본문 바로가기

320x100
네트워크 엔지니어 환영의 기록 174

반응형
SAA-C03 기본 #21, KMS Key Management Service AWS의 암호화 및 암호화 키 관리 서비스 AWS 워크로드의 데이터를 암호화/복호화하며 암호화 키를 생성하고 제어하는 역할 서버 측 저장 데이터 암호화 : 데이터가 서버에 수신된 후 암호화, 클라이언트로 다시 전송되기 전 복호화 클라이언트 측 암호화 : 클라이언트가 데이터 암호화하고, 데이터를 받는 클라이언트에 의해 복호화. 서버는 데이터를 저장되지만, 복호화는 불가 KMS : AWS 암호화 키 관리, 권한 부여를 위해 IAM과 통합됨, CloudTrail를 통해 키 사용 호출한 모든 API 감시 KMS (고객 마스터) 키 유형 대칭 KMS키 : 데이터 암호화와 복호화에 사용되는 단일 암호화 키로 키 직접액세스 불가, KMS API 호출을 통한 키 사용 비대칭 K.. 2024. 2. 19.
SAA-C03 기본 #20, Organizations & IAM Organizations 다수의 AWS 계정을 동시에 관리해주는 글로벌 서비스 조직에 가입한 기타계정이나 조직에서 생성한 계정은 멤버 계정이라 하여 한 조직에만 소속됨 조직의 메인 계정은 관리계정이며 모든 계정의 비용은 통합 결제 방식임 조직 내 계정 생성을 자동화할 수 있는 API가 있어 계정 생성이 쉬움 다수의 VPC를 가진 단일 계정에 비해 다수의 계정을 가지므로 보안이 뛰어남(계정이 VPC 보다 독립적이므로) 모든 계정에 대해 CloudTrail 활성화하여 모든 로그를 중앙 S3 계정으로 전송 가능 관리 계정에서 모든 멤버 계정 관리 서버스 제어 정책(SCP)정의 : 특정 OU 또는 계정에 적용되는 IAM 정책으로 해당 사용자와 역할을 제한함(관리 계정은 제외) SCP는 IAM과 같이 구체적인 허.. 2024. 2. 15.
SAA-C03 기본 #19, Cloudtrail & Config CloudTrail "누가" AWS 계정 내의 모든 이벤트 및 API 호출기록 표시 AWS 계정의 거버넌스, 감사 및 규정 준수 제공 CloudTrail 로그를 Cloud Watch Logs 나 Amazon S3로 이동 가능 이벤트 (기본 90일 저장) 관리 이벤트 : AWS 계정의 리소스에 수행되는 작업으로 읽기 이벤트(리소스 수정 절대 안됨)와 쓰기 이벤트 (리소스 수정함) 구분되어 있음 데이터이벤트 : 고용량 작업으로 GetObject. DeleteObject, PutObject 같은 S3 객체 수준 작업은 S3 버킷에서 빈번하므로 기본값으로써 로깅되지 않음 CloudTrail Insight 이벤트: 이벤트를 분석하여 계정 내 비정상적인 패턴 탐지 Config "무엇을" Config: AWS 내 리.. 2024. 2. 8.
SAA-C03 기본 #18, CloudWatch & Eventbridge CloudWatch AWS의 모든 서비스에 대한 지표와 모니터링을 제공하는 서비스 EC2 인스턴스 지표 : CPU Utilization, Networking 등 S3의 지표 : 버킷크기 등 지표 : 모니터링의 변수로 타임스탬프 측정 기준 : 지표의 속성 지표당 최대 측정 기준은 10개 지표 스트림 예시 : Cloud Watch Metrics - (실시간 Stream) -> Kinesis Data Firehose 로그 그룹 : AWS에 로그를 저장하며, 로그들을 그룹화함. 로그 그룹명은 보통 애플리케이션임 로그 스트림 : 애플리케이션 내 인스턴스나 다양한 로그 파일명 또는 컨테이너 로그 원천 : SDK, 통합 Cloud Watch 에이전트, CloudWatch 로그 에이전트, ECS 컨테이너 로그, Lam.. 2024. 2. 4.
[AWS]Gateway Load Balancer #4(Idle Timeout & Failover) Gateway Load Balancer의 Idle Timeout Gateway Load Balancer(이하 GWLB)의 Idle Timeout 값은 TCP 350초, 비 TCP(UDP 포함)의 값은 120초로 고정되어 있음 Idle Timeout : Connection(이하 커넥션)가 유휴 상태일 때, 커넥션이 유지되는 시간 이는 고정값으로 변경이 불가능함 GWLB의 고정된 Idle Timeout을 고려하여 부하분산 대상이 되는 Appliance(이하 어플라이언스)의 Idle Timeout 값을 결정해야 함 예를 들어 GWLB를 통해 방화벽 인스턴스(어플라이언스)의 부하분산을 실시할 경우, GWLB의 Idle Timeout값인 TCP 350초, 비 TCP 120초보다 낮게 잡는 것이 좋음 GWLB보다 .. 2024. 2. 4.
SAA-C03 기본 #17, Quicksight & Lake Formation Quicksight 서버리스 머신 러닝 기반 비즈니스 인텔리전스 서비스 대화형 대시보드 생성하고 소유한 데이터 소스와 연결하며 오토 스케일링 가능 사용사례 : 비즈니스 분석, 시각화 구현, 시각화된 정보를 통한 임시 분석 수행, 데이터 활용한 비즈니스 인사이트 획득 RDS, Aurora, Athena, Redshife, S3 뿐만 아니라 타사 데이터 소스(Salesforce, Jira...) 와 타사 데이터베이스(Teradata...) 등 통합 가능 SPICE 엔진 : 인 메모리 연산 엔진 (xlsx, csv, json, tsv 등의 데이터 소스를 가져와 수행) Lake Formation Data lake: 데이터 분석을 위해 모든 데이터를 한곳으로 모아주는 중앙 집중식 저장소 Data lake 생성을 .. 2024. 1. 30.

티스토리툴바