 모든 엑세스를 라우팅하게 된다면 접근이 가능하게 된다.

Amazon MQ
기존 어플리케이션에서 메세징 기능을 활용중이고, 이 서비스를 클라우드로 빠르고 쉽게 이동하려는 경우 이 기능을 활용하면 좋다. 업계 표준 API를 지원하므로 에플리케이션에서 메시징 코드를 다시 작성하지 않고서도 표준 기반 메시지 브로커에서 MQ로 전환할 수 있다.

router 53
도메인 트레픽을 elb 로드벨런서로 라우팅 하려면, router53을 활용하여 로드벨런서를 가리키는 별칭 레코드를 생성해야한다. dns에 대한 router53확장을 의미한다. 기본적으로 A유형의 레코드 집합이 있는 별칭을 사용하며 하위도메인에 대해서만 별칭을 줄려면 CNAME 레코드를 생성하면 되며, IPv6의 경우, AAAA유형의 레코드 집합을 생성하면 된다.