본문 바로가기

320x100
AWS Sysops Administrator Associate 14

반응형
SOA #14, Compliance - 2 ( 완결 ) Hypervisors VM을 실행하는 컴퓨터 소프트웨어 하나 이상의 VM을 실행하는 컴퓨터를 Host machine라 하며 실행되는 VM을 Guest machine이라 함 EC2는 Xen Hypervisor 상에서 실행되며 PV,HVM으로 나뉨 Hypervisor는 관리자만 접근 가능, AWS 직원은 EC2에 접근할 권한이 없음 전용 인스턴스 vs 전용 호스트 전용 인스턴스 : 한 고객에게 종속되는 하드웨어 위에서 실행되는 VPC 내 인스턴스를 말함 다른 계정들과 다른 하드웨어를 사용함 공통점 : 전용 하드웨어를 사용하여 제공 가장 큰 차이점 전용호스트는 추가적인 가시성과 인스턴스들이 물리 서버에 어떻게 배치되는지에 대한 권한을 줌(소켓, 코어, 호스트 ID) 전용 호스트는 고객이 보유한 소프트웨어 라이.. 2020. 9. 8.
SOA #13, Compliance - 1 DDoS(Distributed Denial Of Service Attack) 분산 서비스 거부 공격, DoS 공격과는 달리 다수의 메커니즘에 의해 실행됨 Amplification/Reflection 공격 : 공격자가 다수의 NTP, SSDP, DNS, SNMP 서버에 요청을 보내 트래픽을 증폭시킨 후 공격대상에 이를 보내는 공격법(Source IP Spoofing) Application 공격 : GET Flooding 공격, 다수의 커넥션을 생성한 뒤 최대한 오래 유지하여 지연시킴 AWS Shield : ELB, Cloudfront, Route 53, WAF, Autoscaling, Cloudwatch 등을 DDoS 공격으로부터 방어하는 서비스 Standard와 Advanced로 나뉨 Standard는 .. 2020. 9. 5.
SOA #12, Networking & DNS DNS(Domain Name System) SOA(Start Of Authority) : Zone Data를 제공하는 네임 서버로 독자적인 관리 정책으로 Zone을 관리하는 관리자 예를 들어 인터넷 전체 Domain 중 aws.com 이름 아래의 Domain Zone은 .com Domain 영역에 속하긴 하나 독자적인 관리 정책으로 aws.com이 관리되고 있음을 의미 NS Record : 탑 레벨 도메인 서버로서 사용되는 네임서버 레코드(DNS 서버가 참조하는 다른 DNS 서버) 자신의 DNS 서버에서 쿼리를 요청받은 domain에 대한 정보를 알아내지 못할 때, 이 NS Record에 정의된 서버로 가서 주소를 얻어옴 A Record : IP로 번역되는 DNS 레코드로 IP로 일대일 대응되는 Doma.. 2020. 8. 15.
SOA #11, Storage & Data Management - 3 AMI(Amazon Machine Image) 인스턴스를 시작하는 데 필요한 정보를 제공하는 이미지 AMI는 다음 3가지를 포함함 1개 이상의 EBS 스냅샷 혹은 인스턴스의 Root Volume Template(Instance Stored 지원 AMI) AMI를 사용하여 인스턴스를 시작할 수 있는 AWS 계정을 제어하는 시작 권한 시작될 때 인스턴스를 연결할 볼륨을 지정하는 블록 디바이스 매핑 다른 리전에서 AMI를 가지고 시작하려면 AMI을 복사하여 해당 리전에 옮겨두어야 함 AMI 복사시 시작권한, 사용자 정의 태그 또는 버킷 권한이 원본 AMI에서 새 AMI로 복사되지 않음 Shareing AMI 타 계정을 구체적으로 지정하여 제한된 계정에 공유 가능 공유된 계정은 소유권과 제어권을 가짐 AMI 소.. 2020. 8. 6.
SOA #10, Storage & Data Management - 2 S3 Encryption 암호화는 Client side와 Server side로 나뉘며 Client side는 Client에서 S3로 전송될 때의 암호화(data at transit)을, Server side는 S3에 저장될 때의 암호화(data at rest)를 의미함 Server Side Encryption SSE-S3 : S3의 고유한 키로 암호화를 실시하며 암호화 주체가 S3가 되는 방식. 데이터 암호화 알고리즘은 AES-256을 사용함 SSE-KMS : Key Management Service를 이용하여 객체를 암호화하는 방식으로 KMS 고객 마스터 키(CMK)를 활용함. SSE-S3와 달리 고객에 키를 제어할 수 있음 SSE-C : 고객(Customer)가 제공하는 키로 암호화를 진행하는 방식.. 2020. 7. 25.
SOA #9, Storage & Data Management - 1 S3 객체(Object) 기반의 스토리지 0 Bytes ~ 5TB 저장 가능(오브젝트 당) 무제한 용량의 스토리지 업로드 성공시 200 OK 코드를 돌려받음(중요!!) SAA와는 다르게 S3의 내구성과 가용성은 그렇게 중요하지 않는 것으로 보임 Read after write consistency for PUTS of new Objects(쓰기 후 읽기 일관성) S3의 모든 새로운 객체는 반드시 PUT 작업 후 GET 요청을 통해 객체를 요청해야 함 객체를 생성하기 전에 GET 혹은 HEAD 요청을 한 후 객체를 생성할 경우, 최종 일관성으로 인해 후속 GET 작업에서 객체가 반환되지 않을 수 있음 Eventual Consistency for overwrite PUTS and DELETES S3는 PUT .. 2020. 7. 15.

티스토리툴바