* 본 게시물은 AWS Cloud Service들에 대한 요약으로, 현재도 정리가 진행 중(추후 시각화 및 카테고리 세분화 예정)이며, 클라우드를 하는(혹은 하려는) 사람이라면 아래 서비스들의 이해도가 높을 수록 클라우드를 잘 사용할 수 있을 것이며, 참조 바랍니다.
- 게시물 내용 중 불일치 하거나, 보충 내용이 있으면 좋겠다는 내용의 경우 댓글 부탁드립니다
[AWS 서비스 요약]
- ECS : Docker(컨테이너) 기반으로 인프라 운영, 관리 지원 서비스
- 컨테이너 운영 호스트 형태에 따라 EC2, Fargate, External 등으로 나뉨
- EC2 : 용량 공급자(Capacity Providers)를 통한 용량 할당으로 사용되는 VM
- Fargate : 서버리스 VM으로 EC2처럼 배포, 관리가 필요 없음
- External(ECS AnyWhere) : AWS 밖에서도 AWS 관리 콘솔로 제어 가능한 VM
- IAM(Identity and Access Management) : 리소스에 대한 액세스 제어(계정관리 목적) 서비스
- IAM User : 실제 사용자 단 한명을 의미(루트 계정이 아님)
- IAM Group : 동일한 권한을 가진 IAM User들을 모은 개념(그룹 정책 적용 가능)
- IAM Role : Entity가 맡을 수 있는 임시 권한으로, IAM에서 서비스 요청을 위한 권한 세트(권한이 부여된 역할을 할당) - 임시 보안 자격 증명
- IAM Policy : JSON 형태로 기술 된 권한이 엮인 정책을 지정, 할당
- IAM 기반 정책
- Resource Based Policy(연결 자원이 무엇인가) : 객체를 중심으로 적용되며 즉, '이 대상에 대해 이러이러한 권한이 누구누구에게 부여된다' 라는 뜻 (Principal 속성이 생략되지 않고 반드시 들어감)
- 일부 공유 자원 성격을 가진 서비스에서 사용(S3, SQS 등)
- ID-based Policy(연결 대상이 누구인가) : Principal이 정책내에 언급되지 않음(즉 생략되며, 정책에 연결된 보안 주체(사용자, 그룹 등)가 암묵적인 Principal 대상이 되어서 생략 가능) 즉, '이 정책과 연결된 보안 주체는 어떤 대상에 대해 이러이러한 권한이 부여된다' 라는 뜻
- 모든 AWS 서비스에 연관되는 정책
- SQS(Simple Queue Service) : 애플리케이션 간 메세지 전달 목적의 Queue 서비스(타 서비스에서 사용 가능하도록 메세지를 잠시 저장하는 용도 - Pull 방식으로 타 서비스로 SQS를 보내서 해당 메세지를 가져가게함)
- AWS Kinesis : 실시간 스트리밍 데이터 분석 시스템(S3나 Redshift와 연동 가능)
- Kinesis Video streams : 비디오 스트림을 캡처 처리 및 저장
- Kinesis Data streams : 데이터 스트림을 캡쳐, 처리 및 저장
- Kinesis Data firehose : 데이터스트림을 AWS데이터 스토어로 로드
- Kinesis Data analytics : SQL 또는 Java를 통해 스트림 데이터를 분석
- Redshift : 데이터 웨어하우스 (일종의 관계형 DB)
- Redshift Spectrum : 데이터를 Redshift에 적재하지 않고, 별도 로딩 없이 S3 내에있는 데이터 소스를 직접 읽을 수 있는 기능(데이터 크기에 상관없이 쿼리가 빠름)
- S3(Simple Storage Service) : 최소 3개의 AZ에 데이터를 저장하여 내구성이 우수한 객체 스토리지 서비스(일종의 파일 서버)
- S3 Bucket : 저장할 수 있는 객체와 용량이 무제한대인, S3에서 생성 가능한 최상위 디렉토리 개념의 객체 스토리지로, 데이터 저장 시, 검색에 필요한 키를 할당, Key와 Value를 통해 데이터를 검색 가능 (용량 자체는 무한이나, 한번에 최대 업로드 양은 5TB)
- S3 Intelligent-Tiering: 알 수 없거나 변화하는, 상대적으로 접근 빈도가 낮은 데이터액세스 패턴의 데이터
- S3 Standard-Infrequent Access(S3 Standard-IA): 수명이 길지만 자주 액세스하지 않는 데이터(단, 액세스 시 즉시 사용할 수 있음)
- S3 One Zone-Infrequent Access(S3 One Zone-IA: 고가용성 필요 없고 자주 액세스하지 않는 데이터
- S3 Glacier(S3 Glacier): 장기 아카이브, 몇 분에서 몇 시간 추출, 다른 S3 클래스와 데이터 전송 가능(Elastic 처럼 분석 등은 불가하고, 저장이 핵심 목적)
- S3 Glacier Deep Archive: 장기 아카이브, 가장 저렴, 1년에 한두 번 액세스, 7-10년 이상 보존, 12시간 내 복원
- Storage Class Analysis: 스토리지 액세스 패턴을 분석하고 해당하는 데이터를 적절한 스토리지 클래스로 전환
- S3 수명 주기 관리(Life Cycle management): 미리 정의된 정책으로 객체의 수명 주기를 정의하여 비용 절감
- S3 Cross-Region Reflect(CRR): 다른 AWS 리전에 걸쳐 버킷 간에 데이터를 자동으로 복제
- VPC(Virtual Privacy Cloud) : AWS에서 논리적으로 격리된 가상 클라우드(일종의 VLAN처럼 내부 클라우드 네트워크를 논리적으로 분리 - 대부분 서비스가 VPC에 의존적으로 연동이 되야 통신 가능)
- VPC 계층 방어 순서
1. VPC 라우팅 테이블
2. 서브넷 ACL (IN/OUT Bound - NACL : 인/아웃 모두 신경써야 함)
3. EC2, 탄력적 네트워크 인터페이스 보안 그룹(SG - Service Group : 인바운드만 신경쓰면 됨)
4. 서드 파티 호스팅 기반 보호
- ELB(Elastic Load Balance) : 수신 트래픽을 여러 EC2 인스턴스, 컨테이너, IP주소로 분산하는 관리형 로드 밸런싱 서비스
- Bastion Host : 공인 IP주소로 프로비저닝 된 후, SSH로 액세스 될 수 있는 인스턴스로 구성 후 점프 서버 역할이 되어 공인 IP 없이도 즉시 보안 연결이 가능한 프로비저닝 된 호스트
(즉, 중계 서버 역할로 흐름은 대략적으로, 외부 IP -> (공인 IP)Bastion Host(공용 IP) -> 내부 인스턴스)
- Provisioning : 사용자 요구에 따른 시스템 자원 할당, 배치, 배포를 사전에 해두고 필요 시 시스템을 즉시 사용할 수 있게 제공 (OS, Storage, Policy 등등)
- AWS SNS(Simple Notification Service) : 앱 간 혹은 앱과 사용자 간 통신을 위한 완전 관리형 메세징 전달 서비스(메세지 보관이 불가하며, Push 방식으로 전달)
- EBS(Elastic Block Store) : AWS 인스턴스들과 연동되는 스토리지로, 인스턴스용 영구 블록 스토리지(복제, 스냅샷, 암호화가 가능한 일종의 하드디스크 패키지)
- Athena : S3에 저장된 데이터에 Query 하여 다루는 서버리스 서비스
- Lambda : 실행시에만 요금이 청구되는(초단위 대여) 서비리스 컴퓨팅 서비스 (별도 서버 셋업 없이 바로 상태 비저장 코드 실행 가능함)
- CloudTrail : AWS 계정 관리, 규정 준수 및 운영 위험 감사를 지원, S3로 결과가 전송되는 서비스(대략 사용자 활동 모니터링 및 로그를 기록하여 저장)
- AWS Trusted Advisor : 비용 절감, 성능 개선, 보안 강화에 도움되는 지침을 제공하는 서비스
- cloudwatch : AWS 클라우드 리소스 및 애플리케이션 모니터링 서비스(사용량 관련 추적)
- EventBridge : AWS 서버리스 아키텍처로 Lambda나 SNS 등과 애플리캐이션 연결이 가능한 서비스
- ARN(Amazon Resource Name) : API 호출 등 AWS의 리소스를 고유하게 식별(지정)하는 용도로 사용(IAM 역할의 ARN 지정도 가능)
- Cognito : AWS 로그인 관리 기능으로 웹/모바일 앱에 대한 인증과 권한 부여 사용자 관리 등의 제어 서비스(사용자 or 자격 증명 Pool 구성 등 가능)
- AWS STS(Security Token Service) : AWS 리소스 액세스 관련 임시 보안 자격 증명
- RDS(Relational Database Service) : AWS 클라우드에서 관계형 데이터베이스를 더 쉽게 설치, 운영 및 확장할 수 있는 웹 서비스
- AMI(Amazon Machine Image) : EC2 인스턴스의 상태를 그대로 저장하여 재사용 할 수 있도록 만든것 (일종의 VMWare Snapshot과 유사)
- DynamoDB : NoSQL(완전관리형) DB 서비스
- DAX(DynamoDB Accelerator) : DynamoDB용 메모리 캐시 기능
- Glue : 데이터를 특정 개체에서 추출, 변환하여 타 목적지(S3 등)에 적재하는 서비스(일종의 데이터 전처리기)
- ETL : Extract(추출), Transform(변환), Load(적재)
- AWS DataSync : On-premise 스토리지와 AWS 스토리 간 데이터 이동을 단순화, 자동화 및 가속화 하는 온라인 데이터 전송 서비스
- route53 : AWS DNS 서비스
- 단순 라우팅 정책(Simple routing policy) : 도메인에 대해 하나의 리소스로 라우팅 eg.) www.example.com -> 150.1.1.1)
- 장애 조치 라우팅 정책(Failover routing policy) : Primary로 설정한 리소스에 문제가 생기면 Secondary로 지정한 리소스로 라우팅
- 지리 위치 라우팅 정책(Geolocation routing policy) : 사용자의 위치에 기반하여, 미리 설정한 경로로 라우팅. eg.) USA에서 접속하면 us-east-1
- 지리 근접 라우팅 정책(Geoproximity routing policy) : 리소스의 위치를 기반으로 사용자와 가장 인접한 서비스 리전으로 라우팅
- 지연 시간 라우팅 정책(Latency routing policy) : 여러 AWS 리전에 리소스가 있고 가장 지연이 적은 리전으로 트래픽을 라우팅
- 가중치 기반 라우팅 정책(Weighted routing policy) : 사용자가 지정하는 비율에 따라 여러 리소스로 트래픽을 라우팅하려는 경우에 사용함
- 다중 응답 라우팅 정책(Multivalue answer routing policy) : Route 53이 DNS 쿼리에 무작위로 선택된 최대 8개의 정상 레코드로 응답하게 하려는 경우에 사용합니다. A 레코드를 여러 개 응답하여 로드밸런싱을 만듬
- Beanstalk : Dokcer 컨테이너 기반 앱을 쉽게 배포, 운영 관리를 지원하는 AWS 서비스(일종의 Provisioning)
- EFS(Elastic File System) : EC2용 관리형 파일 Storage(일종의 NAS)
- FSx : 점유도 높은 파일 시스템 구성을 위한 하드웨어/소프트웨어 완전 관리형 프로비저닝 파일 시스템
- Snowball : 데이터 마이그레이션 및 엣지 컴퓨팅 디바이스로, 물리적 실체가 있어 AWS에 요청 시, sNOW BALL을 배송 받은 후, On-premise의 데이터를 빠르게 snowball로 이전, 작업 완료 시, 해당 장비를 다시 AWS로 배송하여 S3 Bucket에 저장하는 형식(페타바이트 급 규모 전송 시 적절하며, 물리적으로 격리된 환경이거나, 온라인 전송이 부적합 할 시 사용)
- Snowmobile : 초 대용량 데이터를 AWS로 이전 시 사용하는 엑사바이트 규모 데이터 전송 서비스
- Snowcone : Snowball 디바이스가 제약, 적합하지 않은 환경에서 데이터 마이그레이션을 지원
- Region : AWS의 모든 서비스가 위치하고 있는 물리적 장소
- AZ(Availability Zone) : Region 내의 클라우드 서비스를 논리적 영역으로 분리한 것
- RDS Multi-AZ 옵션 : DB서버 동기화로 특정 AZ의 장애가 발생하더라도, 다른 AZ에 복제된 DB를 바로 사용할 수 있도록 시스템 자동 대체(Failover)이 가능한 기능
- EC2 Spot Fleet : 원하는 인스턴스의 수와 Type을 설정할 시, 조건 내에서 가장 저렴한 조합의 Instance로 생성해주는 서비스
- DLM(Data Lifecycle Manager) : EBS 볼륨을 백업하기 위해 만든 스냅샷의 생성, 보관, 삭제 등을 자동화하는 서비스
- Auto Scaling : aws에서 애플리케이션 모니터링 및 용량을 자동 조정하여 최대한 저렴한 비용으로 성능을 유지하는 서비스
- ACM(AWS Certificate Manager) : 서버 인증서를 프로비저닝, 관리 및 배포하기 위한 기본 도구
- GuardDuty : AWS 계정 및 워크로드를 보호하는 지능형 위협 탐지 보안 서비스
- AWS QuickSight : 특정 데이터에 대한 시각화 대시보드를 생성, 타 사용자와 공유 가능한 서버리스 매니지드 서비스
- AWS Batch : 사용자가 AWS에서 수많은 배치 컴퓨팅(Batch Process : 한꺼번에 일괄 처리)작업을 효율적으로 실행하게 해주는 배치 관리 기능 세트
- CMK (Customer Master Key) : 데이터 암호화에 사용하는 데이터 키의 생성 자체에 관여하는 키
- EKS(Elastic Kubernetes Service) : AWS에서 쿠버네티스(컨테이너화 된 애플리케이션 배포, 관리 소프트웨어)를 따로 설치 할 필요 없이 사용할 수 있게 지원하는 서비스
- EMR(Elastic MapReduce) : AWS Instance를 통해 하둡, 스파크 클러스터(빅데이터 관련) 프레임 워크를 구축, 운영할 수 있는 서비스
- Aurora : MySQL 및 POSTgreSQL과 호환되는 완전 관리형 관계형 DB 엔진으로 DB 처리량이 매우 높음
- ACM(AWS Certificate Manager) : AWS 내부 리소스에 사용할 공인 공인 및 사설 SSL/TLS 인증서를 프로비저닝, 관리 및 배포 지원하는 서비스
- AWS Tag : AWS 자원 관리 편의를 위해 사용자가 정의하는 키와 값의 쌍
- Elastic IP : 동적 클라우드 컴퓨팅을 위한 고정 퍼블릭 IP로, 인스턴스 재실행 시에도, 고정IP가 아닌, 변경이 없는 Elastic IP를 할당하여 사용
- ECR(Elastic Container Registry) : Docker Container의 이미지를 S3에 저장하는 저장소 서비스(구축, 관리 등을 AWS에 맡기는 매니징 서비스)
- CORS(Cross-Origin Resource Sharing) : 웹 브라우저에서 현재 사용자가 접속한 웹 에플리케이션이 타 출처의 리소스를 불러올 시 Access-Control-Allow-Origin 헤더를 반환하지 않으면 리소스를 거부하는 보안 정책
- FSx Lustre : HPC(고성능 컴퓨팅), 머신 러닝 등의 고성능 기능 기반에 최적화된 파일 시스템
- IOPS(Input/output Operation Per Second) : AWS의 저장 장치 성능을 나타내는 단위로, 초당 처리되는 I/O의 개수
- MFA Delete : 해당 기능은 삭제 작업을 하는 사용자에게 MFA 코드 인증을 요구하는 추가 보안 기능(MFA 기능을 삭제하는게 아님)
- SES(Simple Email Service) : 사용자 이메일 주소 및 도메인을 사용해 SMTP방식과 API방식으로 사용되는 AWS 기반 이메일 발송 서비스
- Versioning : S3 Bucket에서 동일한 경로로 객체 데이터에 변경이 발생할 시, 기존 객체 데이터를 보존해 주는 기능(VersionID라는 객체 구분 값이 추가되어 기존 데이터 복원 가능)
- OAI(Origin Access Identity) : S3에 접근 시 허용 여부에 사용되는 식별자
- AWS WAF(Well-Architected Framework) : 보안, 안정성, 비용 최적화, 성능 효율성, 운영 우수성 등에 맞게 아키텍트가 구성 되었는지 검토해주는 서비스(체크리스트 식의 문서형태와 실제 서비스 형태로도 제공)
- Elastic Cache : AWS의 in memory Cache로 SaaS 형태로 제공되며 Redis와 Memcached로 엔진이 지원됨 (Redis가 기능적으로 좀더 다양한 편, Memcached는 좀 간략한 편)
- Object lock : S3에서 고객이 정의한 보존 기간 동안 객체 버전 삭제를 차단하는 기능
- Spot Instance : 사전 약정 없이 On-Demand보다 70~90% 절감 된 비용으로 사용 할 수 있는 EC2 Instance(사용자가 사전 제시 가격을 정해놓고, 인스턴스 시장 가격보다 낮을 떄 이용이 가능 - 일종의 경매 방식)
- Cross-region Replication : S3 Bucket을 타 Region으로 복제하는 기능
- NAT Gateway, Internet Gateway 차이 : NAT GW의 경우 Private subnet에서 인터넷 혹은 공공 서비스 연결이 목적으로 아웃바운드 트래픽만 허용되어야 할 경우 사용(위치는 퍼블릭 서브넷에 위치함)/ Internet GW의 경우 VPC의 리소스와 인터넷간 통신을 활성화 하는 관문
- SAML(Security Assertion Markup Language) : 오픈소스 XML 표준으로 ID 공급자와 서비스 공급자(AWS 등)간에 인증 및 권한 부여 정보를 교환하는데 사용
- Storage Gateway : Cloud 스토리지에 대한 on-premise 액세스 권한을 제공하는 Hybrid Cloud Storage Service(온프레미스에서 VM을 띄워 스토리지로 사용하는 형태)
- File Gateway : On-premise 스토리지의 파일을 block storage인 S3의 오브젝트로 변환하여 데이터를 저장하는 서비스
- AWS Cloudformation : JSON 형식으로 AWS 리소스를 모델링, 설정(구축한 AWS 구성을 템플릿화)하여 리소스 관리 시간을 줄이고 AWS에서 실행되는 애플리케이션에 더 많은 시간을 사용하도록 하는 서비스(재사용을 용이하게 지원)
- Transit Gateway(TGW) : VPC간 네트워크 연결을 가능하게 하는 서비스로, VPC 뿐만 아닌, VPN Connection 기반으로 On-premise 연결 까지 중앙 관리가 가능하여 VPC Peering보다 대량으로 VPC 관리가 필요할 시 사용하면 적절한 서비스
- AWS Secret Manager : 수명 주기 동안 DB 자격증명, API 키 및 기타 보안 정보를 쉽게 교치, 관리, 검색 하는 등의 자원에 대한 액세스를 보호하는데 사용되는 보안 정보 관리 서비스
- Global Accelerator : 고정 IP 두개를 사용하여, 다중 Region 구성에서 최적의 Region으로 자동 트래픽 로드 밸런싱, Origin Health Check 및 CDN으로 써 사용이 가능 (CloudFront는 엣지 로케이션을 사용한 콘텐츠 캐싱 / Global Accelerator는 엣지 로케이션을 사용하되, 가장 가까운 리전 엔드포인트로 가는 최적의 경로 탐색)
- PITR(Point In Time Recovery) : RDS를 특정 시점으로 복구하는 기능으로, S3에 저장된 스냅샷을 적용한 후, 새로운 DB 인스턴스를 시작하는 방식
- EC2 Batch Group : 사용자의 니즈를 반영한 서버 프로필을 정의할 수 있는 도구
- Cluster Placement Group : 인스턴스를 동일 AZ, 동일 랙 안에 안에 서로 근접하게 패킹하여, 전송 지연 수준이 낮은 상호연결형 네트워크를 제공(HPC 애플리케이션에 적합하나, 장애를 모든 인스턴스가 겪을 수 있음)
- Spread Placement Group : 다수의 AZ를 사용하여, 서로 다른 하드웨어 랙에 인스턴스를 분산 배치하여 데이터 소실, 서비스 실패 등의 위험을 감소시킴(동시 다발적 실패 상황에 대처가 목적)
- Partition Placement Group : 인스턴스를 논리적 파티션으로 분산, 한 파티션 내 있는 인스턴스 그룹이, 다른 파티션 인스턴스 그룹과 기본 하드웨어를 공유하지 않게 함 (대규모 분산 및 복제 워크로드 - Hadoop, Cassandra, Kafka 등에 적합)
- ClassicLink : 같은 리전 내에 있는 해당 계정의 VPC에 EC2-Classic 인스턴스 연결이 가능하며, ClassicLink를 사용 시, Classic Instance와 VPC의 인스턴스가 Pirvate 주소를 사용하여 통신 할 수 있기 때문에 퍼블릭 또는 Elastic IP를 사용 할 필요가 없음
- Elastic Transcoder : 미디어 파일의 인코딩 서비스로, 사용자가 작업을 추가한 순서대로 파이프라인의 작업을 처리 가능
- S3 Object Lock : Bucket에 저장되는 Object에 대한 Lock을 설정하는 것으로 Governance Mode / Compliance Mode로 분류
- Governance Mode : S3:BypassGovernanceRetention 권한을 가진 사용자라면 Retention 기간 이내에도 Object를 삭제, 혹은 덮어쓰기 가능(이외 계정은 불가)
- Compliance Mode : Root를 포함한 어떤 계정도 Retention 기간 이내에 Object를 삭제, 덮어쓰기 할 수 없음
- SageMaker : 개발자 및 데이터 과학자가 다양한 머신 러닝 모델을 쉽고 빠르게 구축, 교육 및 배포하도록 지원하는 완전 관리형 플랫폼
- Comprehend : 머신 러닝을 기반으로 텍스트에서 통찰을 얻는 자연어 처리(NLP) 서비스
- Rekognition : 머신러닝 전문 지식 없이 API 호출 방식을 통해 쉽게 애플리케이션에 이미지 및 비디오 분석 등이 가능한 서비스(컨텐츠 필터링 등에 사용 가능)
- AWS MQ(Message Queue) : 클라우드에서 메세지 브로커를 쉽게 설정, 운영할 수 있는 Apache ActiveMQ 및 RabbitMQ용 관리형 메시지 브로커 용 관리형 메시지 브로커(메세지 기반의 미들웨어로 중간에서 여러 앱, 시스템, 서비스들을 연결해 주는 솔루션)
- AWS Control tower : 서비스 제어 정책(SCP)을 사용하여 정책을 시행하거나 AWS Config 규칙을 사용하여 정책 위반을 감지하는 데 도움이 되는 가드 레일(필수적 정책, 상위 규칙에 대한 제공 - ex: 다중 계정환경 설정 등)
- Amazon S3 Transfer Acceleration : 클라이언트와 S3 버킷 간의 장거리 파일 전송을 파일을 빠르고 쉽고 안전하게 전송할 수 있는 버킷 수준 기능으로, Transfer Acceleration은 전 세계(Different geographic)에서 S3 버킷으로 전송 속도를 최적화하도록 설계됨
- Macie : S3에 저장된 민감한 데이터에 대해 자동으로 기계 학습 및 패턴 일치를 활용한 검색, 분류 및 보호를 하는 완전 관리형 데이터 보안 및 데이터 프라이버시 AI 서비스
'AWS Cloud' 카테고리의 다른 글
| [AWS] Trusted Advisor (0) | 2022.07.29 |
|---|---|
| [AWS] Monitoring (CloudTrail, CloudWatch) (0) | 2022.07.29 |
| [AWS] IAM(Identity and Access Management) (0) | 2022.07.19 |
| [AWS] Gateway (0) | 2022.07.17 |
| [AWS] Region, AZ, VPC (0) | 2022.07.16 |
