[AWS] AWS SAA - Solution Architect Associate 요약 노트

 

문제 풀이 위주로 시험 준비 하면서 정리한 내용입니다.

아래 내용을 알지 못한다면 문제를 풀기 어렵습니다.

 

아래 내용을 대강이라도 알고서

문제 풀이 반복 연습을 단기간에 학습이 가능 합니다.

 

---

ec2 요금제

온디멘드 인스턴스	사용한 만큼. 기본 요금제. 가장 비싸다.
스팟 인스턴스	입찰제. 가격을 제안할 수 있어 요금 저렴하나 언제든 중단 될 수 있다./ 비저장 및 중단 가능한 워크로드
예약 인스턴스	1, 3 년 일정 금액으로장기 사용 예약. 중간에 서버 성능 변경 가능하나. t2.micro 에서 t2 는 볌경 못함.
전용 인스턴스	물리적인 전용 서버를 할당 받아 사용하는 방식 전용 호스트에서 사용가능한 CPU 코어, 인스턴스 배치, 사용자 라이선스 사용 불가
전용 호스트	물리적인 전용 서버를 할당 받아 사용하는 방식 소켓당, 코어당 또는 VM 당으로 사용하는 소프트웨어 라이선스 사용 가능 CPU 코어나 물리적 서버에 할당되는 라이선스를 기존에 보유한 경우에 적합

• Host => 개인 장비. license 설치사용. core단위 s/w 라이센스 보유시는 무조건 전용 호스트
• Instance => AWS 내의 공용

---

AWS 3Tier

NLB>EC2>Database
Network Load Balancer > Listener TLS:443 설정 > Secure listener settings
Security policy와 Default SSL/TLS certificate 설정해서 웹 계층 전송되는 데이터 보안 처리를 생성
==> nlb 에 붙이는 listener 종류.

---

S3 복제

• CRR (교차리전 복제) SRR (동일 리전 복제)
  
  • S3 데이터 실시간 복제.
  • 새로 업로드된 내용만 복제한다.
  • 각 대상 리전으로의 리전 간 데이터 송신 비용도 지불
  • GB당 0.0033 USD의 데이터 라우팅 비용
  • 태평양 서울 기준으로 Client에서 S3로 데이터를 요청했을 때 1GB당 0.126$(약 한화 150원 : 2021년 12월 기준) 정도
• S3 배치 복제
  
  • 기존 객체를 복제

---

AWS Global Accelerator/ CloudFront

글로벌 네트워크와 전 세계 엣지 로케이션을 사용하는 별도의 서비스.

AWS Global Accelerator	- TCP 또는 UDP를 통해 광범위한 애플리케이션의 성능 개선 - 다수 리전에서 실행되는 App의 패킷을 프록시. - 빠른 지역 장애 복구를 요구하는 HTTP 사용 사례에 적합. - 가장 가까운 지역 엔드포인트에 대한 최적의 경로 - CloudFront 를 endpoint로 지정 가능.
CloudFront	- 정적, 동적 컨텐츠 cache 하여 성능 향상 - DDoS 완충 역할

---

RDS

• AZ single 에서 multi 로 변경 가능, 동작에 끊김 없으나 지연시간은 발생됨.
• 관리 오버해드가 발생되므로 serverless 서비스 활용.
• 선택적 사용
  • 사용이 중지 되어오 저장 비용은 청구됨
  • 7일 이후 자동으로 시작됨.
  • 장기간 사용하지 않을 경우 SnapShot을 활용.
  • EventBridge - lambda 활용하여 사용중에만 동작 하도록 설정.

---

DB

• Aurora 와 RDS 의 차이는 자동으로 스토리지의 증가. 안정성, 고가용성은 Aurora

AWS Aurora	- Aurora 와 RDS 의 차이는 자동으로 스토리지의 증가. 안정성, 고가용성은 Aurora - 기존 애플리케이션을 거의 변경하지 않고 처리량 증가. (MySQL 최대 5배, PostgreSQL의 처리량을 최대 3배 제공) - 다중 AZ 배포 - SQL port: 1433
AWS RDS	- 백업, 소프트웨어 패치, 모니터링, 확장 및 축소, 복제 같은 시간 소모적인 데이터베이스 관리 업무를 관리 - AZ single 에서 multi 로 변경 가능, 동작에 끊김 없으나 지연시간은 발생됨. RDS 프록시 RDS에 추가될 데이터를 저장하지 못한다. SQS는 데이터 저장 가능.
RDS Custom	- 기본 OS에 액세스할 수 있고 운영 오버헤드가 적다. - 다른 리전의 읽기 전용 복제본을 DR 활동에 사용할 수 있습니다. - Oracle 데이터베이스를 Amazon RDS Custom for Oracle로 마이그레이션합니다. 다른 AWS 리전에서 데이터베이스에 대한 읽기 전용 복제본을 생성합니다.

• DB 자동 백업: 35일이 최대.
• Data 업데이트에 대해 알림을 지원하지 않음: RDS의 update, insert, delete를 확인 할 수 있는 lambda 를 구현 해야함
• 읽기성능 향상
  • DB 복제
    • 복제본은 읽기 트래픽을 오프로드 하는 방법을 제공.
    • 복제본은 주 데이터 베이스와 동일한 기본 스토리지 공유.
    • 지연시간 짧다.
  • ROS 프록시: 장애조치 지원, 고 가용성 효율 향상.
  • ElastiCache, Redls: source 수정 이 많아 비효율적.
• 암호화 DB 인스턴스
  • 생성 이후 암호화 설정 불가
  • 스냅샷을 암호화 처리하여 복사본을 만들고 이를 복원하여 암호화된 복사본을 유지.

 

• 선택적 사용
  • 사용이 중지 되어오 저장 비용은 청구됨
  • 7일 이후 자동으로 시작됨.
  • 장기간 사용하지 않을 경우 SnapShot을 활용.
  • EventBridge - lambda 활용하여 사용중에만 동작 하도록 설정.

 

---

• Cognito : 회원관리
• GuardDuty : 외부침입분석
• Inspector : 내부취약점분석
• Macie : 민감한 개인정보 관리

---

s3 종류 / Service

S3 Standard(범용)	- 3개의 가용영역에 데이터 저장, 자주 액세스하는 파일을 저장하는 데 사용
S3 Standard-IA (Standard Infrequent Access)	- 3개의 가용영역에 데이터 저장, 자주 액세스하지 않는 파일을 저장하는 데 사용
One Zone IA (One Zone Infrequent Access)	- 1개의 가용영역에 데이터 저장, 자주 액세스하지 않는 파일을 저장하는데 사용
S3 Intelligent-Tiering(지능형 계층화) 혹은 EFS 수명주기 관리 정책	- 액세스 패턴을 알 수 없거나 예측할 수 없는 데이터용, 액세스 패턴을 모니터링하고, 액세스하지 않은 객체를 저렴한 액세스 계층으로 자동으로 이동 - 다음 세가지 형태로 저장.ㄱ > Frequent Access 계층  > Infrequent Access 계층 - 30일 접근 없을 경우. > Archive Instant Access (신규) - 90일 접근 없을 경우.
S3 Glacier/ Instant Retrieval	- 분기에 한 번 액세스하는 오래된 아카이브 데이터 용도
S3 Glacier/ Flexible Retrieval	- 일 년에 한 번 액세스하는 오래된 아카이브 데이터 용도
S3 Glacier/ Deep Archive	- 일 년에 한 번 미만으로 액세스하는 오래된 아카이브 데이터 용도

• Transfer Acceleration
  • 전 세계에서 S3 버킷으로의 전송 속도를 최적화하도록 설계.
  • s3 서비스 및 온사이트 프레미스에서 작동합니다.
  • 더 빠른 속도를 허용하지만 비용이 추가됩니다.

---

Storage

EFS(Elastic File System)	- NFS프로토콜을 이용하는 리눅스 OS에서 사용하는 네트워크 파일 스토리지 - 여러 가용영역에 있는 수백대의 EC2 연결 가능 - Linux 전용 - 빠른 스냅샨 복원 (FSR): I/O작업 대기시간 제거.
EBS(Elastic Block Store)	- 동일한 가용영역에 있는 1개의 EC2 연결 - 1개의 EC2에 여러 개 EBS 연결 가능 (EC2=N:1)
Storage Gateway	- 온프레미스 데이터 센터 <==> AWS Service 연결. - (파일/볼륨/테이프 게이트웨이) - 하이브리드 클라우드 스토리지로도 부름 - 온프레미스 인프라 + AWS 인프라
Direct Connect	- 온프레미스 데이터 센터 <==>  AWS S3 - 전용 Network 연결. - 이 연결은 공용 인터넷을 우회하며 온프레미스 애플리케이션과 Amazon S3 간에 보다 안정적이고 지연 시간이 짧은 통신을 제공 - 설치에 1개월 필요 - Direct Connect + VPN: VPN 연결보다 더 일관된 네트워크 경험을 제공합니다.
Amazon FSx for Lustre	- 확장 가능한 고성능 완전 관리형 분산 파일 시스템을 제공 - 게임 애플리케이션과 같은 고성능 워크로드용으로 설계된 완전 관리형 파일 시스템입니다. - HPC, Linux 에서 사용됨. 고성능. - Lustre용 Amazon Fsx는 Amazon S3와 통합
FSx 파일 게이트웨이	온프레미스 시설에서 Windows File Server 파일 공유

---

Amazon Redshift

데이터 분석 서비스
데이터 웨어하우스는 정보에 입각한 의사 결정을 내릴 수 있도록 분석 가능한 정보의 중앙 리포지토리
 

---

Other Services

Shield	DDos	Shield Standard : (무료)모든 AWS 사용자에게 적용. SYN/UDP Flood 등 기본적인 DDoS공격 보호 Shield Advanced : (유료)EC2, ELB, CloudFront, Route53 등에서 정교한, 대규 DDoS 보호제공
WAF (Web Application Firewall)	DDos	웹 애플리케이션을 보호하는 방화벽으로 HTTP (OSI 7계층)에서 동작 Application Load Balancer, API Gateway, CloudFront에 적용 가능 WAF의 Web ACL(Access Control List)를 통해 정의할 수 있는 기능 ✓ 악성 IP 주소차단 ✓ 특정 국가의 엑세스 제어(차단) ✓ SQL Injection, Cross-Site-Scripting(XSS) 방어 ✓ 속도기반규칙(Rate-based rules)으로 DDoS공격방어 Rate-based rules는 공격자의 악의적인 요청(Reqeust)에 대해 일정 임계치(Threshold)를 통해 공격자의 요청을 블록킹
Cloudfront	DDos	웹 사이트의 콘텐츠를 여러 엣지 위치에 배포할 수 있으므로 DDoS 공격의 영향을 흡수하고 웹 사이트의 다운타임 위험을 줄일 수 있습니다.
Route 53
GuardDuty		Network, resource 분석. 잠재적 위협 식별 탐지.
Inspector		EC2 runtime 동작 분석, 보안 취약성 식별.
AppFlow		SaaS(Software-as-a-Service) 애플리케이션 간에 데이터를 안전하게 전송
AWS Lake Formation		- s3에 저장됨 -> 데이터 레이크 -> athena(SQL Parquet 형식 처리) -> Quicksight 시각화 - 분석 목적(E)을 위해 모든 데이터를 보관하는 중앙 위치로 사용합니다. Athena는 S3와 완벽하게 통합되며 쿼리를 생성할 수 있습니다
OpenSearch		- 로그 분석, 실시간 애플리케이션 모니터링, 클릭 스트림 분석 같은 사용 사례를 위한 완전한 오픈 소스 검색 및 분석. - CloudWatch Logs 그룹을 구성하여 스트리밍 가능.

 

---

Organizations - 내부에서 외부로 접근 제어

• 여러 AWS 계정을 중앙에서 관리하는 글로벌 서비스
• 전체 계정을 관리하는 계정을 관리계정(Master Account)라고 함. 그 외의 계정은 멤버 계정이라고 부름
• 조직관리를 위해 OU(Organization Unit)이라는 조직 단위로 그룹화 하여 관리
• 그룹마다 서비스 제어 정책(SCP, Service Control Policy)를 적용해서 액세스를 제한 해야 하는 서비스를 제어할 수 있음
  • VPC가 인터넷에 액세스하지 못하도록 하는 SCPS(서비스 제어 정책)를 구성합니다.
  • ap-northeast-3을 제외한 모든 AWS 리전에 대한 액세스를 거부

Control Tower - 외부에서 내부로 접근 제어

• VPC에 대한 인터넷 액세스를 제한
• 특정 지역을 제외한 모든 지역에 대한 액세스를 거부

---

SQS

• 완전 관리형 메시지 대기열 서비스
• SNS 는 수신자에게 데이터를 push, SQS는 수신자가 직접 데이터를 Polling
• Message Visibility: 가시성 제한 시간은 SQS 대기열에서 수신한 메시지가 다른 소비자에게 숨겨지는 시간을 결정. 가시성 제한 시간을 늘려 처리 이후 삭제까지 지연 시간 확보.
• 초당 최대 3,000개의 메시지를 처리: 초당 10,000개 메시지까지 증가 가능
  • SQS API는 초당 많은 양의 요청을 처리하도록 설계되었으므로 대기열의 최대 메시지 처리량을 초과하는 속도로 대기열에 메시지를 보내는 데 사용할 수 있습니다.
• DLQ: 성공적으로 처리(사용)할 수 없는 메시지를 대상으로 지정할 수 있는 배달 못한 편지 대기열

---

S3 보안

• S3 객체 잠금 WORM(Write-Once-Read-Many): 개체가 고정된 시간 동안 또는 무기한 삭제되거나 덮어쓰이는 것을 방지
  • 새 버킷에 대해서만 객체 잠금을 활성화 
  • 특정 사용자가 삭제 기능 필요한 경우, 권한 추가
  • 잠금 type
    • 거버넌스 모드: 관리자와 같은 일부 사용자에게 허용
    • 규정 준수 모드: 관리자를 포함한 모든 사용자에게 금지, 보관 기간 줄일 수 없음.
  • 기간: 기간과 법적 보존 설정은 독립적.
    • 보관 기간 설정
    • 법적 보존: 기간 없음. 특정 권한 있는 사용자는 접근 가능. PutObjectLegalHold 
• MFA(Multi-Factor Authentication) 삭제 활성화
  • 객체 버전을 영구적으로 삭제하기 전에 유효한 MFA 코드를 제공해야 하므로 보안 계층 추가.
  • 버킷의 객체가 실수로 삭제되는 것을 방지.
  • Policy 사용하는 경우 우발적, 무단 접근으로부터 보호안됨.
• KMS 다중 리전 kay(SSE-KMS)로 서버 측 암호화. Amazon Athena를 사용하여 데이터를 쿼리합니다.
  • 서버측 암호화: Client 에서 Put/ Get 요청에 암호화 key 를 함께 전달 하여 S3 에서 암호화
  • Client 측 암후화: Client 에서 암호화 하여 S3에 전달. 복호화도 Client 에서 진행.
• CloudFront 에서만 접근 가능 하도록 설정: CloudFront 배포의 Origin Access Identity (OAI)를 명세 / S3를 public 으로 open 하지 않아도 된다.
• S3 Signed URL 을 CloudFront Signed URL 로 변경 가능.
• CORS 설정

---

DB 보안

• DB 공유
  • 암호화된 snapshot 생성, 감사자와 공유. KMS 암호화 키에 대해 계정 공유 허용.

---

Cost

Cost Explorer	월별/시간 세분화된 IN-DEAPTH 분석

---

Config / CloudTrail / Tag Editor - Resource 구성 감시.

• Config
  • AWS 리소스의 구성을 평가, 감사 및 평가할 수 있는 완전관리형 서비스입니다.
  • 리소스 구성에 대한 변경 사항을 추적합니다.
  • AWS 리소스에 대한 자세한 API 호출 기록을 제공
  • 구성 규칙을 사용하여 AWS 환경의 리소스에 대한 조건을 정의한 다음 해당 조건이 충족되는지 자동으로 확인
  • 만료된 인증서 검사: EventBridge-lambda 를 사용하는 것이 비용 절감.
• CloudTrail
  • 사용자 활동 및 API 호출 기록을 추적
  • TagResource UntagResource: 태그 리소스의 구성 및 수정 검사.
    • Config 에서도 가능하나 비용문제로 CloudTrail 
• Tag Editor
  • 한 번에 여러 리소스에 태그를 추가하거나 태그를 편집 또는 삭제
  • 태그를 관리할 리소스를 검색한 후 검색 결과에 나온 리소스에서 바로 태그를 관리
  • Resource Groups 및 태그 편집기

---

DynamoDB

• 특정시점 복구(PITR): dynamoDB 복구 기능은 35일 이내 특정 시점으로 복원 가능.
• RDS와 같은 읽기 전용 복제 지원안함.
• DynamoDB Accelerator (DAX): 테이블 성능 10배까지 향샹 시키는 메모리 캐시. DAXendpoint 사용 하도록 수정.
• 400KB의 파일을 업로드
• 요금제
  • On-Demand (pay per request): 사용한 만큼 지불
  • Provisioned: 미리 사용량 정해두고 지불. 초당 RW 수.
  • Auto Scaling
    • 프로비저닝된 처리 능력을 실제 트래픽 패턴에 따라 사용자 대신 동적으로 조정
    • 읽기 및 쓰기 용량에 대해 20%와 90% 사이에서 Auto Scaling 목표 사용률 값을 설정
    • 글로벌 보조 인덱스에는 기본 테이블과 별도로 자체 프로비저닝된 처리 능력이 있습니다.

---

Systems manager  (Session Manager)

• 다수의 EC2 인스턴스, 온프레미스 서버 및 가상 머신(VM)을 원격으로 안전하게 액세스
• 포트, 배스천 호스트 유지 또는 SSH 키 관리
• Run Command: 여러 EC2 인스턴스에서 명령 또는 스크립트를 실행/ 1,000개의 모든 EC2 인스턴스에 빠르고 쉽게 패치를 적용
• 사용자 이름과 암호가 KMS로 암호화되고 자동 교체됩니다.

---

Secrets Manager

• 데이터베이스 자격 증명, API 키 및 SSH 키와 같은 비밀을 저장, 관리 및 교체할 수 있는 비밀 관리 서비스입니다.
• Source 내의 자격증명을 Secrets Manager 에서 관리. Secret key 와 source 분리.
• 애플리케이션에 하드코딩되지 않고 정기적으로 자동 교체
• EC2 인스턴스 액세스 권한을 부여하려면 필요한 권한을 EC2 역할에 연결
• 지정된 일정에 따라 자동 교체 하도록 설정 가능.
• 다중 리전 암호 복제 사용 일정에 따라 암호를 교체.

---

Data 마이그래이션

• AWS DMS(AWS Database Migration Service)
  • 데이터베이스용으로 json, txt 는 안된다.
  • 마이그래이션 과정에서 DB는 동작 상태 유지.
• AWS DataSync
  • 전송과정에서 자동으로 encrypts.
  • 온프레미스 스토리지 시스템과 Amazon S3 또는 기타 스토리지 대상 간에 데이터를 효율적이고 안전하게 전송하는 데이터 전송 서비스
  • 100GB를 100Mbps 속도로 이동 할 경우 cli 의 s3 sync 보다 DataSync.
• Snow XX

Snowcone	휴대가 가능한 가장 작은 디바이스 14TB
Snowball	Snowball Edge Storage Optimized는 80TB, 데이터 1PB를 옮기려면 디바이스 13대 빌려야함
Snowmobile	세미트레일러 트럭 100PB

---

고가용성

• AZ를 여러개 사용
• EC2, EBS 보다 S3 사용

---

Macie

• 기계 학습(ML) 및 패턴 일치를 사용하여 중요한 데이터를 검색하고 보호
• 이름, 주소, 신용카드 번호와 같은 개인 식별 정보(PII)를 포함하여 중요한 데이터 유형 목록을 자동으로 탐지
• Amazon S3에 저장된 데이터의 데이터 보안 및 데이터 프라이버시에 대한 지속적인 가시성을 제공합니다.

---

ALB/ NLB

• LoadBalancer 는 Public 에 설치되고 Private 에 있는 EC2와 연결됨.

ALB	HTTP, HTTPS, TCP, and SSL Layer 7 - Port number
NLB	TCP, TLS, and UDP Layer 4 - Protocol
Gateway LB	VPC의 트래픽에 대한 인라인 검사를 수행 Layer 3 - Network
Trasit Gateway	다른 VPC와 통신할 수 있는 VPC만 제한

• 웹 서버용 보안 그룹 생성 및 로드 밸런서에서 포트 443 허용, MySQL 서버용 보안 그룹 생성 및 웹 서버 보안 그룹에서 포트 3306 허용
  • 생성은 보안 그룹을 의미.
  • 에서는 From

---

데이터 자동 감지 분석

Comprehend

• Text, 자연어 처리 서비스.
• Comprehend Medical
  • HIPAA 적격 자연어 처리(NLP) 서비스로, 미리 학습된 기계 학습을 사용하여 처방전, 처치, 진단과 같은 의료 텍스트에서 의료 데이터를 파악하고 추출
  • 의료 텍스트에서보호 대상 건강 정보(PHI) 를 정확하게 식별할 수 있는 완전 관리형 서비스입니다.
  • Textract 및 Comprehend Medical에 대한 사용 요금 외에 추가 비용이 발생하지 않습니다.

Rekognition (인식)

• 이미지, 비디오 분석 서비스

Transcribe

• Autio to Text

Textract

• Image ==> Text
• 스캔한 문서에서 텍스트, 필기 및 데이터를 자동으로 추출하는 기계 학습(ML) 서비스
• Image ==> Textract =text=> Comprehend

---

Network Firewall - VPC

• Amazon Virtual Private Cloud(Amazon VPC)에서 생성한 Virtual Private Cloud(VPC)를 위한 상태 저장 관리형 네트워크 방화벽 및 침입 탐지 및 방지 서비스입니다.
• VPC 경계에서 트래픽 필터링: VPC를 위한 상태 저장 관리형 네트워크 방화벽 및 침입 탐지 및 방지 서비스
• 여기에는 인터넷 게이트웨이, NAT 게이트웨이 또는 VPN이나 AWS Direct Connect를 통해 들어오고 나가는 트래픽 필터링이 포함됩니다.

AWS Firewall Manager - WAF

• AWS Firewall Manager는 API Gateway 관리형 REST API를 포함하여 계정 및 애플리케이션 전체에 보안 정책을 설정할 수 있는 중앙 집중식 서비스
• 다양한 보호를 위해 여러 계정 및 리소스에 대한 관리 및 유지 관리 작업을 간소화합니다
• 두 리전에서 AWS Firewall Manager를 설정하고 AWS WAF 규칙을 중앙에서 구성하면 규칙이 중앙에서 관리되고 모든 계정 및 서버에서 자동으로 적용

---

DB 확장

• MySQL용 RDS는 확장하는 데 시간이 필요, 즉시 확장할 수 없습니다.
• Kubernetes Cluster Autoscaler는 Auto Scaling 그룹보다 더 잘 확장할 수 있지만 확장하는 데 시간이 필요

---

Auto Scaling

• warm up 조건을 설정하여 EC2 확장이 필요한 시기를 조절 가능.
• EC2 시작 시간 지연이 있을 경우 확장 조건이 해결되지 않으므로 (CPU, Request 개수) 다수의 EC2가 불필요하게 실행될 수 있음.
• Auto Scaling 대상 : EC2, DDB, Spot Fleet(Spot 인스턴스), Aurora, ECS(도커) 등 
• Auto Scaling 크기 조정 : 가장 효율적인 방법은 "동적 크기 조정 + 예측 크기 조정"을 함께 사용
• 임의이 요일에 갑작스러운 트래픽 증가. => 특정 요일이 아닌 임의의 요일. 동적 스케일.

구분	내용
동적 크기 조정  (Dynamic scaling)	- Target tracking scaling (대상 추적 조정, 권고) : CloudWatch 지표와 목표값을 기준으로 그룹의 용량 조정    ex) 더 낮은 CPU 임계값에서 트리거 되는 대상 추적 작업을 구현, 휴지기간을 줄인다. - Step scaling (단계 조정) : CloudWatch 경보(지표 하한값, 지표 상한값) 설정 기반으로 그룹의 용량 조정 - Simple scaling (단순 조정) : 단계 조정과 비슷, Auto Scaling 초기부터 지원한 옵션
예측 크기 조정 (Predictive scaling)	- CloudWatch의 기록 데이터를 기반으로 필요량 예측 - 워크로드가 특정 요일이나 시간에 반복되는 로드 패턴을 나타내는 경우 - 최소 24시간 기록 데이터 기반으로 예측 생성 시작, 2주는 필요함. - 14일 동안의 CloudWatch 데이터 패턴을 찾아 이후 48시간 동안의 시간별 예측 생성 - ex) 업무시간에만 사용량 증가. - ex) 월별 일정을 기반으로EC2 Auto Scaling예약 조정 정책을 구성
수동 변경

 

---

EC2

• 특정 resource 에 접근 하기 위해서는 IAM 역할 설정 필요
•  SnapShot
  • 메모리 내용 보관: AMI 는 메모리 내용이 포함되지 않는다. 절전 모드 사용

• Savings Plans
  • 개요
    • 1년 또는 3년 동안 시간당 사용 비용을 약정하여 EC2, Lambda 및 Fargate 사용량에 대해 저렴한 가격을 제공하는 할인 모델
    • 약정 용량을 넘어가면 On-Demand 요금.
  • Compute Savings Plans
    • EC2 인스턴스 패밀리, 인스턴스 사이즈, AZ, 리전, OS, tenancy 관계 없이 적용
    • Fargate, Lambda에 적용
  • EC2 Instance Savings Plains
    • AZ, 인스턴스 사이즈, OS, Tenancy 관계 없이 적용
    • EC2 만 가능. 리전, 인스턴스 패밀리는 지정
• 데시보드 공유
  • cloudwatch:GetInsightRuleReport - cloudwatch:GetMetricData - cloudwatch:DescribeAlarms - ec2:DescribeTags
  • 데시보드에서 공유 기능은 "사용자 이름 + 암호" 를 지정하여 IAM 설정 없이 공유 가능.

---

Big Data 

• Kinesis
  • FireHouse 는 DynamoDB 지원하지 않아 데이터 수집 및 저장은 Data Stream 사용
  • Data Stream ==> Lambda 전처리 ==> DynamoDB.
• Redshift
  • 데이터 분석 서비스
  • 데이터 웨어하우스는 정보에 입각한 의사 결정을 내릴 수 있도록 분석 가능한 정보의 중앙 리포지토리
• Glue
  • 작업 북마크
    • ETL 작업이 처리된 데이터를 추적하고 이미 처리된 데이터를 건너뛸 수 있습니다.
    • "작업 북마크 사용" 옵션을 "True"로 설정

---

인증서

• Certificate Manager (ACM)
  • 인증서 발급/ 발급한 인증서는 자동 갱신 가능.
  • 외부 인증서 등록/ 등록한 인증서는 EventBridge 를 통해 알림 전송, 수동 교체.
  • CloudFront 의 경우 us-east-1 에서 외부 인증서 첨부. 
  • 외부 인증서 사용법 (동일 region)
    • API Gateway 생성
    • Domain 연결
    • 인증서 ACM 에 업로드.
    • API Gateway 에 인증서 등록.

---

모놀리식

• 마이크로서비스 아키텍쳐의 반대 되는 개념으로 전통의 아키텍쳐를 지칭하는 의미로 생겨난 단어입니다. 하나의 서비스 또는 애플리케이션이 하나의 거대한 아키텍쳐를 가질 때
• ECS 활용이 효율적.

---

CloudWatch

• system 감시 기능
  • 복합경보: 조건을 하나만 정하지 않고 2개 이상./ 하나의 조건으로 인한 잘못된 경보 노이즈 줄인다.
• CloudWatch Logs 로그 그룹을 구성하여 거의 실시간으로 Amazon OpenSearch Service 클러스터로 수신하는 데이터를 스트리밍