CloudFront
: 콘텐츠 전송 네트워크(CDN) 서비스
웹 콘텐츠를 사용자에게 빠르고 안전하게 배포하는데 사용됨
사용자에게 가장 가까운 엣지 로케이션이라는 AWS 데이터 센터에서 가져오도록 하는 서비스
- 클로벌 엣지 네트워크
- 콘텐츠 캐싱
- 지연 시간 감소 및 성능 향상
- 보안 강화
- 비용 절감
- 정적 웹사이트 호스팅 가속화
- 동적 컨텐츠 및 API가속화 (응답 시간을 개선)
- 라이브 및 온디맨드 비디오 스트리밍
- 소프트웨어 및 게임 업테이트 배포
-> 웹 콘텐츠를 빠르고 안전하게 효율적으로 사용자에게 전달하기 위한 글로벌 배포망 서비스
오리진 (Origin)
- CloudFront가 콘텐츠를 가져오는 원본 서버
- Amazon S3 버킷, EC2 인스턴스, 사용자 지정 오리진 즉 온프레미스 서버의 IP주소나 도메인일 수 있음
OAI (Origin Access Identity - 원본 엑세스 ID)
- CloudFront만이 S3 버킷의 프라이빗 콘텐츠에 접근할 수 있도록 해주는 CloudFront의 특별한 가상ID
- S3 버킷 정책에서 이 OAI에게만 읽기 (s3:GetObject) 권한을 부여하면, 다른 모든 사용자의 S3 직접 접근은 차단 됨
CLI (Command Line Interface)
- 명령줄을 통해 AWS 서비스를 관리하고 상호 작용하는 도구
- SFTP 클라이언트를 대체하여 S3 버킷에 콘텐츠를 업로드하고 관리하는 현대적이고 효율적인 방법법
CloudFront 필드 수준 암호화 (Field-Level Encryption)
- 사용자가 웹 폼을 통해 POST 요청으로 보내는 데이터에서, 특정 필드만 선택적으로 암호화하여 원본 서버(origin)로 전달하는 기능
프라이빗 컨텐츠 제공
CloudFront를 사용하여 비공개 콘텐츠를 안전하게 제공하는 방법은 두 가지 있음
- 서명된 URL (Signed URL) : 특정 파일에 대해 제한된 시간 동안만 유효한 접근 권한을 부여하는 특별한 URL임. 모바일 앱이 인증 후 백엔드 서버로부터 이 URL을 받아, 특정 비디오나 이미지에 접근하는데 매우 적합
- 서명된 쿠키(Signed Cookies) : 여러 파일에 대한 접근 권한을 부여하는 데 사용되며, 주로 웹 브라우저 환경에서 사용 됨
---
S3 Standard
- 가장 기본직인 S3 스토리지 클래스
- 자주 접근되는 데이터를 위한 기본 스토리지
S3 Intelligent- Tiering
- 데이터 접근 패턴을 모니터링해 자동으로 가장 적합한 비용 효율 계층으로 이동
- 접근 패턴이 예측 불가능한 경우 이용
- 비용 최적화, 성능 보장
- 일부는 자주, 일부는 가끔 접근되는 불규칙한 데이터에 적합함
S3 Standard-IA (Infrequent Accesc)
- 자주 접근되지 않는 데이터용 스토리지 클래스
- 데이터 요청 시 요금 부과
- 접근 패턴이 예측 가능할떄만 유리
- 백업, 로그파일, 보관용 이미지 에 적합
S3 One Zone-IA
- Standard-IA와 같지만 AZ 하나에만 저장됨
- AZ 장애를 감수하고 비용을 절감하고자 할 때
- 단일 AZ 만 사용하기 때문에 복원력이 낮음
- 복제본이 있거나 복구 가능성이 큰 데이터
S3 Glacier
- 장기 보관용 데이터 저장소(백업, 감사로그, 옛날 거래 정보)
- 검색, 복원이 느리지만 쌈
S3 Glacier Deep Archive
- 최저비용 스토리지(테이프 백업 대체용)
- 복원까지 최대 12시간 소요될 수 있음
- 거의 접근 안하고 보관만 할 데이터에 사용
S3 Glacer Instant Retrieval
- 거의 접근하지 않는 아카이브 데이터를 밀리초 단위로 검색할 수 있는 클래스
- 저장 비용은 매우 저렴하지만 데이터 검색 비용은 IA 보다 비쌈
미리 서명된 URL
- S3 버킷에 있는 비공개 객체에 대해, 제한된 시간 동안만 유효한 임시 접근 권한을 부여하는 특별한URL
- ex ) 이 파일 너만 15분동안만 열 수 있어. 라고 서명된 임시 URL을 발급해주는 것
Amazon Macie
- S3 버킷에 저장된 민감 데이터(개인정보)를 식별하고 분류하는 서비스
S3 객체 잠금 (Object Lock)
- S3 객체에 대한 WORM(Write-Once, Read-Many) 모델을 제공하여 수정 및 삭제를 방지하는 기능
- 거버넌스 모드(Governance Mode) : 특별한 권한이 있는 사용자는 보존 기간 내에도 잠금을 우회할 수 있음
- 규정 준수 모드(Compliance Mode) : 가장 강력한 모드. 일단 설정되면 보존 기간이 만료될 때까지 루트 사용자를 포함한 그 누구도 잠금을 우회하거나 객체를 삭제/수정할 수 없음
S3 정적 웹사이트 호스팅
- 서버를 관리할 필요 없이 S3 버킷에 직접 HTML, CSS, JS, 이미지 파일 등을 저장하여 웹사이트를 호스팅하는 서버리스 방식
- 가장 비용 효율적이고 내구성 및 복원력이 뛰어난 정적 사이트 호스팅 방법
---
Cost Explorer
- AWS 비용 및 사용량을 시각화하고, 이해하며, 관리할 수 있도록 도와주는 도구. 비용 패턴을 분석하고 추세 파악에 특화되어 있음
- EC2, 리전, 사용 유형, 인스턴스 유형 등 다양한 차원에서 비용 데이터를 필터링하고 그룹화 할 수 잇는 강력한 기능 제공
- 이를 통해 특정 인스턴스 유형에 대한 비용 증가를 쉽게 식별하고 해당 인스턴스 유형이 어떤 시점에 왜 비용이 증가했는지 파악 하는 심층 분석이 가능함
---
AWS Config
- AWS 리소스의 구성 변경 사항을 기록하고, 특정 시점의 구성을 평가하며, 변경 사항이 규정 준수 여부에 어떤 영향을 미치는지 지속적으로 모니터링하는 서비스
AWS Trusted Advisor
- 비용 최적화, 성능, 보안, 내결함성, 서비스 할당량 측면에서 AWS 환경을 검토하고 모범 사례 권장 사항을 제공하는 서비스
Amazon Inspector
- 보안취약점 및 모범 사례 위반 여부를 자동으로 평가하는 서비스
- EC2 인스턴스, 컨테이너 이미지, Lamda 함수 코드 내의 보안 취약점을 검사하는 데 사용됩니다.
CloudTrail
- AWS 계정 내에서 일어나는 모든 API 호출과 활동을 기록하고 모니터링 하는 서비스
- 보안 및 운영 감사, 규정 준수를 위해 누가 언제 어떤 작업을 했는지 추적 가능
Application Insights
- .NET 및 SQL Server 애플리케이션 모니터링용 서비스
---
AWS 디렉토리 서비스
- AWS 클라우드에서 디렉토리 기반의 사용자, 그룹, 인증을 관리할 수 있도록 도와주는 관리형 서비스
- 온프레미스 환경에서 흔히 사용하는 microsoft active directory 서비스를 AWS 클라우드 환경에서 쉽게 운영할 수 있게 해줍니다.
- 사용자 인증, 권한 관리, 그룹 관리 등 디렉토리 기반의 ID 및 접근 관리 기능을 제공
- AWS 리소스와 연동해 인증 및 권한 부여를 통합 관리 가능
---
Data Warehouse
- 기업의 의사 결정을 돕기 위해, 다양한 소스에서 수집된 대량의 데이터 분서에 최적화된 형태를 통합하고 저장하는 중앙 저장소
- > 분석 전용 대용량 데이터베이스
RedShift
- 완전관리형 데이터 웨어하우스 서비스
- 대규모 데이터 분석에 최적화된 서비스
- 페타바이트 단위까지 확장 가능
- 컬럼형 데이터 저장 방식으로 쿼리 성능이 뛰어남
- 복잡한 SQL 쿼리를 빠르게 실행할 수 있음
- S3, Glue, Athena등과 함께 사용 가능
- 자동 백업, 보안, 유지관리 등 관리 부담이 적음
-> 엄청 큰 데이터베이스에서 빠르게 복잡한 분석을 할 수 있게 해주는 AWS의 데이터 웨어하우스 서비스
Glue
- 데이터 처리/분석 자동화를 위한 ETL(Extract-Transform-Load)서비스
- 데이터를 쉽게 카탈로그화, 정제, 변환하고, 데이터 레이크 또는 데이터 웨어하우스에 적재할 수 있게 도와줌
- ETL 서비스로 말그대로 접착제 처럼 데이터 소스를 연결하고 가공해서 다른 곳으로 넘겨주는 역할
- 데이터를 추출->변환->적재 하는 ETL 작업 자동으로 수행함
- S3에 저장한 데이터를 정제할 때 사용
- RDS, DynamoDB, Redshift등에서 데이터 모아서 분석하고 싶을때 사용
Glue 작업 북마크(Job Bookmarks)
- AWS Glue가 제공하는 상태 추적 메커니즘
- 작업 북마크를 활성화하면, Glue는 성공적으로 처리된 파일(S3객체)에 대한 정보를 상태 저장소에 기록함. > 다음번에 동일한 작업이 실행되면, Glue는 북마크 정보를 참조해 이전에 처리했던 파일은 건너뛰고 새로 추가된 파일만 읽어서 처리함
QuickSight
- Redshift에 저장된 분석 결과를 시각화해 대시보드로 만들 수 있음
- BI 서비스(비지니스 인텔리전스)
Athena
- S3에 저장된 데이터를 직접 SQL로 쿼리할 수 있는 서버리스 서비스
- Redshift 외부에서 S3 데이터를 직접 SQL로 쿼리할 수 있는 서버리스 서비스
Kinesis Data Firehose
- 완전관리형 실시간 데이터 스트리밍 서비스
- 데이터를 실시간으로 받아서 자동으로 지정한 대상으로 전송
- 관리 부담이 거의 없음
- 자동 변환 및 버퍼링
- ex ) IoT센서 데이터 실시간 수집, 실시간 모니터링 및 알림 시스템 구축
- -> 실시간으로 들어오는 데이터를 AWS 저장소나 분석 시스템으로 자동으로 보내주는 서비스
Kinesis Data Streams
- 대규모의 스트리밍 데이터를 실시간으로 수집하고 처리하는 서비스
- 데이터의 강
Textract
- 스캔된 문서나 이미지에서 텍스트와 표, 양식 데이터를 추출하는 OCR(광학 문자 인식) 서비스
Comprehend
- 감정 분석 및 인사이트 도출
Comprehend Medical
- 의료 텍스트에서 PHI(개인 건강 정보), 질병, 약물 등 의학적 개체를 식별하고 추출하는 전문 자연어 처리(NPL) 서비스
Transcribe
- 음성 -> 텍스트 변환
- 오디오 파일을 입력으로 받아 텍스트 스크립트를 생성함
Transcribe PII 수정 (Connect Redaction)
- Transcribe의 핵심 보안 기능
- 전사 작업 시 이 옵션을 활성화하면, 텍스트에서 이름, 주소, 신용카드 번호, 주민등록번호와 같은 PII를 자동으로 감지하여 PII와 같은 태그로 마스킹하거나 완전히 없앨 수 있음
Transcribe Medical
- 의료 분야에 특화된 음성-텍스트 변환 서비스 (SSP > Speach-to-Text)
- 의사의 진료 중 대화, 처방 내용, 의료 노트, 환자 인터뷰 등 전문 의료 용어를 포함한 음성을 고정확도로 실시간 텍스트로 변환할 수 있음
Rekognition
- 머신러닝 기반 이미지 및 비디오 분석 서비스
- 코드 한 줄로 얼굴 인식, 객체 탐지, 장면 분석 같은 걸 해주는 AI 비전 API 서비스
Connect
- 클라우드 기반 컨택 센터. 콜센터를 구축하고 운영하는 데 필요한 모든 기능 제공
- 고객 상담사와 고객 간의 전화 기반 상호작용을 손쉽게 구축
- 빠르게 콜센터 구축 가능
Lex
- 챗봇을 만들기 위한 대화형 AI 서비스
Polly
- 텍스트 > 음성 변환 서비스
---
GuardDuty
- AWS 계정과 워크로드에서 악의적 활동, 비정상 행동 등을 모니터링하고 탐지하는 위협 탐지 서비스
- IDS 침입 탐지 역할을 함
Shield Standard
- 기본으로 제공하는 DDos 방어 서비스
- 자동으로 모든 서비스에 적용되어 소규모 디도스 공격 차단
- 네트워크 및 전송 계층 (Layer3.4)의 DDoS공격으로부터 보호
Shield Advanced
- 고급 DDos 방어 서비스
- 대규모 공격에 대한 탐지, 완화 및 비용 보호 기능 제공
- 애플리케이션 계층 Layer7 포함에 대한 방지
DDos 분산 서비스 거부 공격
- 수많은 출처에서 대량의 트래픽을 발생시켜 특정 웹사이트나 애플리케이션을 마비시키는 공격
---
AWS Direct Connect (DX) - 전용 고속도로
- 고객의 온프레미스 데이터 센터에서 AWS 리전까지 연결되는 무리적인 전용 광케이블 회선
- 인터넷 혼잡과 무관하게 항상 예측 가능한 낮은 지연 시간과 높은 대역폭 제공
Site-to-Site VPN 인터넷 속 암호화 터널
- 기존의 인터넷 연결을 기반으로 온프레미스와 AWS VPC 간에 암호화된 터널을 생성하는 서비스
---
고가용성
- 주로 단일 리전 내에서 하나의 가용 영역 장애를 극복하는 것을 목표로 함 Multi-AZ 구성이 대표적
재해복구
- 리전 전체에 장애가 발생하는 매우 드문 상황을 대비하는 것
- 교차리전 복제등이 사용되며 훨씬 더 복잡하고 비용이 높다
---
RDS 프록시 (RDS Proxy)
- 애플리케이션과 데이터베이스 사이에 위치하는 관리형 프록시
- Lamda와 같이 갑작스럽게 많은 수의 연결을 생성하는 서버리스 애플리케이션을 위해 특별히 설계된 완전 관리형 데이터베이스 프록시
- 애플리케이션과 데이터베이스 사이에서 연결 풀링 역할을 하며 데이터베이스의 연결 부담을 획기적으로 불여줌
Proxy
- 클라이언트와 서버 사이에 중간자 역할을 하는 서비스
직접 서버에 연결하는게 아니라, 프록시를 통해 우회해서 연결하는 구조
데이터베이스 연결 풀링 (Connectio Pooling)
- 미리 여러개의 데이터베이스 연결을 만들어 풀(Pool)에 보관해두고, 애플리케이션이 필요할 때마다 이 풀에서 연결을 빌려 쓰고 사용 후 반납하는 기술 > 데이터베이스 부하 크게 낮춤
---
Auto Scailing
애플리케이션의 수요 변화에 따라 EC2 인스턴스 수를 자동으로 조절해주는 AWS 기능
CloudWatch
AWS 리소스들을 모니터링하고 알림을 보내주는 서비스
CloudWatch Logs Insights
- 로그 데이터를 쿼리하는 서비스
VPC 흐름 로그
- VPC의 모든 네트워크 트래픽을 기록
---
RPO(Recovery Point Objective)
장애 상황에서 허용 가능한 최대 데이터 손실량
얼마나 최신 데이터까지 복구할 수 있는가
RTO(Recovery Time Objective)
장애 발생 시점부터 서비스가 다시 정상적으로 작동하기까지 걸리는 최대 허용 시간
얼마나 빨리 복구할 수 있는가
PITR(Point-in-Time Recovery) (DynamoDB 특정 시점 복구)
DynamoDB테이블의 모든 변경 사항을 지속적으로 백업하는 완전 관리형 기능
이 기능 활성화 하면 지난 35일 동안의 특정 시점으로 테이블 복원 가능
전역테이블 Global Tables
- 여러 AWS 리전에 걸쳐 다중활성 테이블을 생성하여, 전 세계 사용자에게 낮은 지연 시간의 데이터 엑세스를 제공하고 리전 장애 시 가용성을 높이는 기능
- 데이터 손상 복구용은 아님
- DynamoDB 기능
- 한 리전에 장애가 발생해도 다른 리전에서 즉시 서비스를 계속할 수 있어 재해 복구에 가장 이상적
DR (재해복구) 전략 (RTO 큰 순)
- 콜드 스탠바이(Cold Standby) : 백업만 존재하며, 장애 시 인프라 전체를 새로 구축
- 파일럿 라이트(Pilot Light) : 데이터베이스와 같은 핵심 데이터만 동기화되고, 애플리케이션 서버는 꺼져 있거나 최소한으로 실행
- 웜 대기 (Warm Stnadby) : 데이터베이스가 동기화되고, 애플리케이션 인프라도 축소된 버전으로 항상 실행되고 있음
- 핫 사이트 (Hot Site/Multi-Site) : 주 리전과 DR 리전 모두 액티브 상태로 트래픽을 처리(RTO 거의 0)
---
AWS Backup
- DynamoDB, S3, EC2, RDS 등 여러 AWS 서비스의 백업을 중앙에서 관리하고 자동화하는 완전 관리형 서비스
- 사용자는 백업계획을 통해 백업 주기, 보관 기간, 수명 주기 규칙 등을 손쉽게 설정할 수 있다
- 교차 리전 복사 : 백업이 완료된 후 해당 백업을 다른 리전의 백업 볼트로 자동으로 복사하는 기능 제공
---
DynamoDB
- 완전관리형 NoSQL 키-값 및 문서형 데이터베이스 서비스
- 초당 수백만건의 요청을 처리할 수 있고, 서버 관리 없이 확장도 자동으로 해줌
DAX (DynamoDB Accelerator)
- DynamoDB의 인메모리 캐시 서비스 > 읽기 성능 가속
- 읽기 성능을 수 밀리초 -> 마이크로초 수준으로 가속시켜주는 서비스
인메모리 캐싱 (In-Memory Caching)
- 자주 접근하는 데이터를 디스크(SSD)보다 훨씬 빠른 메모리(RAM)에 저장하여 읽기 성능을 획기적으로 향상시키는 기술
---
온디맨드 On-Demand
사전 용량 설정 없이 요청이 오면 자동으로 처리 용량을 조절하고, 요청 수에 따라 과금되는 방식
---
EBS (Elastic Block Store)
- EC2 인스턴스에 사용할 수 있는 고성능 블록 스토리지 서비스(가상 하드디스크)
- EC2에 연결해서 쓰는 하드디스크(디스브 볼륨) 같은 거 -> EC2전용임
- 특정 시점의 EBS 볼륨을 사진 찍듯이 백업시키는 스냅샷 기능 있음
DLM (Data Lifecycle Manager)
- EBS 볼륨의 스냅샷을 자동으로 생성, 보전 삭제해주는 정책 관리 서비스
- EC2 장애, 사용자 실수, 랜섬웨어 대응 등 위해 스냅샷 백업은 매우 중요
---
AMI (Amazon Machine Image)
- EC2 인스턴스 실행하기 위한 템플릿 > 서버를 찍어내는 빵틀
- EC2 인스턴스를 만들 때 사용하는 운영체제 + 설정 + 소프트웨어가 담긴 이미지
- 재해 복구 : 현재 운영 중인 EC2 인스턴스로부터 AMI를 생성하면, 해당 서버의 완벽한 백업이 됨
AWS Trusted Advisor
- 리소스를 프로비저닝하는 데 도음이 되는 실시간 지침을 제공하는 서비스
CloudFormation
- 인프라를 코드로 (IaC) 관리할 수 있게 해주는 서비스 > 인프라의 설계도 및 시공사
- 복잡한 AWS 인프라를 마우스 하나하나 클릭해 수동으로 생성하는 대신 코드를 작성해 인프라를 자동으로 예측 가능하게 생성하고 관리할 수 있도록 해줌
- 템플릿 : 원하는 인프라의 구성요소를 상세하게 정의한 설게도
- 스택 : 시공사가 템플릿을 읽어서 설계도에 명시된 그대로 실제로 AWS 리소스들을 지어올린 결과물(건축물)
---
예약 인스턴스 (Reserved Instances - Rls)
- 1년/3년 기간 동안 특정 인스턴스 사용량을 약정하는 대신 온디맨드 요금에 비해 72퍼 할인받는 옵션.
- 24시간 내내 꾸준히 실행되는 워크로드에 가장 비용 효율적
온드맨드 인스턴스 (On-Demand Instances)
- 약정 없이 필요할 때마다 인스턴스를 시작하고, 사용한 만큼 비용을 지불하는 가장 유연한 방식
- 언제든 시작하고 중지할 수 있으므로, 사용 시간이 불규칙하거나 단기간 테스트, 개발용으로 적합
스팟 인스턴스 (Spot Instances)
- AWS의 남는 EC2 용량을 경매 방식으로 매우 저렴하게 사용하는 방식
- 하지만 AWS가 해당 용량을 필요로 할 경우, 2분 전 통보 후 인스턴스를 중단할 수 있음
- 그래서 비즈니스에 중요한 프로덕션 워크로드에 절대 사용하면 안됨
---
NAT (네트워크 주소 변환)
- 프라이빗 IP 주소를 공인 IP주소로 변환하여, 프라이빗 네트워크에 있는 장치가 인터넷과 통신할 수 있게 해주는 기술
NAT 게이트 웨이(NAT Gateway)
- AWS에서 제공하는 완전 관리형 NAT서비스
- 특정 가용 영역(AZ)에 생성되며, 높은 처리량과 가용성을 제공
- 프라이빗 서브넷의 아웃바운드 인터넷 트래픽을 처리하는 가장 표준적이고 권장되는 방법
NAT 인스턴스 (NAT Instance)
- 사용자가 직접인스턴스에 NAT 소프트웨어를 설치하고 구성하는 방식
- 가용성, 확장성, 패치 등을 모두 직접 관리해야 하므로 운영 부담이 크고 현재는 잘 사용하지 않음
- IPv4
인터넷 게이트웨이 (Internet Gateway)
- VPC와 인터넷 간의 양방향 통신을 가능하게 하는 게이트웨이
- IPv4, IPv6다 가능
외부 전용 인터넷 게이트웨이 (Egress-Only Internet Gateway)
- IPv6 트래픽에 대해서만 아웃바운드 연결을 허용하는 VPC 구성 요수임
- 상태 저장 방식으로 작동하여, 내부에서 시작된 요청에 대한 응답 트래픽은 허용하지만, 외부 인터넷에서 먼저 시작된 인바운드 연결은 차단함
---
DataSync
- 온프레미스 스토리지와 AWS 클라우드 스토리지 간의 데이터 전송을 자동화하고 가속화하는 완전 관리형 서비스
- 대용량 데이터 이동을 자동화하는데 특화된 서비스
- 온프레미스<->AWS, AWS <->AWS
WAF (Web Application Firewall)
- SQL인젝션, XSS, IP 차단, 요청 속도 제한, 봇 트래픽과 같은 일반적인 웹 공격 패턴을 감지하고 차단하는 Layer7 웹 방화벽 서비스
- API Gateway, CloudFront, Application Load Balnder에 연결하여 사용
- 웹 트래픽을 모니터링하고 제어하는 웹 방화벽
- 지리적 일치 규칙 : 요청이 발생하는 국가를 기반으로 트래픽을 허용하거나 차단하는 기능 제공
Firewall Manager
- 기업 전체에 걸쳐 보안 정책을 중앙에서 관리하고 자동 적용할 수 있도록 도와주는 서비스
- WAF, 보안그룹, DNS Firewall 등을 정책으로 만들어 여러 계정/리전에 자동 적용
Global Accelerator
- AWS의 글로벌 네트워크를 활용하여 애플리케이션의 가용성과 성능을 향상시키는 네트워킹 서비스
- 사용자 요청을 AWS 글로벌 네트워크의 가장 가까운 엣지 로케이션으로 라우팅해서 지연 시간을 최소화하고 장애를 빠르게 우회할 수 있도록 도와줌
- 지리적으로 분산된 사용자에게 최소지연과 높은 가용성을 제공하고 싶을 때 사용(게임, 스트리밍 등)
> CloudFront가 동네편의점이라면 Global Accelerator는 고속도로 T맵
> - CloudFront : 자주 찾는 물건을 집 앞 편의점에 미리 가져다 놓고 고객이 필요할 때 바로바로 제공하여 기다리는 시간을 없애줌
> - 핵심 기능 : 콘텐츠 캐싱. 원본 서버까지 갈 필요 없이, 사용자와 가장 가까운 엣지 로케이션에서 콘텐츠를 즉시 제공
> - Accelerator : 목적지까지 가는 길 중 가장 막히지 않고 빠른 최적의 고속도로 경로를 찾아 안내해줌. 물건을 미리 가져다 두지는 않고.
> - 핵심 기능 : 경로 최적화 및 빠른 장애 조치. 사용자의 트래픽을 가장 가까운 AWS 엣지로 유입시킨 후 혼잡한 공용 인터넷 대신 빠르고 안정적인 AWS글로벌 네트워크를 통해 애플리케이션으로 전달
Route 53
- 사용자를 특정 서버의 IP주소로 안내하는 DNS 서비스(특정 서버로 사용자를 안내)
Route 53 라우팅 정책
- 사용자의 지리적 위치나 가장 낮은 지연 시간을 기준으로 DNS쿼리에 대해 다른 IP주소를 응답하여 트래픽을 분산시키는 DNS 수준의 기능
- 단순(Simple) 라우팅 : 하나의 도메인 이름에 대해 하나의 IP주소 또는 여러 IP주소를 반환하지만 상태 확인은 지원하지 않음. 따라서 인스턴스가 다운되어도 해당 IP 계속 반환
- 지연시간(Geolocation) 라우팅: 사용자의 지리적 위치를 기반으로 특정 리소스 IP를 반환(단일 응답)
- 다중응답(Multivalue Answer)라우팅 : 이 정책은 DNS 쿼리에 대해 여러 개의 값을 반환하는 기능. 가장 중요한 것은 각 레코드에 대해 Route 53 상태 확인을 연결할 수 있다는 점. 비정상으로 확인된 리소스의 IP 주소는 응답에서 제외하고 정상적인 리소스의 IP 주소만 반환
보안 그룹 (Security Group)
- VPC 안의 리소스 (EC2, RDS, ALB 등)에 적용하는 가상 방화벽
- 인바운드와 아웃바운드에 대한 규칙 설정 가능
- 상태 저장 방화벽 : 인바운드가 허용되면 그에 대한 아웃바운드는 자동 허용
- EC2 인스턴스 수준에서 작동하는 가상 방화벽 (L4~L7)
- IP 주소, 포트, 프로토콜을 기반으로 트래픽을 제어
- DENY(거부) 규칙을 만들 수 없음 > 허용만 가능
- 지역 단위로 관리됨
- 여러 보안 그룹을 동시에 연결 가능, 규칙은 병합됨
S3 ACL (Access Control List)
- S3 객체나 버킷에 대해 세부적인 권한 제어를 제공하는 오래된 방식
- 현재는 IAM 정책이나 S3 버킷 정책을 더 선호함
Network ACL (NACL)
- VCP 내부에서 서브넷 수준의 트워크 트래픽 제어를 담당하는 Layer3/4 방화벽
- 보안그룹과 마찬가지로 IP 주소 기반으로 트래픽 제어
- 기본적으로 모든 인바운드 및 아웃바운드 트래픽을 허용함
- 특정 IP 주소나 IP 대역에 대해 트래픽을 명시적으로 허용하거나 거부하는 규칙 설정
- VPC의 가장 바깥쪽 방어선 역할
보안 그룹
- EC2 인스턴스 수준에서 작동하는 가상 방화벽
- 허용 규칙만 설정 가능하며 명시적인 거부 규칙 없음
- 모든 것을 거부하고 허용할 것만 지정하는 방식
보안 그룹 참조
- 보안 그룹의 인바운드/아웃바운드 규칙을 설정할 때, 소스나 대상으로 특정 IP주소 대신 다른 보안 그룹ID를 지정하는 기능
- IP 주소가 동적으로 변할 수 있는 클라우드 환경에서 특정 계층 간의 접근을 제어하는 가장 안전하고 권장되는 방식
- 리전 간 VPC 피어링으로 연결된 VPC 사이에서도 보안 그룹 ID를 참조할 수 있음
---
KMS (Key Management Service)
- 메인 키 서비스
- 데이터 암호화를 위한 키 생성, 저장, 회전, 접근제어까지 전부 맡아주는 서비스
- 자동 키 회전 : 일정 주기로 키를 자동 교체
- IAM, 키 정책, 조건부 정채긍로 세부 권한 부여 가능
- S3, EBS, RDS, Lamda등 다양한 서비스와 자동 암호화 연동
AMS Secrets Manager
- 비밀번호, API 키 같은 비밀값 저장/관리(KMS로 암호화됨)
AMS Parameter Store(SSM)
- 설정값, 환경 변수 저장
AWS ACM (AWS Certificate Manager)
- SSL/TLS 인증서를 쉽게 생성, 배포, 갱신해주는 서비스
- 인증서 생성, 검증, 배포, 갱신을 자동화함
- AWS Certificate Manager Private CA 사용 시 사설 인증서 발급 가능
상태비저장(Stateless)
- 각 작업이 독립적이어서 이전 작업의 상태에 의존하지 않음
OAI (Origin Access Identity)
- CloudFront와 S3를 연동할 때 CloudFront만이 S3 버킷에 접근할 수 있도록 제한하기 위해 사용하는 보안 매커니즘
- OAC (Origin Access Control)도 동일한 목적을 가짐
서버 측 암호화 SSE (Sever-Side Encryption)
- S3에 데이터가 저장될 때 AWS 서버 측에서 데이터를 암호화하는 방식
SSE-KMS
- KMS를 사용해 키 관리
- 고객 관리형 키 : 사용자가 KMS 내에서 직접 생성하고 관리하는 키, 키 정책 교체 주기 등 수명 주기를 직접 제어 가능
- 자동 키 교체 : 고객 관리형 키에 대해 이 옵션을 활성화 하면 AWS가 매년 자동으로 키의 암호화 자료를 교체해 줌
---
ECR (Elastic Container Registry)
- docker 컨테이너 이미지를 안전하게 저장, 관리 및 배포하는 완전 관리형 컨테이너 레지스트리 서비스
ECS (Elastic Container Service)
- 컨테이너화된 애플리케이션의 배포, 관리, 확장을 자동화하는 서비스
- fargate를 사용하거나 직접하는 두가지 시작 방식이 있음
ECS 작업 역할 (Task Role)
- 컨테이너 안에서 실핼되는 애플리케이션 코드에 대한 IAM 역할
- 애플리케이션이 S3, DynamoDB, SQS등 다른 AWS 서비스를 호출하는데 필요한 권한을 부여하는 데 사용됨
ECS 작업 실행 역할 (Task Exceution Role)
- ECS 에이전트 자체가 컨테이너 이미지를 ECR에서 가져오거나 로그를 CloudWatch로 보내는 등, ECS 서비스가 사용자를 대신해 작업을 수행하는 데 필요한 역할
ECS 작업 정의 (Task Definition)
- 컨테이너를 실행하기 위한 설계도
- 사용할 컨테이너 이미지, CPU/메모리, 애플리케이션에 부여할 작업 역할(Task Role)등을 여기서 정의
Fargate
- 컨테이너를 실행하기 위한 EC2 인스턴스를 전혀 관리할 필요가 없는 서버리스 컴퓨팅 엔진
- AWS가 자동으로 리소스를 할당하고 관리해줌으로 운영 오버헤드 최소화
대상 추적 조정 (Target Tracking Scaling)
- CPU 사용률이나 요청 수와 같은 지표와 목표 값을 설정하면 ECS 서비스가 해당 목표를 유지하기 위해 컨테이너(테스크)의 수를 자동으로 늘리거나 줄이는 간단한 확장 방식
---
SQS (Simple Queue Service)
- 애플리케이션 구성 요소를 분리하기 위한 완전 관리형 메시지 큐 서비스
- 생산자(sender)는 큐에 메시지를 넣고, 소비자(porcessor)는 큐에서 메시지를 꺼내 처리한 후 삭제하는 방식으로 작동
- 디커플링을 구현하는 핵심적인 도구
디커플링 (Decoupling)
- 애플리케이션의 구성 요소를 분리하여, 한 구성 요소의 장애가 다른 구성 요소에 직접적인 영향을 미치지 않도록 설계하는 아키텍처 원칙
배달 못한 편지 대기열 (Dead-Letter Queue - DQL)
- SQS의 핵심적인 오류 처리 기능
- 어떤 메시지가 정상적으로 처리되지 못하고 특정 횟수 이상 재시도된 후에도 계속 실패할 경우 해당 메시지를 자동으로 이동시키는 별도의 SQS 대기열
교차 리전 복제 (Cross-Region Replication)
- S3 버킷에 데이터를 다른 AWS 리전의 버킷으로 자동으로 복제하는 기능
- 재해 복구나 특정 리전 사용자에게 낮은 지연 시간을 제공하는데 사용될 수 있지만 cloudfront처럼 전 세계적인 캐싱 네트워크를 제공하지 않으며 관리 및 비용 측면에서 더 복잡함
---
AWS Organizations
- 여러 AWS 계정을 중앙에서 통합하고 관리하고 통제하는 서비스
서비스 제어 정책 (Service Control Policies - SCPs)
- 조직 내 계정들이 어떤 AWS 서비스, API 작업, 리전을 사용할 수 있는지 제어
- Organizations의 핵심 기능으로 조직 내 계정에 대한 최대 허용 권한을 정의하는 가드레일 역할을 함
- 계정 수준에서의 권한 한도 설정, 계정이 사용할 수 있는 서비스 제한, 특정 리전 제한, 리소스 제한, 보안 강화, 거버넌스 목적
- IAM에서 허용해도 SCP에서 막히면 사용 불가
- SCP에서 특정 작업을 Deny(거부)하면, 해당 계정의 루트 사용자를 포함한 모든 사용자 및 역할은 IAM 정책에서 해당 작업을 허용하더라도 절대 그 작업 수행 불가능
ElasticCache
- 인메모리 캐시 서비스
- 데이터베이스 쿼리 결과나 세션 데이터 등을 캐싱하여 애플리케이션 내부의 성능을 높이는데 사용
- 분산 세션 저장소로 사용하기에 가장 이상적
- 특히 Redis는 고가용성을 지원하여 세션 데이터의 안정성 높여줌
분산 세션 관리 (Distributed Session Meanagement)
- 여러 웹 서버가 동일한 사용자 세션 데이터에 접근하고 공유할 수 있도록 하는 기술
---
가용성 Availability
- 서비스가 얼마나 자주, 그리고 얼마나 오래 정상 작동하는지 나타내는 지표
- 서버/ 서비스가 멈추지 않고 계속 살아있는 상태를 의미함
- 고가용성을 위한 앱 구성 : ALB + Auto Scling + EC2 in Nulti-AZ
- 가용성 높이는 전략
- 여러 AZ 사용, 자동 복구, 오토 스케일링, 전 세계 배포, 재해 복구
- 여러 리전을 걸쳐서 하는건 재해 복구 개념
고가용성 HA
- AWS 에서 고가용성은 일반적으로 단일 가용역역의 장애를 견딜 수 있도록 설계하는 것을 의미함. AZ는 하나의 AWS 리전 내에 위치한, 물리적으로 분리된 데이터 센터임
다중 AZ 배포 (Multi-AZ Deployment)
- 고가용성을 달성하기 위한 기본적인 전력
- 로드 밸런서, Auto Scaling 그룹, 데이터베이스 등의 리소스를 최소 2개 이상의 가용 영역에 걸쳐 분산 배치하는 방식
---
VPC 엔드드포인드 (VPC Endpoint)
- VPC와 지원되는 AWS 서비스간에 비공개 연결을 설정할 수 있게 해주는 기능
- 트래픽이 AWS의 안저한 내부 네트워크 내에서만 이동하며 인터넷으로 나가지 않음
1.인터페이스 엔드포인트 (Interface Endpoint)
- AWS PrivateLink 기술을 사용하며, VPC의 서브넷 내의 프라이빗 IP를 가진ENI를 생성함. 대부분의 AWS 서비스에 대한 프라이빗 연결을 설정하는데 사용
2.게이트웨이 엔드포인트
- VPC 엔드포인트의 한 종류로 S3와 DynamoDB를 위해 특별히 설계뙴
- VPC의 라우팅 테이블에 경로를 추가하는 방식으로 작동하며 이를 통해 DynamoDB로 향하는 모든 트래픽이 인터넷 대신 이 게이트웨이를 통하도록 경로를 지정함
NAT 게이트웨이 / 인터넷 게이트웨이 (Gateway)
- VPC내부의 리소스가 인터넷과 통신할 수 있도록 경로를 제공하는 것
VPC 피어링(Peering)
- 두 개의 VPC가 서로 비공개적으로 통신할 수 있도록 해주는 네트워킹 연결
- 두 VPC의 리소스는 마치 동일한 네트워크에 있는 것처럼 사설 IP 주소를 사용하여 서로 통신할 수 있음
- 절대 공용 인터넷 거치지 않음
Transit Gateway
- 리전 내에서 여러 VPC와 온프레미스 네트워크를 중앙 허브에 연결하여 네트워크를 단순화하는 클라우드 라우터
AWS Storage Gateway
- 온프레미스 환경과 AWS 클라우드 스토리지를 원할하게 연결해주는 하이브리드 클라우드 스토리시 서비스
- 파일 게이트웨이(File Gateway) : S3 버킷을 온프레미스 네트워크에 NFS, SMB 파일 공유로 노출시킴. 자주 엑세스 하는 데이터를 온프레미스 게이트웨이에 로컬로 캐시하여 사용자가 해당 데이터에 접근할 때 클라우드까지 가지 않고 로컬 캐시에서 매우 빠르게 읽을 수 있도록 해줌
- 볼륨 게이트웨이(Volume Gateway) : S3 스토리지를 iSCSI 블록 스토리지 볼륨으로 제공. 파일 기반 애플리케이션보다 서버의 블록 스토리지 확장에 사용
- 테이프 게이트웨이 : 파일 공유가 아닌 데이터 아카이빙을 위한 가상 테이프 라이브러리
---
IAM (Identity and Access Management)
- AWS 리소스에 대한 누가, 무엇을, 어디에서 접근할 수 있는지를 제어하는 서비스
- 즉 사용자와 권한을 관리하는 서비스
- ex) 이 사람은 EC2 시작할 수 있고, 저 사람은 S3 읽기만 가능하게
IAM 정책
- 어떤 작업을 어떤 리소스에 대해 허용하거나 거부할지 정의하는 권한
- 정책은 IAM 사용자/그룹/역할에 부티는 것
신뢰 관계
- IAM 역할의 일부로 어떤 주체가 이 역할을 맡을 수 있는지 정의
---
Lamda 네트워킹
- 기본 : VPC 외부에 위치하며, 인터넷에 접근할 수 있지만 VPC 내의 프라이빗 리소스에는 접근할 수 없음
- VPC 연결 : Lamda함수를 특정 VPC와 서브넷에 연결할 수 있음. 이렇게 하면 Lamda 함수는 해당 VPC내에 '탄력적 네트워크 인터페이스 ENI'를 갖게 되어 VPC의 사설 IP 주소를 할당받고 VPC의 일부가 됨
---
AWS Transfer Family
- SFTP, FTPS, FTP 프로토콜을 사용해 S3 또는 EFS로 파일을 직접 전송할 수 있도록 지원하는 완전 관리형 서비스
- 사용자는 SFTP 서버를 호스팅하기 위해 EC2 인스턴스를 프로비저닝, 패치, 괸리할 필요가 없음
사용자 지정 증명 공급자
- AWS Transfer Family의 주요 기능 중 하나로, 내장된 사용자 관리 기능 외에 외부의 자격 증명 시스템과 연동 가능
- 이를 구현하는 가장 일반적인 방법은, Transfer Family가 인증 요청을 보낼 API Gateway 엔드포인트를 제공하고, 그 뒤에서 Lamda 함수가 회사의 자체 IdP와 통신하여 자격 증명을 검증하는 로직을 수행하는 것
Data Lake
- 정형, 반정형, 비정형 데이터를 모두 수용할 수 있는 확장성 높은 중앙 저장소
- RDB의 엄격한 스키마 요구 없이 다양한 데이터 포맷 저장 가능
- 데이터 과학자, 분석가, 엔지니어 등이 필요한 방식으로 데이터를 추출하고 분석할 수 있음
- 데이터 웨어하우스보다 저장 비용이 저렴하고 유연한 분석 가능
Lake Formation
- 며칠 만에 완전한 데이터 레이크를 손쉽게 설정할 수 있도록 지원하는 완전 관리형 서비스
- 데이터 수집, 데이터 카탈로그 생성, 중앙 집중식 권한 관리 기능 제공
- 열, 행 수준까지 세분화된 접근 제어를 중앙에서 관리할 수 있음
Lake Formation 태그 기반 접근 제어(Tag-Based Access Control - TBAC)
- Lake Formation의 가장 강력하고 확장 가능한 권한 관리 방식
- 데이터 카탈로그의 리소스에 태그를 지정하고 IAM 보안 주체에게 해당 태그에 대한 권한을 부여할 수 있음
- ex ) '기밀' 태그가 붙은 열은 특정 그룹만 볼 수 있도록 제어할 수 있음
File Gateway
- 온프레미스 애플리케이션이 NFS 또는 SMB프로토콜을 통해 S3를 마치 네트워크 드라이브처럼 사용할 수 있게 해주는 서비스
- 온프레미스 파일 서버처럼 보이지만, 실제로는 백엔드 S3 버킷에 연결되어 있음
SMB (Server Message Block)
- 네트워크 파일 공유 프로토콜
- Windows 환경에서 주요 사용
---
AWS Elastic Beanstalk
- Java, Net, PHP, Node.js, Python 등 다양한 언어로 개발된 웹 애플리케이션 및 서비스를 손쉽게 배포하고 확장할 수 있는 PaaS
- 사용자가 애플리케이션 코드만 업로드하면 Elastic Beanstalk가 로드 밸런싱, 오토 스케일링, 상태 모니터링에 필요한 AWS 리소스를 자동으로 프로비저닝하고 운영 오버헤드를 크게 줄여줌
URL 교환(URL Swap) / CNAME 교환
- Elastic Beanstalk의 핵심 배포 기능 중 하나
- 두 개의 독립적인 환경을 동시에 실행하다가 DNS CNAME 레코드를 서로 교환하여 모든 틀픽을 즉시 새로운 환경으로 전환하는 방식 > 무중단 배포나 A/B 테스트를 매우 쉽게 구현 가능
PaaS (Platform as a Service)
- 개발자가 애플리케이션을 배포하고 실행할 수 있도록 제공되는 플랫폼
- 서버, 인프라, OS 관리 걱정 없이 코드만 올리면 실행될 수 있는 환경 제공하는 서비스
EventBridge
- 이벤트가 발생했을 때 자동으로 연결된 서비스가 동작하게 만드는 서비스
- 이벤트를 기준으로 자동화된 작업을 수행하거나, 비동기 흐름을 구성하는 데에 사용
---
Cognito
- 사용자 인증/인가 및 사용자 관리 서비스
- 모바일 웹/앱 에 로그인할 때 많이 사용
- 사용자가 성공적으로 인증하면 JWT 발급함
- 사용자 풀 (User Pools): 사용자 디렉터리
- 자격 풀(Identity Pools): 인증된 사용자에게 AWS 리소스 접근 권한 부여
---
Pinpoint
- 이메일, SMS, 푸시 알림, 음성 등 다양한 채널을 통해 고객과 소통하고 마케팅 캠페인을 실행하기 위한 완전 관리형 사용자 인게이지먼트 서비스
- 고객 커뮤니케이션 및 참여 플랫폼
- 앱 사용자 또는 고객에게 이메일, SMS, 푸시 알림, 음성 메시지 등 보낼 수 있음
Pinpoint 이벤트 스트림
- 사용자의 활동을 실시간으로 Kinesis로 스트리밍하는 기능
---
스로틀링 (Throttling)
- 서비스가 처리할 수 있는 한도를 초과하는 요청이 들어올 때, 서비스 보호를 위해 일시적으로 요청 처리를 거부하는 현상
AWS Resource Groups 및 Tag Editor
- AWS 계정 내의 여러 리전에 걸쳐 있는 다양한 리소스들을 태그를 기반으로 검색하고 그룹화할 수 있도록 지원하는 중앙 집중식 관리 서비스
- 태그 편집기의 '리소스 찾기' 기능을 사용하면 특정 태그 키나 값을 기준으로 AWS 계정의 모든 리전에서 지원되는 모든 리소스를 한 번에 검색하여 목록 조회 가능
---
MFA (Multi-Factor Authentication)
- 다중 요소 인증
- 로그인 시 두 가지 이상의 인증 수단을 요구하여 보안을 강화하는 방법
MFA 삭제
- 버전 관리가 활성화된 버킷에 추가적인 보안 계층을 제공하는 기능
- 이 기능이 활성화되면 객체의 특정 버전을 영구적으로 삭제하거나 버킷의 버전 관리 상태를 변경하려면 반드시 유효한 MFA 코드를 제공해야함
---
User-Agent 헤더
- 웹 브라우저가 서버에 요청을 보낼 때 포함하는 HTTP 헤더의 일종으로 브라우저, 운영체제, 기기 종류 등의 정보를 담고 있음. 서버는 이 헤더를 보고 사용자가 모바일인지 데스크톱인지 등을 판별할 수 있음
---
Application Load Balancer(ALB)
- Layer7(HTTP/HTTPS)에서 작동하는 지능형 로드 밸런서
- 여러 대상으로 트래픽을 분산시키는 역할뿐만 아니라, 각 대상의 상태를 주기적으로 확인하는 상태확인 기능이 매우 중요
ALB 상태 확인
- 등록된 각 EC2 인스턴스의 특정 경로에 주기적으로 요청을 보내, 정상적인 응답이 오는지 확인(200 OK)
- 만약 인스턴스가 응답하지 않거나 오류 코드를 반환하면 ALB는 해당 인스턴스를 비정상으로 표시하고 더 이상 트래픽을 보내지 않음
---
Step Functions
- 여러 AWS 서비스를 조합하여(특히 Lamda) 분산 애플리케이션과 마이크로서비스를 위한 워크플로를 시각적으로 설계하고 오케스트레이션 하는 완전 관리형 서버리스 서비스
상태 머신 (State Machine)
- step function에서 워크플로를 상태머신 이라는 다이어그램 형태로 정의함
- 각 상태는 Lamda 함수 호출, 다른 서비스 호출, 대기, 분기 등 하나의 작업 단위를 나타냄
- 복잡한 워크플로우의 상태 관리, 오류 처리, 재시도 로직을 직접 코드로 구현할 필요 없이 알아서 처리해주므로 운영 오버헤드 크게 줄임
---
Batch
- 어떤 규모에서든 배치 컴퓨팅 워크로드를 효율적으로 실행할 수 있도록 지원하는 완전 관리형 서비스
- 사용자가 작업을 제출하면 Batch가 동적으로 최적의 수량 및 유형의 컴퓨팅 리소스를 프로비저닝하고 관리함. 작업이 끝나면 컴퓨팅 리소스를 자동으로 종료하므로 운영 부담이 적고 비용 효율적임
Lamda
- 서버리스 함수 실행 서비스
- 최대 실행 시간 15분
Lamda@Edge
- CloudFront 엣지 로케이션에서 실행되는 서버리스 컴퓨팅 서비스
- 콘텐츠가 최종 사용자에게 전달되기 전후에 사용자 지정 코드를 실행하여 요청 및 응답을 조작할 수 있음
---
Elastic File System (EFS)
- 완전 관리형 NFS(Network File System) 파일 스토리시 서비스(Linux 최적화)
- EC2 인스턴스나 컨테이너에서 파일 시스템처럼 마운트해서 사용할 수 있음
- 동시에 여러 인스턴스에서 공유 접근 가능
---
VPC 보조 CIDR 블록
- 기존 VPC에 IP 주소가 부족할 때 추가적인 IPv4
CIDR 블록을 연결할 수 있는 기능
- 완전히 새로운 VPC를 만들거나 복잡한 네트워킹을 구성할 필요 없이 기존 VPC의 IP주소 공간을 간단하게 확장할 수 있음
- 추가된 CIDR 블록을 사용하여 새로운 서브넷을 생성하고 리소스를 배치할 수 있음
RDS Custom
- 표준 RDS의 관리형 기능 대부분을 제공하면서도, 사용자가 기본 EC2 인스턴스의 운영 체제 및 데이터베이스 환경에 직접 접근하여 특정 패치를 적용하거나 타사 소프트웨어를 설치하는 등 사용자지정이 가능하도록 하는 특별한 RDS 버전
Workload Discovery
- Well-Architected Tool의 일부 기능 또는 독립적인 파트너 솔루션과의 연계를 통해 제공되며, AWS 계정의 리소스를 자동으로 검색하고, 리소스 간의 관계를 분석하여 워크로드에 대한 아키텍처 다이어그램을 시각적으로 생성해주는 기능
System Manager Inventory
- EC2 인스턴스 내부의 소프트웨어, 파일, 네트워크 설정 등 OS 수준의 인벤토리를 수집하는 기능
X-Ray
- 애플리케이션의 요청 흐름을 추적하여 성능 병목 지점이나 오류를 찾는 디버깅 및 추적 도구
AppFlow
- Salesforse, SAP, Google Analytics와 같은 SaaS 애플리케이션과 S3, RedShift같은 AWS 서비스 간의 데이터 흐름을 안전하게 자동화하는 완전 관리형 통합 서비스
- 모든 데이터는 전송 중 자동으로 암호화 됨. S3대상으로 지정할 떄, 사용자가 자신의 고객 관리형 KMS 키를 선택하여 저장 데이터를 암호화하는 옵션 제공
---
캐싱 전략
1.지연로딩
- 읽기 : 애플리케이션이 캐시를 먼저 확인하고, 데이터가 없으면 디비에서 읽어온 후 그 데이터를 캐시에 저장
- 디비에만 데이터를 쓰지만 디비 데이터가 변경되어도 캐시가 업데이트 되지 않음 > 데이터 불일치 발생 가능성 있음
2.연속 쓰기
- 지연 로딩과 동일하게 작동
- 앱이 캐시에 먼저 데이터를 쓰고 캐시가 해당 데이터를 디비에 동기적으로 씀
- 캐시와 디비의 데이터가 항상 일치
---
EMR (Elastic MapReduce)
- 빅데이터 처리와 분석을 위한 클러스터 기반 플랫폼
- Hadoop, Spark, Hive, Presto 같은 오픈소스 프레임워크를 EC2 클러스터 위에 자동으로 설치 관리해주는 서비스
- 대용량 데이터 처리, 로그 분석, 데이터 변환, 모델 학습용 잔처리
Audit Manager
- AWS 환경이 PCI DSS와 같은 특정 규정 준수 표준을 잘 지키고 있는지에 대한 증거를 수집하고 감사를 자동화하는 서비스
'AWS' 카테고리의 다른 글
| AWS EC2로 Spring프로젝트 배포하기(RDS mysql) 2 (0) | 2022.11.12 |
|---|---|
| AWS EC2로 Spring프로젝트 배포하기(tomcat, filezilla) 1 (0) | 2022.11.12 |
