SAP 시험 준비 #3

공부 목록

• AWS Elastic Beanstalk 배포전략
  • All at once
  • Rolling
  • Rolling with additional batch
  • Immutable
• API Gateway  응답 유형
  • INTEGRATION_FAILURE - 통합 실패. 요청이 에러인경우
  • INTEGRATION_TIMEOUT -  통합 시간 초과
    • 시간 제한의 경우 50ms ~ 29s로 요청 응답시간이 이 범위를 넘어가면 에러가 발생함
• CodeDeploy
  
  • 블루/그린 배포
    • 카나리
      • 트래픽을 2증분씩 이동하여 비율단위를 높여감
    • Linear
      • 트래픽을 동일하게 증분하여 이동
    • All-at-once
      • 모든 트래픽이 한번에 전부 옮겨감
  • 이런 경우 블루/그린 배포전략은 매우 위험함
    • 스키마 변경이 너무 복잡해서 코드 변경에서 분리할 수 없는경우
    • 데이터 저장소 공유가 불가능 할 경우
    • 사용 어플리케이션에 사전 정의된 업데이트나 업그레이드 프로세스가 블루/그린 배포와 별도로 돌아가는 경우(충돌 우려)
• AWS Organizations
  • AdministratorAccess는 관리자 권한
  • PowerUserAccess 고급 개발자 권한
  • SystemAdministrator 계정 관련 정보에 제약이 있는 권한
• AWS CloudFront
  • HTTP 전용
  • HTTPS 전용
  • MatchViewer
    • HTTP/HTTPS를 모두 사용하여 요청하더라도 객체를 단 한번만 캐시함
• 테이프 게이트웨이를 이용하여 S3의 Glacier에 보관하는것이 가능함!!
• AWS Application Discovery Service는 기업 고객이 온 프레미스 데이터 센터에 대한 정보를 수집하여 마이그레이션 프로젝트를 계획 할 수 있도록 지원합니다.
• AWS 보안 관련 툴
  • Inspectort
    • EC2 네트워크 접근석 및 해당 인스턴스에서 실행되는 애플리케이션의 보안상태 테스트 하는 보안 평가도구
  • GuardDuty(공격자 정찰, 인스턴스 침해, 계정 침해, 버킷침해등 위협 파악)
    
    • S3에 저장된 데이터를 지속적으로 모니터링 하고 보호할 수 있으며 위협을 탐지함
    • CloudTrail 이벤트, VPC Flow Log, DNS Log등 연속적인 메타 데이터 스트림을 분석함
    • 악의적인 IP 주소, 이상탐지, 기계학습을 통한 인텔리전스를 사용해 정확하게 식별함
  • Trusted Advisor
    • AWS 모범 사례에 따라 리소스를 프로비저닝 하는데 도움 되도록 실시간으로 구성을 평가해 주는 온라인 도구
    • 인프라 최적화, 보안, 성능 향상시키며 전체 비용을 절감하고 서비스 한도를 모니터링 할 수 있음
  • WAF
    • 고객 정의 조건에 따라 웹 요청을 허용, 차단 모니터링 하는 규칙 구성
    • IP주소, HTTP헤더. HTTP 본문, URI 문자열및 SQL 명령어 주입 교차 사이트 스크립팅 필터링 가능함
  • Shield
    • DDos 공격으로 보호하는 관리형 시스템
    • AWS Shield Standard 는 추가비용 없이 모든 고객에게 자동 활성화
    • AWS Shield Advanced는 선택 가능한 유료 서비스
    • EC2, ELB, CloudFront, Gloval Accelerator, Route53에서 활성화 가능
  • Macie(보유한 데이터,해당 데이터 관련된 보안및 보호 엑세스 제어 분류)
    • 데이터 보안 및 데이터 프라이버시 서비스.
    • 기계 학습 및 패턴 일치를 활용해 민감한 데이터를 검색, 보호함
    • S3에 저장된 데이터 보안 및 목록을 지속적으로 감시 할 수 있음
• AWS Direct Connect

• BGP와 BGP MD5인증을 직접 연경하여 온프레미스 머신과 연결이 가능함
• DNS 활성-활성 장애 조치를 사용하면 비정상 인스턴스에 대한 액세스를 활성 인스턴스로 리디렉션 할 수 있습니다. 대기 시간 기반 라우팅과 함께 웹 서버에 액세스하는 고객은 대기 시간을 기반으로 사용 가능한 정상 인스턴스 전체에서 균형을 이룹니다.
• SSL
  • Viewer <-> CloudFront 간 HTTPS
    • Comodo, DigiCert, Symantec또는 기타 제공업체 같은 신뢰할 수 있는 인증기관(CA)에서 발급 한 인증서 사용
    • AWS Certificate Manager(ACM) 에서 제공하는 인증서
  • CloudFront <-> Origin 간 HTTPS
    • 오리진이 EC2 같은 ELB를 사용하는게 아닌경우 타사 CA  인증서 발급해야함
    • ELB를 사용하는 경우 ACM 사용가능
• AWS Resource Tag 기반 관리및 자동 Tag 할당을 위한 방법
  • AWS CloudFormation 은 클라우드 환경의 모든 인프라 리소스를 프로비저닝하기위한 공통 언어를 제공합니다. CloudFormation 템플릿은 자동화되고 안전한 방식으로 AWS 리소스를 생성하는 간단한 텍스트 파일입니다. AWS CloudFormation 템플릿을 사용하여 AWS 리소스를 생성 할 때 CloudFormation 리소스 태그 속성을 사용하여 생성시 특정 리소스 유형에 태그를 적용 할 수 있습니다.
  • AWS Service Catalog를 사용하면 조직이 AWS에서 사용하도록 승인 된 IT 서비스 카탈로그를 생성하고 관리 할 수 ​​있습니다. 이러한 IT 서비스에는 가상 머신 이미지, 서버, 소프트웨어 및 데이터베이스에서 완전한 다중 계층 애플리케이션 환경에 이르는 모든 것이 포함될 수 있습니다. AWS Service Catalog는 사용자에게 셀프 서비스 기능을 지원하여 사용자가 필요한 서비스를 프로비저닝하는 동시에 필요한 태그 및 태그 값의 적용을 포함하여 일관된 거버넌스를 유지하도록 도와줍니다.
  • AWS Identity and Access Management (IAM)를 사용하면 AWS 서비스 및 리소스에 대한 액세스를 안전하게 관리 할 수 ​​있습니다. IAM을 사용하여 AWS 사용자 및 그룹을 생성 및 관리하고 권한을 사용하여 AWS 리소스에 대한 액세스를 허용하거나 거부 할 수 있습니다. IAM 정책을 생성 할 때 태그 생성 및 삭제를위한 특정 권한을 포함하는 리소스 수준 권한을 지정할 수 있습니다. 또한 aws : RequestTag 및 aws : TagKeys와 같은 조건 키를 포함하여 특정 태그 또는 태그 값이없는 경우 리소스가 생성되지 않도록 할 수 있습니다.
• Transit gateway
  • vpc간 데이터 전송 관리(다중 피어링에 유리)
  • 멀티케스트 지원(Direct Connect로 데이터가 나가거나 IGMP를 지원하진 않음)
• Direct Connect Gateway
  • 여러 계정이 가지고 있는 VPC를 하나의 도메인으로 온프레미스 네트워크와 연결이 가능하게 해줌