Amazon Inspector는 지속적으로 스캔하는 취약성 관리 서비스입니다.AWS취약성을 위한 워크로드 Amazon Inspector는 Amazon ECR (Amazon 엘라스틱 컨테이너 레지스트리) 에 있는 Amazon EC2 인스턴스와 컨테이너 이미지를 자동으로 검색하여 소프트웨어 취약성과 의도하지 않은 네트워크 노출이 있는지 검사합니다.
Amazon Inspector는 소프트웨어 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스입니다.
aws macie
Amazon Macie는 완전관리형 데이터 보안 및 데이터 프라이버시 서비스로서, 기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호합니다.
Amazon GuardDuty 다음을 분석하고 처리하는 지속적 보안 모니터링 서비스입니다.데이터 원본: VPC 흐름 로그AWS CloudTrail관리 이벤트 로그, CloudTrail S3 데이터 이벤트 로그 및 DNS 로그 악성 IP 주소 및 도메인 목록 등 위협 인텔리전스 피드를 바탕으로 Machine Learning을 적용하여 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 찾아냅니다.AWS환경. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용 또는 악의적인 IP 주소 또는 도메인과 통신 등과 같은 문제가 포함될 수 있습니다. 예를 들어, GuardDuty 맬웨어에 서비스를 제공하거나 비트코인을 채굴하는 손상된 EC2 인스턴스를 또한 모니터링합니다.AWS한 번도 사용한 적이 없는 리전에 배포된 인스턴스 등 허가되지 않은 인프라 배포나 암호 강도를 다소 낮추는 암호 정책 등 비정상적인 API 호출과 같이 손상의 징후가 보이는지도 보여줍니다.
target tracking
대상 추적 조정 정책을 사용하는 경우 조정 지표를 선택하고 목푯값을 설정합니다. Amazon EC2 Auto Scaling은 조정 정책을 트리거하는 CloudWatch 경보를 생성 및 관리하고 지표와 대상 값을 기준으로 조정 조절을 계산합니다. 조정 정책은 필요에 따라 용량을 추가하거나 제거하여 지표를 지정한 목푯값으로, 혹은 목푯값에 가깝게 유지합니다. 대상 추적 조정 정책은 지표를 목푯값에 가깝게 유지하는 것 외에도 로드 패턴 변화로 인한 지표의 변화에 따라 조정되기도 합니다.
AWS Backup은 (는) 전반에 걸친 데이터 보호를 쉽게 중앙 집중화하고 자동화할 수 있는 종합 관리형 서비스입니다.AWS서비스, 클라우드 및 온프레미스 이 서비스를 사용하여 백업 정책을 구성하고 AWS 리소스에 대한 활동을 한 곳에서 모니터링할 수 있습니다. 이를 통해 이전에 수행된 백업 작업을 자동화하고 통합할 수 있습니다.service-by-service를 사용하면 사용자 지정 스크립트와 수동 프로세스를 만들 필요가 없습니다. 몇 번의 클릭만으로AWS Backup콘솔을 사용하면 데이터 보호 정책 및 일정을 자동화할 수 있습니다.
SNS vs SQS
Read replica vs multi az
다중 AZ 배포에는 한 AZ에 마스터 데이터베이스가 있고 다른 AZ에 대기 (또는 보조 ) 데이터베이스가 있습니다. 마스터 데이터베이스만 트래픽을 제공합니다. 마스터가 실패하면 Secondary가 인계받습니다.
읽기 전용 복제본 은 데이터베이스의 읽기 전용 복사본입니다 . 활발하게 실행 중이며 앱에서 읽기 전용 쿼리에 사용할 수 있습니다. 읽기 전용 복제본은 다른 AZ 또는 다른 리전에 있을 수 있습니다.
DynamoDB
강력한 일관된 읽기(Strongly Consistent Read)
강력히 일관된 읽기를 요청하면 DynamoDB는 성공한 모든 이전 쓰기 작업의 업데이트가 반영된 최신 데이터를 포함하는 응답을 반환합니다. 하지만 이러한 일관성은 다음과 같은 몇 가지 단점을 수반합니다.
- 강력한 일관된 읽기(strongly consistent read)는 네트워크 지연 또는 중단이 발생한 경우에 사용이 어려울 수 있습니다. 이 경우 DynamoDB는 서버 오류(HTTP 500)를 반환할 수도 있습니다.
- 강력한 일관된 읽기는 최종적 일관된 읽기보다 지연 시간이 더 길 수도 있습니다.
- 글로벌 보조 인덱스에서는 강력히 일관된 읽기가 지원되지 않습니다.
- 강력한 일관된 읽기는 최종적 일관된 읽기보다 처리 용량을 더 많이 사용합니다.
DynamoDB TTL
https://docs.aws.amazon.com/ko_kr/amazondynamodb/latest/developerguide/TTL.html
예약 인스턴스 결제 옵션(reserved instance)
표준 또는 컨버터블 예약 인스턴스 구매 시 3개의 결제 옵션 중 하나를 선택할 수 있습니다. 전체 선결제 옵션을 선택하면 전체 예약 인스턴스 약정 기간에 대한 비용을 한 번에 선결제하게 됩니다. 이 옵션은 온디맨드 인스턴스 요금에 비해 할인률이 가장 높습니다. 부분 선결제 옵션을 선택하면 소량의 선결제 금액을 지불한 다음 예약 인스턴스의 계약 기간 내에 인스턴스에 대해 할인된 시간당 요금을 지불하게 됩니다. 선결제 없음 옵션을 선택하면 선결제 금액이 없으며 계약 기간 내에 할인된 시간당 요금을 지불하게 됩니다.
managed CMK, client managed CMK
storage gateway vs datasync
https://www.linkedin.com/pulse/aws-storage-gateway-vs-datasync-service-when-use-which-sandeep-bhatia
rds for mysql VS Aurora Mysql
S3 cross-orgin replication
교차 리전 복제를 사용하면 S3 버킷에 업로드된 모든 객체가 선택한 다른 AWS 리전의 대상 버킷에 자동으로 복제됩니다. 예를 들어 교차 리전 복제를 사용하여 다른 지리적 리전에서 지연 시간이 짧은 데이터 액세스를 제공할 수 있습니다. 지역 간 복제는 수백 마일 떨어진 데이터 복사본을 저장해야 하는 규정 준수 요구 사항이 있는 경우에도 도움이 될 수 있습니다. 교차 리전 복제 사용에 대한 추가 비용은 없습니다. 복제된 데이터 사본에 대한 스토리지, 요청 및 리전 간 데이터 전송에 대해 Amazon S3의 일반적인 요금을 지불합니다.
CORS(Cross-Origin Resource Sharing)
CORS(Cross-origin 리소스 공유)는 최신 웹 브라우저의 보안 기능입니다. 이 기능을 사용하면 웹 브라우저가 어떤 도메인이 외부 웹 사이트 또는 서비스를 요청할 수 있을지 협상할 수 있습니다. 대부분의 리소스 요청이 외부 도메인(예: 웹 서비스용 엔드포인트)으로 전송되기 때문에 AWS SDK for JavaScript를 사용해 브라우저 애플리케이션을 개발하는 경우 CORS는 중요한 고려 대상입니다. JavaScript 환경에서 CORS 보안을 적용하는 경우 이 서비스와 함께 CORS를 구성해야 합니다.
https://docs.aws.amazon.com/ko_kr/sdk-for-javascript/v2/developer-guide/cors.html
배치그룹
Elastic Fabric Adapter(EFA)는 Amazon EC2 인스턴스에 연결하여 고성능 컴퓨팅(HPC) 및 기계 학습 애플리케이션의 속도를 높일 수 있는 네트워크 디바이스입니다. EFA를 사용하면 AWS 클라우드가 제공하는 확장성, 유연성 및 탄력성으로 온프레미스 HPC 클러스터의 애플리케이션 성능을 달성할 수 있습니다.
Amazon Aurora Global Database는 여러 AWS 리전에 걸쳐 있으므로 대기 시간이 짧은 글로벌 읽기를 지원하며, 전체 AWS 리전에 영향을 미칠 수 있는 드물게 발생하는 중단을 신속하게 복구할 수 있습니다. Aurora 전역 데이터베이스는 하나의 리전에 기본 DB 클러스터를, 그리고 하나 이상의 다른 리전에 최대 5개의 보조 DB 클러스터를 포함합니다.
AWS Trusted Advisor는 AWS 모범 사례를 따르는 데 도움이 되는 권장 사항을 제공합니다. Trusted Advisor는 검사를 사용하여 계정을 평가합니다. 이러한 검사는 AWS 인프라를 최적화하고 보안 및 성능을 개선하며 비용을 절감하고 서비스 할당량을 모니터링할 방법을 식별합니다. 사용자는 검사 권장 사항에 따라 서비스 및 리소스를 최적화할 수 있습니다.
AWS Config는 AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여 줍니다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다.
https://www.geeksforgeeks.org/difference-between-security-group-and-network-acl-in-aws/
DynamoDB Streams는 DynamoDB 테이블에서 시간 순서에 따라 항목 수준 수정을 캡처하고 이 정보를 최대 24시간 동안 로그에 저장합니다. 로그와 데이터 항목은 변경 전후 거의 실시간으로 나타나므로 애플리케이션에서 이러한 로그와 데이터에 액세스할 수 있습니다.
- CloudFront는 동적으로 변경되는 여러 IP 주소 세트를 사용하는 반면 Global Accelerator는 고정 IP 주소 세트를 애플리케이션에 대한 고정 진입점으로 제공합니다.
- CloudFront 요금은 주로 데이터 전송 및 HTTP 요청을 기반으로 하는 반면 Global Accelerator는 고정 시간당 요금과 표준 데이터 전송 요금(DT-Premium)이라고도 하는 증분 요금을 부과합니다.
- CloudFront는 엣지 로케이션을 사용하여 콘텐츠를 캐시하는 반면 Global Accelerator는 엣지 로케이션을 사용하여 가장 가까운 리전 엔드포인트로 가는 최적의 경로를 찾습니다.
- CloudFront는 HTTP 프로토콜을 처리하도록 설계되었으며 Global Accelerator는 HTTP 및 TCP 및 UDP와 같은 HTTP가 아닌 프로토콜 모두에 가장 잘 사용됩니다.
route53 geolocation vs geoproximity
지리적 위치 라우팅 정책(geolocation – 사용자 위치를 기반으로 트래픽을 라우팅하려는 경우 사용합니다. 지리 근접 라우팅 정책 – 리소스의 위치를 기반으로 트래픽을 라우팅하고 선택적으로 한 위치의 리소스에서 다른 위치의 리소스로 트래픽을 이동하려는 경우 사용
지리적 위치는 DNS 쿼리 및 레코드 설정의 위치를 기반으로 사용자를 리소스로 라우팅합니다. 따라서 사용자의 위치에 따라 특정 리소스로 라우팅(또는 제한)할 수 있습니다.
예를 들어, 영국 런던에 웹 서버가 있고 독일 프랑크푸르트에 다른 서버가 있습니다. 런던과 가까운 프랑스 릴에 유저가 있습니다. 유럽 본토의 사용자가 프랑크푸르트 웹서버로 이동하도록 지시하는 레코드를 생성할 수 있습니다. 따라서 Lille의 사용자는 프랑크푸르트로 연결됩니다.
지리 근접성은 리소스에 부여한 편향을 기반으로 리소스에 영향 영역을 할당하여 사용자가 어떤 리소스로 이동할지 결정하는 것으로 생각할 수 있습니다.
예제를 사용하여 더 큰 기반을 프랑크푸르트에 할당할 수 있습니다. 즉, Lille의 사용자는 런던을 통해 해당 리소스로 라우팅됩니다. 동일한 결과를 달성하지만 다른 메커니즘을 사용합니다.
Amazon EventBridge
EventBridge는 애플리케이션을 다양한 소스의 데이터와 연결하는 데 사용할 수 있는 서버리스 이벤트 버스 서비스입니다. EventBridge는 애플리케이션, 서비스형 소프트웨어 (SaaS) 애플리케이션 및 서비스의 실시간 데이터 스트림을 제공한 다음AWS다음과 같은 대상에 대한 서비스AWS Lambda함수, API 대상을 사용하는 HTTP 호출 엔드포인트 또는 기타의 이벤트 버스AWS계정.
cloudfront field-level encryption
Amazon CloudFront를 사용하면 HTTPS를 통해 오리진 서버에 대한 종단 간 보안 연결을 적용할 수 있습니다. 필드 레벨 암호화는 추가 보안 레이어를 추가하여 시스템 처리 전체에서 특정 데이터를 보호하고 특정 애플리케이션만 이를 볼 수 있도록 합니다.
fault tolerant = auto scaling
규정 준수
AWS 클라우드 규정 준수를 시행하면 클라우드의 보안 및 데이터 보호를 유지할 수 있는 강력한 제어 장치가 AWS에 마련되어 있음을 이해할 수 있습니다. AWS 클라우드 인프라를 기반으로 하여 시스템을 구축하므로 규정 준수는 AWS와 고객의 공동 책임이 됩니다. AWS 규정 준수 프로그램은 해당되는 규정 준수 또는 감사 표준과 거버넌스 중심의 감사에 적합한 서비스 기능을 한데 묶어 놓음으로써 기존 프로그램 위에 구축할 수 있습니다. 따라서 고객은 AWS 보안 제어 환경에서 설정하고 작동할 수 있습니다.
aws route53 public host vs private host
- 퍼블릭 호스팅 영역은 인터넷에서 트래픽을 라우팅하고자 하는 방법을 지정하는 레코드를 포함합니다.
- 프라이빗 호스팅 영역은 Amazon VPC에서 트래픽을 라우팅하고자 하는 방법을 지정하는 레코드를 포함합니다.
Transit Gateway
가상 사설 클라우드(VPC)와 온프레미스 네트워크를 상호 연결하는 데 사용할 수 있는 네트워크 전송 허브
수천 개의 VPC와 온프레미스 간 전이적 피어링, 허브 앤 스포크(스타) 연결
• 지역 리소스, 지역 간 작업 가능
• 리소스 액세스 관리자(RAM)를 사용하여 교차 계정 공유
• 여러 지역에서 Transit Gateway를 피어링할 수 있습니다.
• 라우팅 테이블: 다른 VPC와 통신할 수 있는 VPC 제한
• Direct Connect 게이트웨이, VPN 연결과 함께 작동
• IP 멀티캐스트 지원(다른 AWS 서비스에서는 지원되지 않음)
DynamoDB point in time recovery
Amazon DynamoDB 를 사용하면 PITR(특정 시점 복구)을 사용하여 테이블 데이터를 지속적으로 백업할 수 있습니다. PITR을 활성화하면 DynamoDB는 테이블 데이터를 초당 단위로 자동 백업하므로 이전 35일 동안 주어진 초 단위로 복원할 수 있습니다.
cloudfront vs global Accelerate
CloudFront는 엣지 로케이션을 사용하여 콘텐츠를 캐시하는 반면 Global Accelerator는 엣지 로케이션을 사용하여 가장 가까운 리전 엔드포인트로 가는 최적의 경로를 찾습니다.
simple scaling policy
단순 조정은 조정의 기초로 메트릭에 의존합니다. 예를 들어 CPU 사용률 임계값이 80%가 되도록 CloudWatch 경보를 설정한 다음 새 인스턴스를 시작하여 Auto Scaling 그룹에 용량을 20% 더 추가하도록 조정 정책을 설정할 수 있습니다. 따라서 CPU 사용률 임계값이 30%가 되도록 CloudWatch 경보를 설정할 수도 있습니다. 임계값이 충족되면 Auto Scaling 그룹은 EC2 인스턴스를 종료하여 용량의 20%를 제거합니다.
EC2 Auto Scaling이 처음 도입되었을 때 이것이 지원되는 유일한 조정 정책이었습니다. 스케일 인 및 스케일 아웃에 대한 세분화된 제어를 제공하지 않습니다.
target tracking policy
대상 추적 정책을 사용하면 Auto Scaling 그룹이 항상 유지해야 하는 조정 지표 및 지표 값을 지정할 수 있습니다. 예를 들어 조정 지표가 EC2 Auto Scaling 인스턴스의 평균 CPU 사용률이고 평균은 항상 80%여야 한다고 가정해 보겠습니다. CloudWatch는 평균 CPU 사용률이 80%를 초과하는 것을 감지하면 대상 추적 정책을 트리거하여 이 대상 사용률을 충족하도록 Auto Scaling 그룹을 확장합니다. 모든 것이 해결되고 평균 CPU 사용률이 80% 미만으로 떨어지면 다른 규모 조정이 시작되어 Auto Scaling 그룹의 Auto Scaling 인스턴스 수를 줄입니다. 대상 추적 정책을 사용하면 Auto Scaling 그룹은 항상 조정 지표 및 지표 값으로 정의된 용량으로 실행됩니다.
step scaling policy
Step Scaling은 Simple scaling의 기능을 더욱 향상시킵니다. 단계 조정은 경보 위반의 크기에 따라 조정을 변경하기 위해 여러 조치를 설정할 수 있음을 의미하는 "단계 조정"을 적용합니다.
단순 조정에서 조정 이벤트가 발생하면 정책은 추가 경보에 응답하기 전에 상태 확인이 완료되고 쿨다운이 만료될 때까지 기다려야 합니다. 이로 인해 특히 애플리케이션에 트래픽이 갑자기 급증하는 경우 용량 증가가 지연됩니다. 스텝 스케일링을 통해 정책은 스케일링 이벤트 도중에도 추가 경보에 계속 대응할 수 있습니다.
'CLOUD > AWS' 카테고리의 다른 글
aws cli role switching (0) | 2022.04.21 |
---|---|
AWS Certification 자격증 시험등록 비용 할인 방법 (0) | 2022.04.15 |
AWS Global Accelerator와 Amazon CloudFront의 차이 (0) | 2022.03.30 |
AWS storage gateway 옵션 (0) | 2022.03.29 |
Route 53 라우팅 정책 (0) | 2022.03.29 |
댓글