AWS Practioner 요점 정리 노트

개요

AWS 자격증 중 하나인 AWS Practioner 대비를 하는 사람들에게 필요한 정보들을 정리하고자 합니다.

1. 키워드 중심의 정리

온디맨드(On-demand) : 필요한 만큼만

리전 (Region) : 데이터 센터를 클러스터링 하는 물리적 위치, 한 개의 리전은 두 개 이상의 가용영역으로 구성

재해 복구 설계 = 2개 이상의 리전에 시스템을 배치

가용 영역 (Avaliability Zone) : 하나 이상의 개별 데이터 센터

고가용성 설계 : 두개 이상의 가용영역에 시스템 배치

엣지 로케이션 : AWS CloudFront, Global Accelerator

클라우드 배포 모델

•

Public Cloud : 누구나, 관리 비용 낮음

•

Hybrid Cloud: 퍼블릿과 프라이빗(온프레미스 데이터센터)의 연결, AWS VPN, AWS Direct Connect

•

Private Cloud: 개별 기업, 온 프레미스에 클라우드 인프라, 관리 비용 높음

관리 영역

•

IaaS : EC2, 물리적인 부분은 AWS

•

Paas: Elastic Beanstalk, 물리적인 부분, OS는 AWS

•

SaaS: Google Gmail, 모든 부분 AWS 

IAM 계정 보안 강화 규칙

•

루트 계정은 최초 사용자 계정 생성 이후 사용 지양

•

최소한의 권한만 부여

•

MFA 적용

•

교체 주기를 정의

•

Access Key 공유 지양

IAM 역할 : AWS 리소스에서 사용하는 자격증명, 정책을 연결하여 작업 수행에 필요한 권한을 부여

•

EC2에서 S3와 RDS 연결할 때 엑세스 권한이 필요 

IAM 자격증명 보고서 구성 : 계정의 모든 사용자, 암호, 엑세스 키, MFA 디바이스

보안그룹 : EC2 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 인스턴스 수준의 방화벽

✭ 인스턴스 구매 옵션

•

온디맨드 인스턴스 : 약정 없이 초당 사용한 만큼 비용 지불, 단기간 동안 예측 할 수 없는 워크로드, 개발 중이거나 시험 중인 어플리케이션

•

스팟 인스턴스 : 사용 안하는 인스턴스를 경매 방식으로, 급격하게 증가된 용량이 필요한 경우 사용

•

예약 인스턴스 : 1년 또는 3년 기간을 약정, 수요가 꾸준하고 예측 가능한 경우 

◦

표준 예약 인스턴스

◦

전환형 예약 인스턴스

◦

정기 예약 인스턴스 : 지정된 날짜, 시간 동안에 인스턴스가 시작되어 사용 

•

Saving Plan : 1년 또는 3년 동안 일정 사용량을 약정

•

전용 호스트 : 물리적 서버를 할당 받아서 인스턴스를 사용

Elastic Block Store (EBS) : KMS를 통해 암호화 가능

Elastic File System (EFS)

•

표준 스토리지 : 3개의 가용영역에 데이터 저장 

•

표준 IA : 3개의 가용영역에 데이터 저장, 자주 엑세스 하지 않는 파일 저장 

•

One Zone : 한 개의 가용영역에 데이터 저장, 자주 엑세스 하는 파일 저장 

•

One Zone IA : 자주 엑세스 하지 않는 파일에 저장

EC2 Auto Scaling : EC2 인스턴스를 자동으로 확장하고 축소하는 기능

•

동적 조정: ClousWatch alarm의 지표를 기반

대표적인 AWS 서버리스 서비스 : AWS Lambda, AWS Fargate, Amazon S3, DynamoDB, Aurora Serveless, SNS, SQS, API Gateway

Lambda : 코드를 실행하여 동작하는 서비리스 컴퓨팅, AWS에서 모든 인프라를 관리, 온디맨드 방식, 자동으로 용량 조정, 독립적으로 사용하지 않고 다른 서비스와 결합 (Gateway, Kinesis, SNS, SQS, S3, CloudFront)

AWS Batch : 하나 이상의 컴퓨터에서 일련의 프로그램을 실행하는 것, Docker 컨테이너 이미지로 정의되어 ECS에서 실행됨

•

생명과학, 디지털 미디어

Container : Kubernates와 Docker, 마이크로 서비스를 배포하는데 이용, OS 환경이 바뀌어도 구동 가능

Elastic Container Service : Docker 컨테이너 배포

Amazon Elastic Kubernates Service : 대규모 컨테이너 어플리케이션 배포

AWS Fargate : ECS와 EKS와 연동 가능. 서버 프로비져닝, 패치 적용, 클러스터 용량 관리를 자동으로 수행

Elastic Beanstalk : 서비스를 배포하고 운영하는 서비스, 어플리케이션 코드에만 집중 가능

Lightsail : 초보자. 클릭 몇 번으로 설정 가능. 서비스가 저렴. 간단한 웹 어플리케이션이나 웹 사이트에 사용

Workspace : 몇 분 안에 데스크톱을 프로비저닝, 신속하게 확장 후 전세계 작업자에게 제공

AppStream 2.0 : 회사의 애플리케이션을 사용자의 물리적 디바이스에서 aws 클라우드로 이전

S3 : 오브젝트라고 불리는 개별 유닛에 데이터를 저장하는 스토리지 포맷, 어디에 저장되어 있든 키 혹은 식별자를 통해 데이터를 찾을 수 있다.

•

거의 무제한 저장 용량을 제공 

•

최소 3개의 AZ

•

버킷은 리전 단위로 생성 

•

객체는 여러 버전을 가질 수 있음, 버전 관리를 활성화 하면 사용 가능

◦

객체의 버전 별로 수명 주기 정책을 적용할 수 있음

•

정적 웹 사이트 호스팅 가능

S3 버킷 정책

•

JSON 형식의 버킷 정책, 퍼블릭 엑세스 차단, ACL (AWS 계정이나 객체에 권한을 부여) 

S3 Access Logs

•

S3 버킷의 모든 활동을 파일로 만들어 저장, 감사 목적으로 활용 

S3 스토리지 클래스

•

S3 Standard (범용)

•

S3 Intelligent-Tiering (엑세스 패턴을 알 수 없거나 예측할 수 업슨 데이터용)

•

S3 Standard-IA (자주 엑세스하지 않지만 필요할 때 빠르게)

•

S3 One Zone-IA (자주 엑세스하지 않지만 필요할 때 빠르게)

•

Glacier Instant Retrieval (분기에 한 번 엑세스)

•

S3 Glacier/Glacier Flexible Retrieval (일년에 한번, 몇분 내지 몇시간의 검색 시간)

•

S3 Galcier Deep Archive (일년에 한 번 미만, 7-10년 이상 데이터 보존, 최대 48시간 이내)

FSx : 리눅스 환경을 위한 고성능 병렬 스토리지 시스템

Snow Family : 온프레미스 환경에 있는 데이터를 AWS로 마이그레이션 해야 할 때 사용

RDS : Amazon RDS, Amazon Aurora

•

RDS on EC2 : 사용자가 직접 DB 설치, 백업, 소프트웨어 패치 관리, OS 에 대한 모든 권한 유지 

NoSQL : Amazon DynamoDB

인 메모리 데이터 베이스 : Amazon Elasticache

Neptune : 완전 관리형 그래프 데이터베이스 서비스, 페이스북

Database Migration Service (DMS) : 데이터 베이스를 마이그레이션 하는 서비스

데이터 분석 서비스

•

Amazon Athena : S3에 저장된 데이터를 분석

•

Amazon EMR : 머신 러닝, 빅데이터 처리에 사용

•

Amazon Redshift : 데이터 웨어하우스 서비스, 정보에 입각한 의사 결정

•

AWS Glue : 데이터 분석을 위한 ETL, 다양한 소스에서 데이터 검색 및 추출 

•

✭ AWS QuickSight : 대시보드, 그래프 등의 시각화를 통한 데이터 분석을 통해 의사결정을 도와주는 서비스 

Virtual Private Cloud (VPC) : AWS의 가상 네트워크

VPC 구성요소 : 서브넷, 라우팅 테이블, 인터넷 게이트웨이, Network ACL

Nat Gateway : 프라이빗 서브넷 인스턴스가 인터넷 서비스에 연결할 수 있도록

NACL : 서브넷 내부와 외부의 트래픽을 제어한느 방화벽, 하나의 NACL은 여러 서브넷과 연결 가능, 보안 그룹과 다르게 허용/거부 규칙 모두 지정 가능. 가장 낮은 번호가 지정된 규칙 부터 적용

VPC Perring : VPC 간 통신이 안되지만 두 VPC간 트래픽을 라우팅 할 수 있도록 두 VPC 사이의 네트워킹 연결

VPC Endpoint : AWS S3와 DynamoDB 등 AWS 서비스에 대한 프라이빗 연결

Transit Gateway : 모든 VPC 간의 모든 트래픽을 라우팅, 복잡한 피어링 관계를 간소화

VPC Flow Log : 데이터는 Cloudwatch, S3에 저장 가능. IP 트래픽에 대한 정보 수집 가능

Route 53 : DNS

CloudFront : 콘텐츠 전송 네트워크 서비스, 엣지 로케이션 사용

Global Accelerator : 엣지 로케이션 사용, 가장 가까운 위치로 트래픽을 라우팅

Simple Queue Service (SQS) : 애플리케이션 간 느슨한 결합 제공

Simple Notification Service (SNS) : 메세지 전송 서비스

Kinesis : 실시간 스트리밍 데이터를 손쉽게 수집 및 처리, 데이터가 수신되는 대로 처리

API Gateway : 개발자가 API를 생성, 게시, 유지 관리, 모니터링 보안 유지를 할 수 있게 하는 서비스

공동 책임 모델 : 클라우드 인프라 위의 보안은 고객, 인프라 자체의 보안은 AWS

Sheild : DDos 공격으로 부터 보호

WAF : 웹 어플리케이션을 보호하는 방화벽, Web ACL을 통해 정의할 수 있고 Load Balancer, Gaterway, Cloud Front에 적용 가능

Key Management System (KMS) : 암호화 키를 생성 및 관리하는 서비스

AWS Certificate Manager (ACM) : SSL/TLS 인증서를 중앙에서 관리하는 서비스

Secrets Manager : 보안 정보를 중앙 집중식으로 저장, 검색, 엑세스 제어, 교체, 감사 및 모니터링 서비스

AWS Artifact : AWS의 규정 준수 문서와 AWS 계약에 대한 문서를 제공하는 사이트

GuardDuty : 악의적 활동을 모니터링 하고 상세한 보안 결과를 제공

Macie : 기계 학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호

Inspector : 의도하지 않은 네트워크 노출과 소프트웨어 취약성을 지속적으로 스캔

Amazon Detective : 잠재적 보안 문제나 의심스러운 활동의 근본 원인을 쉽고 빠르게 분석, 조사 및 식별하는 서비스

AWS Abuse : 불법적인 용도로 AWS 리소스가 사용되고 있다고 의심될 경우 AWS에 알릴 수 있음

AWS Cognito : 어플리케이션에 대한 로그인 및 인증을 제공하는 기능

AWS Single Sign On (SSO) : 중앙에서 관리하는 하나의 계정으로 여러 애플리케이션에 로그인 가능

CloudWatch : AWS 클라우드 리소스와 AWS에서 실행되는 어플리케이션을 위한 모니터링 서비스

•

지표, 대시보드, 로그, 경보

Amazon EventBridge : 실시간으로 이벤트를 전송하는 서비스

CloudTrail : AWS 계정이 수행하는 작업에 대해 로그를 기록하는 서비스 ,CloudWatch Logs 혹은 S3에 저장

Config : AWS 리소스 변경 사항을 로그, 기록 하는 기능

Systems Manager : 서버의 운영 데이터를 수집 하는 기능

ASM Session Manager : EC2 또는 온프레미스 서버에 대한 원격 연결 기능

AWS Service Health DashBoard : AWS 전체 리전, 서비스에 대한 상태를 알려주는 서비스

✭ Trusted Advisor : AWS 환경을 조사하여 비용 절감, 시스템 성능 향상 또는 보안 결험 제거를 위한 권장 사항을 제시.

•

비용 최적화, 성능, 보안, 내결함성, 서비스 한도

AWS Organizations : 여러 AWS 계정을 중앙에서 관리. 조직 단위로 제어 정책(SCP)을 제한 가능

개발자 도구

•

CodeCommit : Git을 이용해 버전 관리

•

CodeDeploy : 배포 자동화

•

CodeBuild : 소프트웨어 빌드

•

CodePipeline : Build → Test → 배포 단계를 자동화

•

CodeArtifact : 소프트웨어 패키지를 안전하게 저장

•

CodeStar : 개발 활동을 한곳에서 쉽게 관리하는 서비스 

•

Cloud9 : 클라우드 기반 IDE 서비스

•

X-Ray : 분석 및 디버깅 서비스

•

Device Farm : 실제 모바일 디바이스에서 테스트하여 품질 향상

•

Fault Injection Simulation : 오류 주입 실험

머신러닝

•

Comprehend : 텍스트 안에서 특정 항목을 찾아내는 서비스 

•

Rekognition : 이미지, 비디오 분석

•

Polly : 텍스트 → 음성

•

Lex : 음성인식

•

Textract : 스캔문자에서 문자, 테이블 추출

•

Translate : 번역

•

Trasncribe : 음성 → 텍스트

•

SageMaker : 머신러닝 모델을 구축

•

Forecast : 비즈니스 지표 분석을 위해 구축된 시계열 예측 서비스

•

Kendara : 지능형 검색 서비스

•

Personalize : 실시간 맞춤형 추천

•

Connect : 클라우드 기반 고객 센터 서비스 

CloudFormation : 코드를 통해 인프라를 프로비저닝, 관리하는 서비스. 코드를 통한 자동화

AWS Support Plan : 기본, 개발자, 비즈니스, Enterprise On-Ramp, 엔터프라이즈 등 5가지 플랜 제공

•

기본 지원 : 고객 서비스, AWS Trusted Advisor, AWS Personal Health Dashboard

AWS Budgets : 예산을 지정하여 비용과 사용량을 추적하는 서비스

AWS Cost Explorer (비용 탐색기) : AWS 서비스에 대한 비용 및 사용량을 분석하는 서비스. 시각화 된 인터페이스 제공

AWS 비용 및 사용 보고서 : 상세한 보고서를 제공하는 서비스

AWS Well-Architected : 애플리케이션에 사용할 보안, 성능, 복원력 및 효율성이 뛰어난 인프라를 구축하는 클라우드 아키텍트

•

운영 우수성 원칙 

◦

전체 워크로드를 코드로 정의, 코드로 업데이트

◦

사소한 변경 내용 적용

◦

수시로 운영 절차 수정

◦

실패 예측

•

보안 원칙

◦

추적 기능 활성화

◦

모든 계층에 보안 적용

◦

강력한 자격 증명 기반 구현

•

안정성/신뢰성 원칙

◦

수평적 확장으로 워크로드 전체 가용성 증대

◦

장애 자동 복구

◦

복구 절차 테스트

•

성능 효율성 원칙

◦

서버리스 아키텍쳐 사용

◦

실험 회수 증가

◦

몇 분 만에 전세계에 배포

•

비용 최적화 원칙

◦

클라우드 재무 관리 구현 (보고서, 예산 지표)

◦

지출 분석

◦

소비 모델 도입

◦

효율성 측정

•

지속 가능성 원칙

2. 모의고사를 통한 복습

서버의 중단을 감지하고 사용자를 대체 서버로 리다이렉션 하는 것은?

Route 53

Cloud Formation

Template

IAM 사용자가 엑세스 키를 분실했을 경우 어떻게 해야 하는가?

Rotate the secret access Key

A company needs to audit its AWS resources. The company must document any changes that have been made to the resources.

AWS Config

Which AWS services provide high availability across multiple Availability Zones by default? (Choose two.)

Amazon Elastic File System (Amazon EFS) Amazon S3

Which AWS service or resource helps on-premises applications connect to AWS Cloud-based storage and caches the data locally for low-latency access?

Storage Gateway : AWS 스토리지와 온 프레미스 연결 서비스, 로컬 캐시 기능 지원

EC2의 실행 비용을 줄이기 위해 스팟 인스턴스와 예약 인스턴스와의 조합

모니터링의 구분

AWS Cloudwatch : 리소스와 어플리케이션을 위한 모니터링

CloudTrail : 모든 계정 활동 기록 (보안 관련된 서비스)

어디서 API가 호출됐는지

Config : 리소스 구성 변경 사항 로그 및 리소스 구성을 측정, 감사

인스턴스가 승인된 AMI를 사용하는지

Organization : 여러 계정을 중앙에서 관리

System Manager : 서버의 운영 데이터 수집 및 패치 업데이트 자동화

Personal Health Dashboard : AWS 인프라에 대한 예정된 변경을 식별

비즈니스 인텔리전스 솔루션을 구축하고 보고 목적으로 대시 보드를 사용

Amazon QuickSight

개발 및 테스트 환경

온 디맨드

방화벽

서브넷 수준의 방화벽은 ACL

인스턴스 수준의 방화벽은 보안 그룹

S3 버킷에서 수백만 개의 문서를 관리하고 있을 때 PII인지 최소한의 운영 오버헤드로 확인하는 방법

Macie를 사용하여 개인 식별 정보 같은 민감한 데이터를 검색하고 보호

활용도가 낮은걸 식별

AWS Trusted Advisor의 성능 카테고리에서 검사

고가용성 솔루션

아마존 오로라, DynamoDB

공동 책임 모델

AWS 책임

•

물리적 하드웨어 유지 

고객 책임

•

방화벽 구성

•

서버 측 암호화

•

ID 및 엑세스 관리

•

게스트 운영체제 관리

Well-Architected

비용 최적화

•

적은 비용을 지불하기를 원한다

신뢰성

•

여러 가용 영역에 인스턴스를 배포한다 → 고가용성

안정성

•

용량 추측 중지

•

인프라 변경 자동화

AWS Glue

•

ETL

여러 VPC에 걸쳐 연결

•

AWS Transit 

데이터 수명 주기 관리를 지원하는 AWS 스토리지 서비스를 사용하여 자주 엑세스 하지 않는 파일을 저장

•

S3, EFS

AWS 람다

•

리소스를 자동으로 확장 축소

어플리케이션을 배포하고자 할 때

•

이미 인프라가 구축되어 있다면 → Cloud Formation, Elastic Beanstalk 필요 없음

•

AWS CodeDeploy

서비스 할당량의 80%에 도달하면 Trusted Advisor

WAF랑 연결할 수 있는건 Amazon CloudFront와 Amazon API Gateway

Ground Station 인공위성 통신 제어

데이터베이스 자격 증명 교체 예약

AWS Secrets Manager

CloudFront와 Global Accelerator 차이

•

고정 IP X, 고정 IP O

기본적으로 여러 가용 영역에서 고 가용성 제공

•

EFS, S3

내결함성 워크로드 실행 → 스팟은 안됨