2021년 02월 28일자 시험을 준비하는 중에 중요한 부분이나 계속해서 출제되는 부분을 중심으로 정리한다.
1차로 한글 백서를 2번 보되, 1회독 때는 모두 보고 2회독 때는 머신러닝 부분은 잘 안본 상태이다.
2차로 Udemy의 AWS 공인 클라우드 전문가 CLF-C01 연습문제를 총 6회차 중에 4회차를 풀고 오답 정리를 했다. (계속해서 유데미 연습문제를 풀지 않고 중간에 실제 출제되었던 덤프 파일을 풀기 시작한 것은 유데미 연습문제가 더 난이도가 높고, 확실한 이해를 필요로 하기 때문에 당장의 시험 합격을 위해서였다..)
3차로 실제 출제되었던 덤프 문제들을 풀기 시작하고 있고, 현재 250번 문제까지 푼 상태이다. 아래 사이트에서 풀 수 있고, 오답도 많으니 문제를 풀어본 사람들의 Discussion도 눈여겨 보길 바란다. 250 문제 중에서 총 10~15문제 가량을 틀린 것 같다. 틀리는 문제들은 내가 몰랐던 내용이 반, 번역 문제로 헷갈린 내용이 반이다. 눈여겨 봐야 할 것으로 여겨지는 문제들은 다음 포스트를 통해 작성할 예정이다.
1. Computing
1) 인스턴스 관련 개념
(1) 인스턴스 태그(tag) : 고유 메타데이터를 태그 형태로 각 리소스에 배정해 인스턴스, 이미지 및 기타 Amazon EC2 리소스를 쉽게 관리 가능
- 해당 리소스에 대해 키가 기존 태그와 동일한 태그를 추가하는 경우 새 값이 이전 값을 덮어씀
- 리소스를 삭제하면 리소스 태그도 삭제
- 태그를 기반으로 한 별도의 계산서 생성 불가
(2) 인스턴스 사용자 데이터 : 인스턴스를 시작할 때마다 초기화할 경우 준비하는 사용자 지정 스크립트
(3) 인스턴스 메타데이터 : 실행 중인 인스턴스를 구성 또는 관리하는 데 사용될 수 있는 인스턴스 관련 데이터 (호스트 이름, 이벤트 및 보안 그룹 등)
2) 인스턴스 유형(★)
cf. EC2 인스턴스 요금은 초당 지불
(1) 온디맨드 : 단기로 급증(=예측 불가)하고 중단되어서는 안되는 워크로드에 적합. 사용한 만큼의 비용 지불
(2) 예약 : 1년/3년 약정으로 구매 가능. 가장 저렴한 구매 옵션은 '3년 전부 선결제 옵션'. 표준형이 더 저렴함
- 전환형 예약 인스턴스(Convertable RI) : 온디맨드 대비 54퍼 가량 할인
cf. 교환하려는 전환형 예약 인스턴스는 현재 인스턴스보다 가격이 높거나 같아야 함
- 표준 예약 인스턴스 : 온디맨드 대비 72퍼 가량 할인
- 정기 예약 인스턴스 : 1년 동안 지정된 시작 시간과 기간으로 매일, 매주, 매월 반복되는 용량 예약 구매 가능
(3) 스팟 : 중단될 수 있는 작업에 적합. 특정 시점에 실행해야 하는 워크로드에는 적합하지 않음(짧은 시간 내에 종료될 수 있어서)
(4) 전용 호스트 (cf. 전용 호스트와 전용 인스턴스는 기능적 차이는 X. 다만, 전용 호스트는 이미 가지고 있는 라이센스 사용 가능)
: 사용자 전용 물리적 서버
3) EC2
- Iaas(Infra as a Service)
4) ECS
- AWS Fargate(컨테이너를 위한 서버리스 서비스)를 사용해 ECS 클러스터 실행 가능
ECR(Elastic Container Registry) : Docker 이미지 저장, 관리, 배포 가능. 컨테이너 애플리케이션 실행을 지원하지는 않음(→ 애플리케이션 실행 지원은 ECS)
5) EC2 Auto Scaling
- '분산 서비스'의 일종으로 수평적 확장이라고 볼 수 있음
- 여러 가용 영역을 사용하도록 EC2 Auto Scaling을 구성 가능
- 트래픽 수요에 맞게 인스턴스 수 확장 및 감소 가능
cf. Auto Scaling Group : 자동 조정 및 관리 목적의 논리적 그룹으로 취급되는 Amazon EC2 인스턴스 모음이 포함
- Auto Scaling 그룹의 크기 : 사용자가 원하는 용량으로 설정한 인스턴스 수에 따라 달라짐(수동으로 또는 자동 조정을 통해 수요에 맞게 크기 조정 가능)
- 원하는 용량을 충족하도록 충분한 인스턴스를 실행하여 시작한 후, 그룹 내 인스턴스에 대한 주기적인 상태 확인을 수행하여 이 인스턴스 수를 유지 (비정상 상태가 되면 그룹에서는 비정상 인스턴스를 종료하고 이를 대체할 다른 인스턴스를 시작)
6) Lightsail
- 간단한 VPS(Vertual Private Server) 시작 가능
- 저렴하고 예측 가능한 월간 요금으로 사용 가능
7) VPC(Virtual Private Cloud) - 보안 그룹, NACL, VPN, Direct Connect 와 관련
| 보안 그룹 | 네트워크 액세스 제어 목록 |
| 인스턴스 레벨에 적용 | 서브넷 레벨에 적용 |
| 허용 정책만 존재 | 허용, 거부 정책 존재 |
| 항상 반환 트래픽 적용 | 반환 트래픽은 별도로 허용되어야 함 |
| 인스턴스에 보안 그룹을 추가함으로써 적용 가능 | 연결된 서브넷의 모든 인스턴스에 자동 적용 |
8) Fargate
- 컨테이너를 위한 서버리스 컴퓨팅 엔진. ECS, EKS(Elastic Kubernetes Service) 모두에서 작동
- 기본 서버에 액세스 불가
서버리스 컴퓨팅 : 관리 오버 헤드를 제거하므로 애플리케이션에 집중 가능(민첩성↑), 총 소유 비용(TCO)↓
9) Batch
10) Elastic Beanstalk
- 코드(zip 형식)를 업로드해 자동으로 프로비저닝 및 배포
- Elastic Beanstalk에서 제공하는 틀이 존재하며, 이 틀을 벗어나는 경우에는 구현하기 힘듦
11) Lambda
- 코드 실행 가능한 서버리스 서비스. 사용한 컴퓨팅 시간 만큼만 비용 지불
2. Storage
1) EBS
- 높은 가용성
2) EFS
- 온프레미스에서 직접 사용 가능 (cf. EBS는 EC2에서만 마운트 가능, S3는 Storage Gateway를 통해 온프레미스에서 액세스 가능)
- 자동 확장(기가~ 페타바이트)
- 수 천개의 EC2 인스턴스들이 동시에 액세스 가능(고가용성)
- VPC의 EC2 인스턴스와 온프레미스 데이터 센터가 동시에 접근 하기 위해서는 둘 사이에 Direct Connect 혹은 VPN 연결 구성 필요
3) S3 - 비교적 정적이고, 내구성↑, 가용성↑, 탄력성↑(빠르게 변화하는 데이터에는 부적합)
cf. 빠르게 변화하는 데이터는 EBS, RDS, DynamoDB 등이 적합
(1) 수명 주기 정책
- 비용효율성을 위해 설정
- Amazon S3 개체 그룹에 적용
- 전환 작업(객체가 다른 스토리지 클래스로 전환할 시기 정의), 만료 작업(객체가 만료되는 시기 정의) 수행 (cf. S3는 만료된 객체를 자동 삭제)
(2) 버킷 : 객체를 저장하는 컨테이너
- 계정 당 100개로 제한 (늘리기 가능. 객체는 무제한 저장 가능)
- S3에 객체를 저장하기 위해 최소한 하나의 리전에 S3 버킷을 생성해야 함
- 버킷 이름은 글로벌 수준에서 고유해야 함
cf. 버킷 복제 : 버킷 간에 객체를 비동기식으로 자동 복제 가능 (서로 다른 리전끼리 가능)
cf. 객체 버전 관리
: 실수로 버킷을 덮어쓰거나 삭제하는 것 방지
cf. ACL(Access Control List)를 사용해 버킷과 객체에 대한 액세스 관리
(3) 클래스 : 일종의 '요금제' *IA : Infrequent Access - Udemy 연습문제에서는 'Glacier > One Zone-IA > Standard' 의 비중 출제
ㄱ. S3 Standard : 자주 액세스하는 데이터 저장
ㄴ. S3 Standard-IA : 액세스 빈도가 드문 데이터 저장
ㄷ. S3 One Zone-IA : 액세스 빈도가 드문 데이터 저장
- 타 S3 클래스들이 3개의 AZ에 데이터를 저장하는 것과 달리 단일 AZ에 저장하여 비용 절감(S3 Standard-IA와 유사하나 더 저렴)
- 가용성, 복원력이 필요없는 고객들에 적합(Standard, Standard-IA, One Zone-IA)
- 보조 백업 복사본 저장에 적합
ㄹ. S3 Glacier Deep Archaive : 최저 비용의 스토리지 클래스(1년에 한두 번 정도 액세스되는 데이터 저장)
- 백업 및 재해 복구 사례에도 사용 가능 (cf. 보조 백업 복사본 저장에는 사용되지 않음 - 이는 One Zone-IA에 해당)
- 저장된 모든 객체는 최소 3개의 지리적으로 분산된 가용 영역에 걸쳐 복제되며, 12시간 내에 검색 및 복원 가능
ㅁ. S3 Intelligent-Tiering : 빈도가 높은 액세스, 낮은 엑세스 모두에 최적화
- 3개의 대기 시간이 짧은 액세스 티어 간에 데이터 자동 이동
- 성능 영향 또는 운영 오버헤드 없이 가장 비용 효과적인 액세스 계층
4) Storage Gateway
- 온프레미스에서 클라우드 서버에 액세스할 수 있는 권한 부여
- '하이브리드 스토리지'와 관련
3. Database - RDS, DynamoDB의 비중이 높음. 간간히 PostgreSql과 결부시켜 Aurora 문제 출제
1) Aurora
- 64TB까지 자동 확장 (cf. EFS도 자동 확장)
- S3로 지속적 백업
- 3개의 AZ에 걸친 복제 (cf. S3 Glacier Depp Archive도 마찬가지)
2) RDS
- 완전 관리형 서비스
- 자동으로 페일 오버되는 다중 AZ 구성 가능
다중 AZ 배포 : 수평적 확장(향상된 가용성 및 내구성 제공)
- 자동으로 하나의 기본 DB 인스턴스 생성, 다른 AZ의 예비 인스턴스에 데이터 복제
- 페일오버 후에도 DB 인스턴스의 엔드포인트는 그대로 유지
회사가 단일 가용 영역에 RDS 데이터베이스를 배포했습니다. 엔지니어링 팀은 AZ 중단 시 데이터베이스가 수동 관리 개입 없이 동일한 엔드포인트에서 계속 작업 가능하도록 해야 합니다. 다음 중 이 사용 사례를 해결할 수 있는 솔루션은 무엇입니까?
[정답] 대기 모드로 자동 페일오버되는 RDS Multi-AZ 배포에서 데이터베이스를 구성
[오답] 대기 모드로 자동 페일오버를 사용하여 데이터베이스를 RDS 읽기 복제본 모드로 구성
[해설] RDS의 경우 읽기 전용 복제본을 사용하면 마스터 데이터베이스와 동기화되는 읽기 전용 복사본 생성이 가능하나 읽기 전용 복제본을 사용하는 동안에는 사용할 수 있는 대기 인스턴스가 없다. 때문에, 인프라 장애가 발생하는 경우 읽기 전용 복제본을 자체 독립 실행형 DB 인스턴스로 수동 승격해야 한다. 즉, 데이터베이스 엔드포인트가 변경되게 된다.
3) DynamoDB
- 완전 관리형 key-value 및 문서 데이터베이스(JSON 등)
- 다중 리전
- 인메모리 캐싱 기능 제공(Accelerator)
4) ElastiCache
- 인메모리 캐시 배포, 운영, 조정 서비스. 인메모리 캐시에서의 데이터 검색 지원
- 오픈 소스 인메모리 캐시 엔진(Redis, Memcache) 지원
4. Network
1) ELB(Elastic Load Balance)
- 애플리케이션의 고가용성↑, 내결함성↑
- 트래픽을 EC2 인스턴스, 컨테이너, IP 주소, Lambda 함수 등 여러 대상에 자동 분산 → 정상 상태인 대상만 트래픽을 수신하도록 함
- 단일 또는 여러 AZ에서 다양한 애플리케이션 부하 처리 가능(리전에 걸친 로드 밸런싱을 통해 서로 다른 AZ에 있는 정상 상태의 대상으로 라우팅 가능)
유형
ㄱ. Application Load Balancer : HTTP 요청(7계층)을 로드 밸런싱
ㄴ. Network Load Balancer : 네트워크/전송 프로토콜(4계층 - TCP, UDP) 로드 밸런싱, 고도의 성능이 요구되는 경우, 지연 시간이 낮아야 하는 경우
ㄷ. Classic Load Balancer : 애플리케이션이 EC2 Classic 네트워크에서 구축된 경우
2) Route 53
- DNS(Domain Name System) 서비스
라우팅 정책 - Udemy 연습문제에서는 종종 출제되었으나 Dump에서는 X(100문제까지 풀었을 때 기준)
ㄱ. 단순 라우팅 정책 : 도메인에 대해 특정 기능을 수행하는 하나의 리소스만 있는 경우(ex. 웹 사이트의 웹 서버와 같은 단일 리소스로 트래픽을 라우팅할 경우)
ㄴ. 장애 조치 라우팅 정책 : 액티브-패시브 장애 조치를 구성하려는 경우
ㄷ. 지리 위치 라우팅 정책 : 사용자의 위치에 기반하여 트래픽 라우팅하게 하는 경우
ㄹ. 지연 시간 라우팅 정책 : 여러 AWS 리전에 리소스가 있고 최상의 지연 시간을 제공하는 리전으로 트래픽을 라우팅하게 하는 경우
ㅁ. 다중 응답 라우팅 정책 : Route 53이 DNS 쿼리에 무작위로 선택된 최대 8개의 정상 레코드로 라우팅하게 하는 경우
ㅂ. 가중치 기반 라우팅 정책 : 사용자가 지정하는 비율에 따라 여러 리소스로 트래픽을 라우팅하게 하는 경우
5. 보안
1) IAM
(1) 사용자(User) : 액세스 키를 통해 CLI, SDK에서의 장기 자격 증명 가능
cf. 루트 사용자(Root User)
- Support Plan 변경, 계정 폐쇄 시에는 Root User 자격 증명 필요
- Well-Architected Framework에 따르면 사용자에게는 최소한의 권한만 부여하고, 루트 사용자 액세스 키는 잠그는 것이 좋음
(2) 역할(Role) : 사용자뿐만 아니라 애플리케이션, 리소스에도 액세스 권한 부여 가능
- 액세스 키와 같은 장기 자격 증명이 존재하지 않음. 임시 보안 자격 증명이 제공됨
(3) 그룹(Group) : 그룹은 여러 사용자를 가질 수 있으며 사용자들은 여러 그룹에 속할 수 있음
2) WAF
- '가용성에 영향을 주는/ 보안을 위협하는/리소스를 과도하게 사용하는' 웹 공격으로부터 보호
- SQL Injection, Cross Site Scripting(XSS)와 같은 일반적인 공격 패턴 차단
- 사용자 정의 트래픽 필터링 패턴 등록 가능
[주의할 사항들]
- Route 53으로 전달되는 HTTP/HTTPS 요청 모니터링 불가
- 알려진 모든 인프라 공격에 대한 보호 제공 X
cf. Firewall Manager
- Organizations에 등록된 계정들과 애플리케이션들에 있어서 WAF 규칙을 중앙에서 구성 및 관리 가능
3) AWS Secrets Management
- 수명 주기에 걸쳐 데이터베이스 자격 증명, API 키 등의 보안 정보를 손쉽게 교체, 관리 및 검색
- 세분화된 권한을 사용해 보안 정보에 대한 액세스 제어 가능
- RDS, Redshift, DocumentDB에 기본적으로 통합되어 있음
4) AWS CloudHSM
- 클라우드 기반 하드웨어 보안 모듈
5) Inspector
- AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는데 도움이 되는 자동 보안 평가 서비스(모범 사례와의 비교)
- 침투 검사
6) GuardDuty
- 악의적인 활동 또는 무단 동작을 지속적으로 모니터링하는 위협 탐지 시스템
7) Shield
- DDos 보호 서비스
- Standard, Advanced 계층 존재
8) Cognito
- 소셜 자격 증명 공급자와 엔터프라이즈 자격 증명 공급자를 통한 로그인 지원
9) Single Sign-On(SSO)
- 액세스가 할당된 모든 계정 및 애플리케이션을 한 곳에서 액세스 가능
6. 개발자 도구
1) CodePipeline
2) CodeCommit
3) CodeDeploy
4) CodeBuild
5) X-Ray
7. 관리 도구
1) CloudTrail
- 거버넌스, 규정 감사, 운영 감사, 위험 감사를 지원 + 계정과 관련된 작업 로깅 및 지속적 모니터링
- 로그 파일은 S3(의 지정한 특정 버킷)에 저장
- 추적을 단일 리전에 적용할지 모든 리전에 적용할지 선택 가능
[주의할 사항들]
- logs는 기본적으로 암호화
- EC2 애플리케이션 오류 로그는 캡처하지 않음
- 모든 고객에 대해 기본적으로 활성화됨
- 첫 번째 관리 추적에 대해 비용을 청구하지 않고, 이후 추적에 대해서만 청구
2) CloudWatch
- 모니터링 및 관찰 기능 서비스
- 이상 동작 감지, 경보 설정(예산에 대한 경보도 가능), 로그와 지표 시각화, 자동화된 작업 수행 등
- 결제 지표는 미국 동부(버지니아 북부) 리전에 저장
cf. 예산에 대한 경보
- CloudWatch는 SNS(Simple Notification Service)와 함께 사용하여 가능. 더 간단한 방법은 Budget을 단독으로 사용하는 것
3) CloudFront
- 고속 콘텐츠 전송 네트워크(CDN) 서비스(정적 콘텐츠를 전송하는 듯. 데이터, 동영상, 애플리케이션 및 API 등 전송 가능)
- Shield와 연동해 DDos 완화 수행 가능
OAI(원본 액세스 ID)을 통해 S3 버킷에서 프라이빗 객체를 가져올 수 있음
Edge Location : CloudFront를 위한 캐시 서버들(가까운 Edge Location을 통해 더 빨리 서비스 제공)
4) CloudFormation
- 프로그래밍 언어 혹은 텍스트를 통해 모든 리소스 모델링 및 프로비저닝 가능
5) Config
- 리소스 인벤토리 구성을 측정, 감사 및 평가
- 리소스 구성의 전반적인 규정 준수 여부를 지속적으로 감시하고 평가 가능
- 리소스가 어떻게 변경되었는지에 대한 자세한 스냅샷이 포함된 보고서 제공
회사는 지역별 규정 준수 규칙으로 구성된 다양한 국가의 Amazon EC2 인스턴스 집합에 비즈니스 크리티컬 데이터를 저장한다. 규정 준수를 입증하기 위해 회사는 정기적으로 기록 구성을 제출해야 하는 경우 가장 적합한 서비스는?
[정답] AWS Config
6) Trusted Advisor
- 비용 효율성, 성능 중심의 리소스 프로비저닝에 도움 + 보안 검사
- 거버넌스, 규정 준수에 도움이 되는 건 Artifact
7) Artifact
- 자신에게 해당되는 규정 준수와 관련된 정보를 제공
- AWS 보안 및 규정 준수 보고서와 엄선된 온라인 계약에 대한 온디맨드 액세스를 제공
8) OpsWorks
- 구성 관리 서비스. OpsWorks for Chief Automate, OpsWorks Stack 존재
- 서버 구성을 코드로 취급하는 자동화 플랫폼인 Chef를 사용해 서버 구성, 배포, 관리하는 작업 자동화
9) Personal Health Dashboard
- 고객에게 영향을 미칠 수 있는 이벤트를 겪고 있을 때 이를 알리고 수정 지침 제공
- 리소스의 상태가 변경되면 자동으로 알림이 트리거
8. 마이그레이션
1) Application Discovery Service
2) Database Migration Service
3) Server Migration Service
4) Snowball, Snowball Edge
5) SnowMobile
9. 분석
1) ElasticSearch Service
- Elasticsearch를 배포, 보호, 실행
2) Elastic MapReduce(EMR)
- 대규모 분산 데이터 처리 작업, 대화형 SQL 쿼리 및 기계 학습(ML) 애플리케이션을 실행하기 위한 클라우드 빅 데이터 플랫폼
- 단기 실행 작업 시 클러스터를 가동 및 중단하고 사용된 인스턴스에 따라 초 단위로 지불 가능
- 장기 실행 워크로드의 경우 수요에 맞게 자동으로 규모를 조정하는 고가용성의 클러스터
3) Kinesis
- 실시간 데이터 스트리밍에 일반적으로 사용
4) DataPipeline
- 온프레미스 데이터 소스 뿐 아니라 여러 AWS 컴퓨팅/스토리지 서비스 간의 데이터 처리 및 지속적 이동을 지원
- 저장된 데이터에 지속적 액세스, 대규모 데이터 변환 및 처리, 결과를 AWS 서비스에 전송 가능
5) Redshift
- 페타바이트 규모의 데이터 웨어하우스
- 정교한 쿼리 최적화 고성능 스토리지의 열 형식 스토리지, 대량 병령 쿼리 실행 등을 통해 테라~페타바이트 규모의 정형 데이터에 복잡한 분석 쿼리 실행
- Redshift Spectrum 포함
cf. Redshift Spectrum : S3 데이터 레이크에 있는 엑사바이트 규모의 비정형 데이터에 대해 직접 SQL 쿼리 실행. 검색 데이터에 따라 쿼리 컴퓨팅 용량 자동 확장(데이터 용량에 상관없이 S3에 대한 쿼리를 빠르게 실행 가능)
6) Glue
- 데이터 분석을 위해 데이터를 로드할 수 있도록 하는 데이터 ETL 서비스 cf. ETL(추출, 변환, 로드)
7) Athena
- 표준 SQL을 사용해 Amazon S3에 저장된 데이터를 간편하게 분석할 수 있는 대화식 쿼리 서비스
- 서버리스 서비스
- 실행한 쿼리에 대해서만 비용 지불
8) Neptune - 한번 출제
- 완전 관리형 그래프 데이터베이스 서비스
9) Macie
- 완전관리형 서비스. 데이터 보안(데이터 프라이버시) 서비스
- 머신러닝 및 패턴 매칭을 활용해 개인 식별 정보와 같은 민감한 데이터를 대규모로 검색 및 식별하고 보호(사용자에게 알림 가능)
10. Machine Learning
1) Rekognition - 한 번 출제
- 이미지 및 비디오에서 객체, 사람, 텍스트, 장면 및 활동을 식별하고 부적절한 콘텐츠를 탐지, 얼굴 분석 및 얼굴 검색 기능 제공
2) Polly
- 텍스트를 음성으로 변환하는 서비스 (고급 딥 러닝 기술 사용)
- 양방향 대화를 실시간으로 지원 (빠른 응답 시간)
- 음성으로 변환할 텍스트를 Polly API로 전송 → Polly가 애플리케이션으로 오디오 스트림 반환
- 음성으로 변환한 문자 수에 대해서만 요금을 지불 (음성 출력의 저장 및 재사용에 제한 X)
3) Comprehand
- 자연어 처리 서비스
3) Translate
- 언어 번역을 빠르게 제공하는 신경망 기계 번역(인공신경망 기계 번역) 서비스
cf. 인공신경망 기계 번역 : 언어 번역 자동화의 한 형태로, 딥 러닝 모델을 사용하여 기존 통계 및 규칙 기반 번역 알고리즘보다 더 정확하고 자연스러운 번역 제공
4) Amazon Lex
- 챗봇(자연어 대화형 봇) 구축 가능
- 딥러닝 기능 제공 - 자동 음성 인식(ASR), 자연어 처리(NLU)
5) SageMaker
- 완전 관리형 기계 학습 모델 플랫폼
11. 결제
1) Organizations
- 통합 결제 가능(cf. 임의의 환경에 대해 별도의 계산서 생성 불가) - 합쳐진 금액으로 대량 할인(EC2, S3의 볼륨 할인 등), 예약 인스턴스 할인 및 Saving Plan 받을 수 있음
- 액세스, 규정 준수 및 보안 제어
- 조직의 계정 전반에 걸쳐 AWS 서비스 및 리소스 공유 가능
- 계정을 제거하기 위해서는 해당 계정이 독립 실행형 계정으로 작동할 수 있어야 함(Organizations에 연결되어 있지 않는 동안의 청구 가능한 모든 활동에 대해 비용 청구)
서비스 제한 정책(SCP) : 계정에서 허용되는 서비스와 작업 설정 가능
- 더 나은 리소스 격리를 위해 규정 제한(SCP 사용)에 따라 부서별로 계정을 생성하고, 별도의 계정별 서비스 제한을 가져야 함
2) Cost Explorer
- 시간에 따른 AWS 비용과 사용량을 시각화 (높은 수준과 세부 수준의 분석에서 AWS 비용과 사용량을 탐색)
- 일별 또는 월별 수준으로 세부 수준에서 비용 분류 및 추적 가능
- 여러 필터링 차원을 사용하여 심층 분석 가능(예 : AWS 서비스, 리전, 연결된 계정)
- 임의의 환경에 대한 별도의 송장 생성 불가 (cf. Organization도 마찬가지)
- 과거 사용량에 따라 RI(예약 인스턴스) 구매 권장 사항에 액세스 가능
- 12개월 동안의 기록 데이터 확인 가능
3) Simple Monthly Calculator
4) TCO(Tocal Cost of Ownership, 총 소유 비용)
- 주로 클라우드 서버와 온프레미스 서버를 비교할 때 TCO를 통해 비교하는 문제가 나온다. 둘의 가장 큰 차이는 물리적인 인프라의 존재 유무임을 참고하자. ex. 데이터 센터 보안 비용
12. 메시지
1) SQS(Simple Queue Service)
- 완전관리형 메시지 대기열 서비스
유형
- 표준 대기열 : 최대 처리량, 최선 노력 순서로 처리. 최소 1회 전달
- SQS FIFO 대기열 : 메세지가 전송된 정확한 순서대로 정확히 한 번 처리되도록 설계
2) SES
- 이메일 서비스
3) SNS
13. 기타
1) 공동 책임 모델 - AWS와 사용자(고객)이 나눠가지는 책임을 구분할 수 있을 것
(1) AWS : 물리적 인프라 관리
(2) 사용자 : 애플리케이션 보안, 클라이언트 측 데이터 보안, 보안 규칙과 NACL 관리 등
(3) 공유된 제어 항목 cf. '보안' 측면에서도 AWS는 서버측 보안을, 사용자는 클라이언트측 보안에 책임을 가짐
| AWS | 사용자 | |
| 패치 관리 | 인프라와 관련된 결함 수정과 패치 (RDS 등 완전관리형 서비스의 OS 패치 등) |
게스트 OS와 애플리케이션 패치 |
| 구성 관리 | 인프라 디바이스 구성 유지 관리 | 자체 게스트 운영 체제, 데이터베이스 및 애플리케이션의 구성 유지 관리 |
| 인지 및 교육 | AWS 직원 교육 | 자사 직원 교육 |
cf. EC2 데이터베이스 인스턴스용 운영 체제 보안 패치는 사용자 몫
cf. RDS, DynamoDB 데이터베이스 인스턴스용 운영 체제 보안 패치 설치는 AWS의 몫
cf. 하이퍼바이저에 업데이트 적용은 AWS의 몫
2) Well-Architected Framework - 어떤 내용이 어떤 원칙에 속하는지 알 것
(1) 운영 우수성 : 지속적 운영 관리 및 개선
- 실패의 예상
- 자주, 작고, 되돌릴 수 있는 변경
(2) 보안
- 추적 기능 활성화
(3) 안정성(신뢰성) : 분산 시스템 설계, 복구 계획, 변경 처리 방법 등
- 분산 시스템(ELB), 장애로부터 자동 복구
- Config를 사용하여 AWS 리소스 인벤토리 생성
- CloudTrail을 사용하여 AWS API 호출을 감사 가능한 로그 파일에 기록
(4) 성능 효율성 : 효율적인 IT 및 컴퓨팅 리소스 사용
- 서버리스 아키텍처 사용(서버 실행 및 유지 관리 필요성 X)
(5) 비용 효율성 : 불필요한 비용 발생 제거
3) Support Plan
cf. Support Plan 변경 시에는 Root User 자격 증명 필요
| Developer | Business | Enterprise | |
| 워크로드 | 테스트 및 조기 개발 중 | 프로덕션 워크로드 실행 중 | 업무 또는 미션 크리티컬 워크로드 실행 중 |
| - 향상된 기술 지원 - 아키텍처 지원(일반적인 지침. Well-Architected Framework 활용) - 고객 서비스, 설명서, 백서 및 지원 포럼 |
- 향상된 기술 지원 - 타사 소프트웨어 지원 - 고객 서비스 및 커뮤니티 |
- 결제 및 계정 관리 - 타사 소프트웨어 지원 |
|
| 인프라 이벤트 관리(IEM) 지원 |
X (추가 비용 지불 시 가능) | O | |
| 아키텍처 | 지원 | 검토 | 검토 |
| 지원 서비스 (기본) |
- Trusted Advisor - Personal Health Dashboard |
||
| Support API 지원 (프로그래밍 방식으로 액세스 가능) |
X | O | O |
| TAM 지원 | X | X | 지정 TAM(기술 지원 관리자)와 SME(주제 전문가)의 지원 |
4) 클라우드 모범 사례
ㄱ. 실패를 위한 설계
ㄴ. 구성 요소 분리
ㄷ. 탄력성 구현
ㄹ. 병렬 구성
5) 예약을 지원하는 AWS 서비스
ㄱ. Amazon EC2 예약 인스턴스 : Amazon EC2 예약 인스턴스를 사용하여 용량을 예약(인스턴스 사용량에 대한 할인)
ㄴ. Amazon DynamoDB 예약 용량 : Amazon DynamoDB 읽기 및 쓰기 처리량에 대한 필요성을 예측할 수 있는 경우 예약 용량은 DynamoDB 프로비저닝 처리 용량의 정상 가격에 비해 상당한 절감 효과를 제공
ㄷ. Amazon ElastiCache 예약 노드 : Amazon ElastiCache 예약 노드는 예약하려는 각 캐시 노드에 대해 저렴한 일회성 결제를 할 수 있는 옵션을 제공 → 해당 노드의 시간당 요금에 대해 상당한 할인
ㄹ. Amazon RDS RI : Amazon EC2 RI와 마찬가지로 Amazon RDS RI는 선결제 없음, 부분 선결제 또는 전체 선결제 조건을 사용하여 구매 가능. 모든 예약 인스턴스 유형은 Aurora, MySQL, MariaDB, PostgreSQL, Oracle 및 SQL Server 데이터베이스 엔진에서 사용 가능
ㅁ. Amazon Redshift 예약 노드 : Amazon Redshift 클러스터를 장기간 지속적으로 실행하려는 경우 예약 노드 제품 구매를 고려(온디맨드 가격에 비해 상당한 절감 효과를 제공하지만 컴퓨팅 노드를 예약하고 1년 또는 3년 기간 동안 해당 노드에 대한 비용을 지불해야 함)
6) 자동으로 데이터 암호화가 활성화되는 AWS 서비스
- S3 Glacier (SSL 또는 클라이언트 측 암호화. 수명 주기 정책에 의해 Glaciter 로 데이터 전송 시에도 암호화. 유휴 상태의 데이터는 암호화된 상태로 보관)
- Storage Gateway (스냅샷 자동 암호화)
[주의해야할 사항들]
EBS 볼륨, Redshift, EFS drives는 자동 데이터 암호화 X
7) 서버리스 AWS 서비스
- Lambda, S3, DynamoDB, API Gateway, SNS, Step Functions, Athena, kinesis 등
8) 하이브리드 클라우드에 적용할 수 있는 서비스
- Route 53과 virtual private gateway 가상 프라이빗 게이트웨이
9) Resource Group
- 태그 또는 리소스에 지정된 기준에 따라 구성 및 통합 가능
- 다수의 리소스를 사용할 경우, 작업을 할 때마다 AWS 사이를 이동하는 것보다는 리소스를 그룹으로 관리하는 것이 더 유용
10) 관련 회사 및 프로그램
(1) APN 기술 파트너 : 비즈니스, 기술 및 마케팅 지원 제공
(2) APN 컨설팅 파트너 : 새로운 애플리케이션 설계, 마이그레이션 또는 구축 지원
(3) AWS Partner Network(APN) : 기술 및 컨설팅 비즈니스를 위한 글로벌 파트너 프로그램. 비즈니스, 기술 및 마케팅 지원을 제공하여 회사가 AWS 제품을 구축하고, 마케팅하고, 판매하도록 도움
11) AWS Abuse(침해, 남용) Team
- 해당 계정이 침해 행위와 관련하여 사용되는 경우 이를 보고할 수 있음
- 스팸, 포트 스캐닝, Dos, 침입 시도, 금지된 컨텐츠 호스팅, 맬웨어 배포
'AWS > AWS Certified Cloud Practitioner' 카테고리의 다른 글
| AWS Practitioner Certification Dump 문제 정리(101번 ~ 250번) (0) | 2022.02.28 |
|---|
