SAP 시험 준비 #2

모의고사 2차시

공부할 목록

• SAML 2.0 연동 서비스(IAM,STS,Cognito...)
  • AssumeRoleWithWebIdentity는 Google, Facebook 같은 외부 인증 서비스를 사용할때 사용함
• Opsworks
• 여러 계정의 비용 통합 정산및 서비스 접근 제어 관리(교차계정 관련)
  • AWS Organizational SCP(Service Controll policy)
    • 이것은 서비스의 접근을 제어하는 정책
    • 리소스단위의 상세한 정책은 적용이 불가능
    • OU에 할당하여 SCP를 적용 시킬수 있으나 주입하는 방식은 아니다(?)
  • IAM
    • 특정 리소스의 상세한 정책 설정이 가능하다(예를 들어 특정 EC2의 삭제 권한)
    • 사용자, 리소스등에 정책 주입이 가능하다

알게된 사실

• S3 대용량 파일(5GB넘는 파일)을 멀티파트로 전송하면 훨씬 빠르다!!(생각 했던것 보다 더)
• 프라이빗 영역에 있는 서비스가 패치또는 서비스 목적으로 외부 서비스를 연결할때 해당 서비스 외 다른 URL 아웃 바운드를 방지하는 방법은 중간에 proxy를 집어넣고 제어하는 방법 뿐이다
• Storage Gateway의 캐시 볼륨 게이트웨이는 최대 1024TB
• Storage Gateway의 저장 볼륨 게이트웨이는 최대 512TB
• SSE-S3는 각 객체 별 고유한 키로 암호화 되며 다단계로 암호화 된다.
• Redshift를 별도의 팀이 별도의 잡을 실행 시킬때 워크로드 관리(WLM)을 사용하면 우선순위를 유연하게 관리 할 수 있다!
• 서명된 URL은 CloudFront에서 제공하는것!!
• 미리 서명된 URL은 S3에서 제공하는것!(유요한 시간및 객체의 엑세스를 제어 할 수 있다)
• Storage Gateway의 볼륨 게이트웨이(ISCSI)를 보안적으로 연결하기 위해선 CHAP(Challenge-Handshake Authentication Protocol)를 구성해야한다.
• CloudWatch Dashboard는 리전 관계없이 모든 리전의 리소스를 모니터링 할 수 있다.
• RDS의 데이터 트렉젠셕 로그는 5분 단위로 S3에 백업할수 있으며 해당 트렌젝션 로그를 활용하여 복구가 가능하다.
• STS에 부여된 권한을 긴급하게 회수해야 하는 경우 IAM의 활성 세션 취소 기능을 활용할 수 있다.
• 모바일에 푸시를 위하여 pinpoint 나 sns mobile push 서비스를 사용할 수 있다

DR 전략

• DR전락 관련
  • Backup and Restore -RPO는 시간 단위이며 RTO는 24 시간 이하입니다. 데이터와 애플리케이션을 DR 지역에 백업합니다. 재해 복구에 필요한 경우이 데이터를 복원하십시오.
  • Pilot light -RPO는 몇 분이고 RTO는 몇 시간입니다. DR 지역에서 항상 시스템의 가장 중요한 핵심 요소를 실행하는 환경의 최소 버전을 유지합니다. 복구시기가되면 핵심 코어 주변에 전체 규모의 프로덕션 환경을 신속하게 프로비저닝 할 수 있습니다.
  • Warm standby -RPO는 초 단위이며 RTO는 분 단위입니다. DR 리전에서 항상 실행되는 전체 기능 환경의 축소 된 버전을 유지합니다. 비즈니스 크리티컬 시스템은 완전히 복제되고 항상 켜져 있지만 플릿이 축소됩니다. 복구 시간이되면 시스템은 생산 부하를 처리하기 위해 빠르게 확장됩니다.
  • Multi-region active-active -RPO가 초 단위 인 동안 RPO가 없거나 초일 수 있습니다. 이를 "멀티 사이트"라고도하며 워크로드가 여러 AWS 리전에 배포되고 트래픽을 적극적으로 제공합니다. 이 전략을 사용하려면 사용중인 리전에서 사용자와 데이터를 동기화해야합니다. 복구시기가되면 Amazon Route 53 또는 AWS Global Accelerator와 같은 서비스를 사용하여 워크로드가 정상인 곳으로 사용자 트래픽을 라우팅하십시오.
• 인플레 이스 업그레이드는 일반적으로 일관된 롤아웃 일정으로 신속한 배포에 유용합니다. 세션없는 애플리케이션을 위해 설계되었습니다. 롤링 배포 일정을 구현하여 상태 저장 애플리케이션에 대한 현재 위치 업그레이드 방법을 계속 사용할 수 있습니다.
• 일회용 업그레이드는 애플리케이션에 알 수없는 종속성이 있는지 알 수있는 더 간단한 방법을 제공합니다. 기본 EC2 인스턴스 사용량은 현재 릴리스가 활성화 될 때까지 배포 기간 동안 본질적으로 일시적이거나 일시적인 것으로 간주됩니다. 새 릴리스 중에 이전 인스턴스를 종료하여 새로운 EC2 인스턴스 세트가 롤아웃됩니다. 이러한 유형의 업그레이드 기술은 변경 불가능한 인프라에서 더 일반적입니다.