모듈 6. 보안
AWS 공동 책임 모델 고객은 AWS 클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임집니다.
AWS는 클라우드 자체의 보안을 책임집니다.AWS가 책임지는 것
- 데이터 센터의 물리적 보안
- 하드웨어 및 소프트웨어
- 인프라
- 네트워크 인프라
- 가상화 인프라
AWS Identity and Access Management(IAM) 데이터에 엑세스하는 것을 세부적으로 제어하는 기능
처음 만들면 아무 권한도 없다AWS 계정 루트 사용자 IAM 정책 AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서
IAM 그룹 한명 한명 관리는 힘드니까 그룹으로! IAM 역할 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명
알바 같은거라고 생각하면 편함Multi-Factor Authentication OTP같은 것
아이디 비번 말고 추가적인 인증 요구AWS Organizations 중앙 위치에서 여러 AWS 계정을 통합하고 관리
조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성
서비스 제어 정책(SCP)을 사용하여 계정 권한을 중앙에서 제어AWS Organizations에서 서비스 제어 정책(SCP)을 구성하고 있습니다. SCP는 어떤 자격 증명과 리소스에 적용할 수 있습니까? (2개 선택) 개별 멤버 계정
조직 단위(OU)조직 단위(OU)
AWS Artifact 보안, 규정 준수 보고서 관련
AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스
AWS Artifact Agreements
AWS Artifact ReportsAWS Artifact Agreements 특정 규정의 적용을 받는 고객의 요구사항 해결
다양한 유형의 계약AWS Artifact Reports 외부 감사 기관이 작성한 규정 준수 보고서를 제공 다음 중 AWS Artifact에서 수행할 수 있는 작업은 무엇입니까? (2개 선택) 온디맨드로 AWS 규정 준수 보고서에 액세스AWS와의 계약을 검토, 수락 및 관리
분산 서비스 거부(DDoS) 공격 AWS Shield DDoS 방어
AWS Shield Standard
AWS Shield AdvancedAWS Shield Standard 무료 서비스 AWS Shield Advanced 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화
Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합
AWS Shield를 AWS WAF와 통합AWS Key Management Service(AWS KMS) 암호화 키를 생성, 관리 및 사용 AWS WAF 앱 네트워크 요청 모니터링
Amazon CloudFront 및 Application Load Balancer와 함께 작동
웹 ACL(액세스 제어 목록)을 사용
Amazon Inspector 자동 보안 평가
보안 및 규정 준수를 개선
Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사Amazon GuardDuty (va AWS Shield 헷갈림) 지능형 위협 탐지 기능을 제공
계정 활동을 모니터링
GuardDuty가 위협을 탐지한 경우 AWS Management Console에서 위협에 대한 자세한 탐지 결과를 검토할 수 있음.
응답으로 AWS Lambda 함수 구성
모듈 7 모니터링 및 분석
Amazon CloudWatch 다양한 지표를 모니터링 및 관리
경보 작업을 구성 가능CloudWatch 경보 지표가 임계값을 넘으면 작업을 수행
(ex. 직원이 깜빡하고 인스턴스 종료 안하고 가면 자동으로 CloudWatch가 인스턴스 종료해줌)CloudWatch 대시보드 AWS CloudTrail 로그 분석 도구라고 생각하면 될듯
계정에 대한 API 호출을 기록
정보(API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소 등)
로그 '추적'
Q. 비정상적인 계정 활동을 자동 감지는 AWS CloudTrailCloudTrail Insights on/off
비정상적인 API 활동을 자동으로 감지AWS Trusted Advisor 훈수 도구
AWS 환경을 검사하고 AWS 모범 사례에 따라 실시간 권장 사항을 제시
비용 최적화, 성능, 보안, 내결함성, 서비스 한도
Q. 5개 범주에서 인프라를 AWS 모범 사례와 비교하는 작업은 AWS Trusted Advisor에서 수행AWS Trusted Advisor 대시보드 Q. 다음 중 오픈 액세스 권한을 확인하여 Amazon S3 버킷의 보안을 검토할 수 있는 서비스는 무엇입니까? AWS Trusted Advisor
AWS Trusted Advisor는 AWS 환경을 검사하고 AWS 모범 사례에 따라 실시간 권장 사항을 제시하는 웹 서비스입니다. 검사에는 오픈 액세스 권한이 설정된 Amazon S3 버킷과 같은 보안 검사가 포함됩니다.
Amazon GuardDuty는 AWS 환경 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.
모듈 8. 요금 및 지원
AWS 프리 티어 상시 무료:
AWS Lambda : 매월 무료 요청 1백만 건, 320만 초 컴퓨팅 시간
Amazon DynamoDB : 매월 25GB 무료 스토리지
12개월 무료:
처음 가입한 날로부터 12개월 동안 무료로 제공
일정량의 Amazon S3 Standard 스토리지, 월별 Amazon EC2 컴퓨팅 시간 한도, Amazon CloudFront 데이터 전송량
평가판:
특정 서비스를 활성화한 날짜부터 시작
Amazon Inspector: 90일 무료 평가판
Amazon Lightsail: (가상 프라이빗 서버) 30일, 750시간AWS 요금 적용 방식 실제 사용한 만큼: 사용한 만큼(정직)
예약: 할인 많이
많이 사용할수록 :
볼륨기반 할인
사용량이 증가함에 따라 점차 단위비용이 낮아짐
ex) Amazon S3 스토리지 공간을 많이 사용할수록 GB당 비용 낮춤AWS 요금 계산기 필요한 운영 체제, 메모리 요구 사항, 입/출력(I/O) 요구사항 등 세부정보 입력하면 요금 계산 가능 AWS Lambda 요금 함수 요청 수와 함수 실행 시간을 기준으로 요금이 청구
매월 무료 요청 1백만 건과 최대 320만 초의 컴퓨팅 시간을 사용
Compute Savings Plan은 사용량을 약정하는 대신 컴퓨팅 비용을 할인
AWS 프리티어 한도에 미달하면 이번 달 요금지불 X
Amazon EC2 요금 컴퓨팅 시간에 대해서만 비용을 지불
AWS 프리티어 한도에 미달하면 이번 달 요금지불 X
Amazon S3 요금 사용한 스토리지에 대해서만 요금을 지불
객체 및 버킷에 수행한 요청에 대해 비용을 지불
관리 기능에 대해 비용을 지불
데이터를 전송하는 데 드는 비용은 없음(지불X)
AWS 프리티어 한도에 미달하면 이번 달 요금지불 X
AWS 결제 및 비용 관리 대시보드 AWS 청구서 결제
사용량 모니터링
비용을 분석 및 제통합 결제 AWS Organizations(계정을 통합하고 관리하는 도구)에서 통합 결제 옵션을 제공
편의성, 조직 게정의 투명성 향상
조직 계정 전체를 묶어 할인 더 많이 받을 수 있음AWS 예산(budget) 예산을 생성하여 서비스 사용, 서비스 비용 및 인스턴스 예약을 계획
정보는 하루 3번 업데이트
AWS Cost Explorer
AWS 비용 및 사용량 시각화
사용자 필터를 적용해 데이터 분석 가능
AWS Support
- Basic
- Developer
- Business
- Enterprise
Basic Support 무료
백서, 설명서 및 지원 커뮤니티에 대한 액세스 포함
AWS에 결제 관련 질문 및 서비스 한도 증가에 대해 문의
AWS Personal Health Dashboard 사용 가능 (사용자에게 영향을 줄 수 있는 이벤트 발생할때 알림)Developer Support
- 모범 사례 지침
- 클라이언트 측 진단 도구
- AWS 제품, 기능 및 서비스를 함께 사용하는 방법에 대한 지침으로 구성된 빌딩 블록 아키텍처 지원
AWS Trusted Advisor - 검사 및 지침 7 핵심 Trusted Advisor에 액세스하여 모범 사례에 따라 리소스를 프로비저닝함으로써 비용을 낮추고, 성능 및 무장애 기능을 향상하며, 보안을 강화합니다.Business Support
- 특정 요구 사항을 가장 잘 지원할 수 있는 AWS 제품, 기능 및 서비스를 식별하기 위한 사용 사례 지침
- 모든 AWS Trusted Advisor 검사
- 일반적인 운영 체제 및 애플리케이션 스택 구성 요소와 같은 타사 소프트웨어에 대한 제한된 지원
Enterprise Support
- 회사의 특정 사용 사례 및 애플리케이션을 지원하기 위한 컨설팅 관계인 애플리케이션 아키텍처 지침
- 인프라 이벤트 관리 지원: 회사가 사용 사례를 더 잘 이해할 수 있도록 돕는 AWS Support와의 단기 계약입니다. 또한 회사에 아키텍처 및 확장 지침도 제공합니다.
- 기술 계정 관리자
기술 지원 관리자(TAM) AWS 전문가
Enterprise Support 신청하면 이사람이 도와줌Q. 다음 중 최저 비용으로 모든 AWS Trusted Advisor 검사를 포함하는 Support 플랜은 무엇입니까? Business Support AWS Marketplace dlc같은 것
Independent Software Vendor(ISV)의 소프트웨어 리스팅 수천 개가 포함된 디지털 카탈로그
AWS에서 실행되는 소프트웨어를 검색하고 평가하고 구매가능
DevOps 애플리케이션 개발, 모니터링 및 테스트 같은 영역이 포함
모듈 9. 마이그레이션 및 혁신
Cloud Adoption Framework(AWS CAF) 마이그레이션을 위한 훈수도구
비즈니스 관점
인력 관점
거버넌스 관점
플랫폼 관점
보안 관점
운영 관점비즈니스 관점 IT가 비즈니스 요구 사항을 반영하고 IT 투자가 주요 비즈니스 결과와 연계되도록 보장
비즈니스 전략 및 목표가 IT 전략 및 목표에 부합하는지 확인
- 비즈니스 관리자
- 재무 관리자
- 예산 소유자
- 전략 이해당사자
인력 관점 교육, 인력 배치 및 조직 변화의 우선 순위를 지정
- 인사 관리
- 인력 배치
- 인력 관리자
거버넌스 관점
IT 전략이 비즈니스 전략에 부합하도록 조정하는 기술 및 프로세스에 중점
- 최고 정보 책임자(CIO)
- 프로그램 관리자
- 엔터프라이즈 아키텍트
- 비즈니스 분석가
- 포트폴리오 관리자
플랫폼 관점 클라우드를 기반으로 새로운 솔루션을 구현
온프레미스 워크로드를 클라우드로 마이그레이션하기 위한 원칙과 패턴이 포함
- 최고 기술 책임자(CTO)
- IT 관리자
- 솔루션스 아키텍트
보안 관점 조직이 가시성, 감사 가능성, 제어 및 민첩성에 대한 보안 목표를 충족하도록 보장
- 최고 정보 보안 책임자(CISO)
- IT 보안 관리자
- IT 보안 분석가
운영 관점 비즈니스 이해당사자와 합의된 수준까지 IT 워크로드를 구현, 실행, 사용, 운영 및 복구
일별, 분기별 및 연간으로 비즈니스를 수행하는 방법을 정의
- IT 운영 관리자
- IT 지원 관리자
Q. AWS Cloud Adoption Framework에서 비즈니스 목표 및 관점에 따라 AWS 인프라를 설계, 구현 및 최적화하는 데 도움이 되는 관점은 무엇입니까?
1. 비즈니스 관점2. 플랫폼 관점3. 운영 관점4. 인력 관점A.플랫폼 관점
- 비즈니스 관점은 비즈니스 전략과 IT 전략을 분리하는 모델에서 IT 전략을 통합하는 비즈니스 모델로 전환하는 데 도움이 됩니다.
- 운영 관점은 비즈니스 이해당사자의 요구 사항을 충족하도록 IT 워크로드를 운영 및 복구하는 데 중점을 둡니다.
- 인력 관점은 인사 관리(HR) 직원이 클라우드 기반 역량을 포함하도록 조직 프로세스와 직원 기술을 업데이트하여 팀이 클라우드 채택을 준비하는 데 도움이 됩니다.
6가지 마이그레이션 전략
- 리호스팅(Rehosting)
- 리플랫포밍(Replatforming)
- 리팩터링(Refactoring)/아키텍처 재설계(Re-architecting)
- 재구매(Repurchasing)
- 유지(Retaining)
- 폐기(Retiring)
리호스팅(Rehosting) = ‘리프트 앤 시프트(lift-and-shift)’
애플리케이션을 변경 없이 이전리플랫포밍(Replatforming) = 리프트 앤 시프트 및 수정(lift, tinker, and shift)
바로는 못옮기고 클라우드 최적화를 해야함
핵심 아키텍처를 변경하지 않고 달성리팩터링(Refactoring)/아키텍처 재설계(Re-architecting) 클라우드 네이티브 기능을 사용
까다로운 기능 추가, 확장 또는 성능 개선의 필요성재구매(Repurchasing) 기존 라이선스를 Software-as-a-Service 모델로 전환 유지(Retaining) 비즈니스에 중요한 애플리케이션을 소스 환경에 유지
나중에 리팩토링 할수도있음폐기(Retiring) 안쓰는 앱 제 Q. 다음 중 다른 제품으로 전환하는 마이그레이션 전략은 무엇입니까? A. 재구매(Repurchasing) AWS Snow 패밀리 멤버 AWS Snowcone 엣지 컴퓨팅 및 데이터 전송 디바이스
CPU 2개, 4GB 메모리 및 8TB의 가용 스토리지AWS Snowball Snowball Edge Storage Optimized: 저장 특화
스토리지: 블록 볼륨 및 Amazon S3 호환 객체 스토리지를 위한 80TB의 하드 디스크 드라이브(HDD) 용량, 블록 볼륨을 위한 1TB의 SATA 솔리드 스테이트 드라이브(SSD) 용량
컴퓨팅: Amazon EC2 sbe1 인스턴스(C5와 동등)를 지원하기 위한 40개의 vCPU와 80GiB의 메모리
Snowball Edge Compute Optimized: 컴퓨팅 특화(기계 학습, 비디오 분석 등)
스토리지: Amazon S3 호환 객체 스토리지 또는 Amazon EBS 호환 블록 볼륨을 위한 42TB의 가용 HDD 용량과 Amazon EBS 호환 블록 볼륨을 위한 7.68TB의 가용 NVMe SSD 용량
컴퓨팅: 52개의 vCPU, 208GiB 메모리 및 NVIDIA Tesla V100 GPU 옵션. 디바이스는 C5, M5a, G3 및 P3 인스턴스와 동등한 Amazon EC2 sbe-c 및 sbe-g 인스턴스를 실행합니다.AWS Snowmobile Snowmobile 1대당 최대 100페타바이트의 데이터를 전송
단위부터 '페타바이트'
Amazon Transcribe 음성을 텍스트로 변환 Amazon Comprehend 텍스트에서 패턴을 검색 Amazon Fraud Detector 잠재적인 온라인 사기 행위를 식별 Amazon Lex 음성 및 텍스트 챗봇 빌드 Amazon SageMaker 기계 학습(ML)
Q. AWS Cloud Adoption Framework에서 권한의 선택 및 구현을 구성하는 데 도움이 되는 관점은 무엇입니까? A. 보안 관점
모듈 10. 클라우드 여정
AWS Well-Architected 프레임워크 모범 사례 및 설계 원칙에 따라 아키텍처를 지속적으로 측정하고 개선할 영역을 파악 운영 우수성
Q. 다음 중 워크로드를 효과적으로 실행하고 운영에 대한 통찰력을 확보할 수 있는 능력이 포함되는 AWS Well-Architected 프레임워크 핵심 요소는 무엇입니까?시스템을 실행 및 모니터링
지속적인 지원 프로세스 & 절차 개선
A. 운영 우수보안성 자산 보호 능력 안정성
Q. 다음 중 의도한 기능을 일관되고 올바르게 수행할 수 있는 워크로드의 기능에 중점을 둔 AWS Well-Architected 프레임워크의 핵심 요소는 무엇입니까?서비스 중단으로부터 복구
A. 안정성능 효율성 리소스 효율적 사용 비용 최적화 가장 저렴한 가격으로 클라우드 컴퓨팅의 이점
- 선행 비용을 가변 비용으로 대체
- 거대한 규모의 경제로 얻는 이점
- 용량 추정 불필요
: 배포하기 전에 필요한 인프라 용량을 예측할 필요가 없음- 속도 및 민첩성 개선
- 데이터 센터 운영 및 유지 관리에 비용 투자 불필요
- 몇 분 만에 전 세계에 배포
Q. 다음 프로세스 중 거대한 규모의 경제의 이점을 누릴 수 있는 예는 무엇입니까? A. AWS 고객의 서비스 사용량이 누적됨에 따라 더 저렴하게 종량제 요금을 이용
'자격증 > AWS Certified Cloud Practitioner' 카테고리의 다른 글
AWS Cloud Practitioner 생소한 개념 정리 (part1) (0) | 2023.07.08 |
---|---|
AWS Cloud Practitioner Dump 30문항 및 오답노트 (part3) (0) | 2023.07.07 |
AWS Cloud Practitioner Dump 30문항 및 오답노트 (part2) (0) | 2023.07.06 |
AWS Cloud Practitioner Dump 오답노트 (part1) (0) | 2023.07.05 |
AWS Cloud Practitioner 정리 (part1) (0) | 2023.07.04 |