본문 바로가기

AWS Cloud

(18)

[AWS - Terraform] Architecture create * IaC (Infrastructure as Code) 방식으로 코드를 통한 인프라 자동 구축을 위해 사용 - Terraform의 경우 Platform 전환이 비교적 자유로워 사용이 용이 (비교적이라고 했지 편하진 않음) * 참조 사항 - 필자는 학습을 목적으로 main.tf에 전체 인프라 구축 코드를 작성하였으며, 이에 대해 각기 설명함 - .tf 파일을 resource 별로 분할할 시, 필자와 코드가 다를 수 있음 - Terraform 기초부터 순차적으로 보길 권장 (1번 게시물의 이해가 매우 중요) 1. Architecture Create : https://isc9511.tistory.com/163 2. Bucket 생성 및 파일 업로드 : https://isc9511.tistory.com/164 ..

[AWS] STS(Security Token Service) * AWS STS(Security Token Service) : AWS IAM 사용 시, 임시 보안 자격 증명을 생성하여, AWS 리소스에 대한 '임시' 액세스 권한을 제공할 수 있는 서비스 임시 보안 자격 증명의 경우 사용자 자격증명 없이, 리소스에 대한 액세스 권한만 할당 하는것이 가능(SSO 접근 방식)하며, 말 그대로 단기적인 자격 증명으로 보안성을 고려할 시 더욱 좋음 SAML 2.0, OIDC 2.0과 호환되어 Cognito와 거의 유사한 자격증명 기능이 존재 IAM에 절대적으로 영향을 받는 서비스로, API 호출 시, 유효한 형식(ARN 사용 등)을 맞춰야 함 * AWS STS vs Cognito 차이 그나마 Cognito와 STS의 차이를 짚어보자면... Cognito : 로그인 기능 대체..

[AWS] Cognito * Cognito : 웹, 모바일 앱 서비스에서 인증, 권한 부여, 사용자 관리를 제공하는 AWS 인증 관리 서비스 (대충 Software Development Kit과 코드 작성으로 간단하게 연동, 사용자 가입, 인증 정보 등을 쉽게 관리하기 위한 서비스) 구성 요소 (별도 또는 함께 사용가능) 사용자 풀(User Pool) : 사용자 가입, 로그인 옵션이 존재하는 사용자 디렉터리로 프로필을 보유함 토큰(SNS, OIDC, SAML IDP 등)에서 반환된 정보를 처리, 관리 자격 증명 풀(Identity Pool) : 다양한 AWS 서비스에 임시로 액세스 할 수 있는 권한을 부여 (사용자 풀을 사용해도, 리소스 액세스는 가능함) 사용 사례 참조

[AWS] X-Ray * AWS X-Ray : 개발자를 위한 일종의 애플리케이션 분석 및 디버깅 서비스로, 애플리케이션의 구성(최근엔 분산 마이크로서비스 등 복잡한 형태)을 시각화 한 맵으로 표현해주는 서비스 애플리케이션에 전송 된 요청을 추적, 서비스 맵을 생성 전송 된 요청에 대한 응답을 분석하여 오류를 자동으로 출력 시각화가 가능한 API 제공

[AWS] Trusted Advisor * Trusted Advisor : 구성된 AWS Infra에 대한 검사(평가)를 통해 기존 모범 구성 사례들을 달성할 수 있는 권장 사항들을 제시하여 비용 절감, 보안 향상, 서비스 최적화 등을 제공하는 서비스 CloudWatch, EventBridge 등과 연동하여 Trusted Advisor의 주기적 검사 시기에 대한 변경을 감지할 수 있음 단, Trusted Advisor의 경우 AWS 서비스 Support 수준(개발자, 엔터프라이즈 등)에 따라 액세스 여부가 다름 (한마디로, 유료 서비스에 한해 제공하는 형태)

[AWS] Monitoring (CloudTrail, CloudWatch) * 이 글은 AWS 서비스 중, 모니터링 관련 서비스에 대해서 상세히 기술하는 글이며, 사용자 계정 관련 모니터링과, 단순 리소스 모니터링 등 그 기능이 세분화 되어 혼동을 줄 수 있는 서비스들을 한곳에 모아 정리하고자 함 * CloudTrail : 데이터 이벤트(AWS 리소스의 작업 내역), API 호출, 관리 이벤트(AWS 계정 관리, 규정 준수 및 운영 위험 감사 등을 지원, S3로 결과(로그)가 전송되는 서비스 (대략 사용자 활동 모니터링 및 로그를 기록하여 저장하는 서비스) 90일간 로그 저장 단, CloudTrail Lake(SQL 기반 조회가 가능한 실시간 CloudTrail 로그 저장소)를 사용 시, 최장 7년간 로그 저장 S3 SSE(서버 측 암호화)를 기본적으로 적용 받음 수동 설정 없..

[AWS] IAM(Identity and Access Management) * IAM (Identity and Access Management) AWS 리소스 보안을 목적으로 일반 사용자를 대상으로 한 인증(로그인) 및 권한 부여 대상을 제어하는 서비스 쉽게 말해 AWS 서비스 중 누가(Who), 어떤 서비스(What)를 어떻게(How) 권한을 통제 받아 사용 할 지 정하는 것 * IAM 관리 리소스 사용자 (Users) 인증을 위한 각각의 대상 AWS 개별 계정이 아닌, 하나의 AWS 계정에서 만든 IAM 사용자 계정(또는 계정들) 각 사용자는 고유의 AWS Management Console Access Password를 가질 수 있음(개별 액세스 키 생성도 가능) AWS 외부(온프레미스 등)에서 기존 자격 증명과 IAM을 연동하여 추가 IAM User 생성 없이 사용 할 수..

[AWS] Gateway - 해당 글은 AWS 서비스 중 다양한 영역을 차지하며, 종류도 상당히 많아 혼동을 줄 수 있는 Gateway들에 대해 정리하여, 정확한 개념을 확충하고자 작성한 글로 많은 분들과 필자에게 도움이 되었으면 함 - 단, 요금 정책, 구성도, 상세한 장/단점 등의 정보는 제외하고 작성(개념만 이해한다면 개인이 찾아서 응용이 가능하다고 판단함 (뭔놈의 Gateway가 이렇게 많은지... 개인적으로 필자는 혼동이 엄청나다) * Storage Gateway 기존 On-premise 서비스를 Cloud Storage로 연결하여 사용할 수 있게 하는 Hybrid-Cloud Storage Service 온 프레미스에서 별도의 네트워킹이나 하드웨어 추가 없이, 스토리지를 가상머신으로 배치하거나, AWS에서 제공하는 Ha..

이전 1 2 3 다음

티스토리툴바