AWS SAA(Solution Architect Associate) 정리

AWS Secret Manager

• 이 서비스를 사용하여 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 정보를 손쉽게 교체 관리 및 검색할 수 있다.
• 자격 증명, API 키 및 기타 비밀을 보함한 저장,검색,관리 및 교체 가능
• ‘자격 증명 관리’ / ‘실시간으로 인증서를 암호화하고 해독할 수 있는 안전한 솔루션’ 지문에 유력한 답

AWS KMS

• 암호화 작업에 사용되는 키를 쉽게 생성하고 제어할 수 있도록 지원함
• 데이터를 암호화할때 사용되는 암호화 key를 안전하게 관리하는데 목적을 둔 서비스
• 암호화 키 사용은 감사 목적으로 기록되어야함

CloudFront

• CloudFront는 AWS에서 제공하는 CDN 서비스 입니다. 캐싱을 통해 사용자에게 좀 더 빠른 전송 속도를 제공함을 목적으로 합니다. CloudFront는 전 세계 이곳저곳에 Edge Server(Location)을 두고 Client에 가장 가까운 Edge Server를 찾아 Latency를 최소화시켜 빠른 데이터를 제공합니다.
• S3버킷 + CloudFront = 정적 웹사이트 호스팅을 위할떄… 사용하자
• (정적 웹사이트 호스팅은 서버리스로 EC2 사용이 필요없음)
• S3 오리진에 인증된 요청을 전송하는 두가지 방법으로 OAC 와 OAI를 제공함
• ‘전세계적으로 웹 사이트 요구 충족’ / ‘많은 수의 비디오와 이미지 + 수백만명 액세스’ / 콘텐츠 전송 네트워크(CDN)'

Amazon SQS (Simple Queue Service)

• 서비스가 점점 커질수록 서버 한대로는 처리가 힘들어진다. 자연스럽게 각 기능들을 여러 서버에서 처리하게 되면서, 서버들끼리 주고 받는 메세지를 잃어버리지 않고 정확하게 처리하는 것이 중요해졌다. SQS는 서버들끼리 주고받는 메세지를 정확하게 처리해준다.
• 서버들끼리 사용할 수 있는 메시지 큐를 제공하는 서비스
• 시스템 중단시 자동으로 주문을 처리할 수 있는 탄력적인 솔루션
• 요약하자면, 사용자에게 결과를 빨리 보여줘야 하는 작업과 시간이 오래 걸리는 작업을 분리할 때, 중요한 작업과 중요하지 않은 작업을 분리할때 SQS 큐를 유용하게 사용할 수 있다.
• ‘솔루션을 분리’/‘트랜잭션 삭제되는 문제’/‘손실될 위험이 있는 처리 대상 데이터를 잠시 보관하는 용도’/'분산애플리케이션의..~' 지문에 유력한답 
• 대량의 데이터 처리 + 확장성 개선 = SQS + lambda 조합

Amazon SQS (Simple Queue Service) FIFO 

• 주문이 접수된 순서대로 처리하기 위한 최상의 솔루션
• 대량의 데이터 처리 + 확장성 개선 = SQS + lamda
• 정확히 한 번만 메시지 전송 및 처리를 제공하는 메시지 중복 제거 기능을 지원합니다
• ‘주문한 순서대로’ / '병목현상 방지'  지문에 유력한답

 

S3 Transfer Acceleration (S3TA) 전송가속화

• 대형 객체의 장거리 송신과 관련하여 S3 콘텐츠 송수신 속도가 500% 증가함
• 클라이언트와 S3 버킷 간의 장거리 파일 전송을 파일을 빠르고 쉽고 안전하게 전송할 수 있는 버킷 수준 기능이다.
• 소규모 전송 & 같은 region일 경우는 큰 이점이없다.
• ‘여러 대륙에 걸쳐’ / '최대한 빨리 집계에 유리' 지문에 유력한 답

S3 Athena

• S3에 저장된 데이터를 SQL 언어로 조회할 수 있는 서비스
• 아테나에 데이터가 저장되어 있는 S3를 설정해주고 테이블 생성 후 쿼리를 실행하기만하면 데이터를 가져올 수 있다
• JSON 쿼리 가능 
• KPI 로 표시하기 위해서 Athena가 필요함, Athena는 S3에 쿼리함 

Amazon Aurora

• PostgreSQL과 호환되고 다중리전 및 AZ 를 기본적으로 지원하므로 인프라 및 용량 계획을 유지 관리 가능
• 데이터베이스를 Aurora로 마이그레이션하면 데이터베이스 인프라를 유지관리하는 운영 오버헤드가 줄어듬
• ‘읽기 전용임’ /‘데이터베이스를 자동으로 확장하는’ 지문의 답 유력

CloudTail

• 리소스내역/ API 활동을 기록하고 감시하는데 주로 사용됨
• EC2 인스턴스 및 보안그룹에 대한 변경사항을 감시하는데 사용

EFS(Elastic File System)

• 여러 EC2에서 동시에 액세스할 수 있는 확장 가능하고 완벽하게 관리되는 파일 스토리지 서비스
• 여러 EC2 인스턴스에 동시에 탑재할 수 있는 간단하고 확장 가능하며 탄력적인 파일 시스템을 제공
• 99.999999999%(9 11개)의 내구성과 최대 99.99%(4개의 9)의 가용성을 제공하도록 설계
• ‘중복성이 내장’ / ‘파일 수는 시간이 지남에 따라 증가한다’ 지문에 유력한 답
• 고가용성 표준 파일 시스템
•  

EBS(Elastic Block Store)

• 여러 EC2인스턴스에서 동시접속 할 수 없다는 단점
• AMAZON EBS는 AWS 클라우드의 EC2 인스턴스에 사용할 영구 블록 스토리지 볼륨을 제공, 각 EBS 볼륨은 가용 영역 내에 자동으로 복제되어 구성요소 장애로부터 보호해주고 고가용성 및 내구성을 제공한다.
• 흔히 EC2는 메모리, 그래픽카드 등 하드디스크를 제외한 컴퓨터의 모든 부분이라고 생각하면 된다. EBS는 하드디스크라고 생각하면 된다.
• EFS vs EBS 하면 보통 EFS 가 답임,, EBS 단점이 치명적이라
• 장기보존을위한 용도X

S3 Strandard

• 자주 액세스하는 데이터의 범용 스토리지를 위함
• 높은 가용성과 내구성
• ‘언제든지 쉽게 다운로드할떄’

S3 Glacier Deep Archive

• 저렴한 비용으로 장기간 보관이 필요한 경우
• 주기적으로 검색하지 않고 긴기간 보관할 경우 사용
• '1개월 이후 파일에 접근하지 않음'

S3 Standard-Infrequent Access

• 자주 액세스하지 않는 데이터를 위해 설계됨
• 자주 액세스하지않지만 빠른 검색이 필요한 데이터를 위해!
• 스토리지 비용을 최소화하면서 고가용성 및 복원력으로 데이터에 즉시 액세스할 수 있다

S3 Glacier Flexible Retrieval

• 연간 1~2회 액세스에 적합함
• 즉각적인 액세스가 필요하지않지만 백업, 재해복수 사용 사례와 같이 대규모 데이터 집합을 무료로 검색가능

S3 One Zone-IA

• 여러 가용 영역 복원력이 필요하지 않고 자주 액세스하지 않는 데이터에 적합합니다.
• 1년에 2번 AI 모델 훈련에만 사용되는 사용자 업로드 이미지를 저장하는데 비용 효율적
• 자주 액세스 하지 않지만 필요할 때 빠른 액세스가 필요한 데이터용

S3 intelligent-Tiering

• 액세스 빈도 또는 불규칙한 사용 패턴을 모를 때 사용함
• 특히 액세스 패턴이 가변적이고 빠르게 변하는 경우 사용함!!

AWS Config

• aws 리소스 구성을 측정,감사 및 평가할 수 있는 서비스
• config는 리소스 구성을 지속적으로 모니터링 및 기록하고 원하는 구성을 기준으로 기록된 구성을 자동으로 평가해줌
• ‘규정 준수, 감사, 보안’

CloudWatch

• AWS 리소스 전반의 데이터를 수집하여 전체 시스템의 성능을 파악할 수 있도록 하고, 사용자가 경보를 설정하고, 변화에 자동으로 대응하고, 운영 상태에 대한 통합된 뷰를 볼 수 있도록 합니다다.
• AWS 리소스 사용의 실시간 모니터링 기능 지원
• 다양한 이벤트들을 수집하여 로그파일로 저장
• 이벤트&알람 설정을 통해 SNS, AWS Lambda로 전송 가능
• 지표를 감시해 알림을 보내거나 임계값을 위반한 경우 모니터링 중인 리소스를 자동으로 변경하는 경보를 생성할 수 있습니다. 

NLB(Network Load Balancer)

• TCP / UDP 연결을 사용
• 하나의 인터넷 서비스가 발생하는 트래픽이 많을 때 여러 대의 서버가 분산 처리하여 서버의 로드율 증가, 부하량, 속도 저하 등을 고려하여 적절히 분산 처리하여 해결해주는 서비스입니다.
• SSL 적용이 인프라 단에서 불가능하여 애플리케이션에서 따로 적용해 주어야 합니다.

ALB(Application Load Balancer)

• 들어오는 트래픽을 여러 백엔드 인스턴스에 분산하고 비성장 인스턴스에서 트래픽을 제거하면서 정상 인스턴스로 트래픽을 자동으로 라우팅할 수 있다. EC2 인스턴스 앞에 ALB를 사용하고 Route 53에서 ALB로 트래픽을 라우팅함으로서 로드 밸런서는 인스턴스에 대한 상태 확인을 수행하고 정상 인스턴스로만 트래픽을 라우팅할 수 있다.
• ALB는 HTTP/HTTPS 프로토콜의 헤더를 보고 적절한 패킷으로 전송합니다.
• ALB는 IP주소 + 포트번호 + 패킷 내용을 보고 스위칭합니다.
• NLB는 IP + 포트번호를 보고 스위칭합니다.
• SSL 적용이 가능합니다.

Auto Scaling

•  클라우드의 유연성을 돋보이게 하는 핵심기술로 CPU, 메모리, 디스크, 네트워크 트래픽과 같은 시스템 자원들의 메트릭(Metric) 값을 모니터링하여 서버 사이즈를 자동으로 조절합니다. 이를 통해 사용자는 예상치 못한 서비스 부하에 효과적으로 대응하고 비용 절감 효과를 볼 수 있습니다.
• 서버의 과부하, 장애 등과 같이 서비스 불능 상황 발생시 자동으로 서버를 복제하여 서버 대수를 늘려주는 작업을 해주는 AWS 서비스

VPC(Virtual Private Cloud)

• VPC가 없다면 EC2 인스턴스들이 서로 거미줄처럼 연결되고 인터넷과 연결됩니다. 이런 구조는 시스템의 복잡도를 엄청나게 끌어올릴뿐만 아니라 하나의 인스턴스만 추가되도 모든 인스턴스를 수정해야하는 불편함이 생깁니다. 마치 인터넷 전용선을 다시까는것과 같습니다.
• VPC를 적용하면\VPC별로 네트워크를 구성할 수 있고 각각의 VPC에따라 다르게 네트워크 설정을 줄 수 있습니다. 또한 각각의 VPC는 완전히 독립된 네트워크처럼 작동하게됩니다.
• ‘인터넷 연결없이’

VPN(Virtual Private Network) 

• VPN은 네트워크A와 네트워크B가 실제로 같은 네트워크상에 있지만 논리적으로 다른네트워크인것처럼 동작합니다. 이를 우리는 ‘가상사설망'이라고합니다.

 AWS Direct Connect 

•  AWS 리소스에 대한 최단 경로입니다. 전송하는 동안 네트워크 트래픽은 AWS 글로벌 네트워크에 남아있으며 퍼블릭 인터넷에 닿지 않음
• 회사의 데이터센터와 AWS 간에 안전한 고속 연결을 제공하여 회사가 인터넷 대역폭을 사용하지 않고 데이터를 빠르게 전송할 수 있도록 함

AWS Global Accelerator

• TCP/UDP+엔드포인트 + 고정 IP주소
• 상태 확인을 기반으로 트래픽을 정상 엔드포인트로 리디렉션

스냅샷(Snapshot)

•   스냅샷(Snapshot)은 EBS를 저장하는 효율적인 방법으로서, 특정 시간에 EBS 볼륨 상태의 저장본을 뜻한다. EBS의 데이터 저장 상태에 대해 사진(백업본)을 찍어둔 개념이라고 이해하면 된다.  그래서 필요시 스냅샷을 통해 특정시간의 저장 데이터에 대한 EBS의 복구가 가능하다.
•  스냅샷은 OS 와 별개로 데이터만 백업하고 싶은 경우, 생성된 스냅샷을 기반으로 여러 종류의 AMI 를 생성하고 싶은 경우, Amazon DLM 을 활용하여 백업을 자동화하고 스토리지 비용 최적화를 원하는 경우(동일한 볼륨에 대한 스냅샷을 여러번 생성하면 변경된 부분에 대한 데이터만 추가적으로 백업 + 오래된 스냅샷은 자동으로 삭제)에 주로 애용된다.
•  저렴함 

Aws Shield Advanced

• 대규모 DDos 방어
• 웹 애플리케이션 방화벽 AWS WAF와의 통합을 제공함

AWS WAF(Web Application Firewall)

• cloudFront에 전달되는 HTTP 및 HTTPS 요청을 모니터링할 수 있게 해주고 콘텐츠에대한 액세스를 제어할 수 있게 해주는 웹어플리케이션 방화벽
• WAF(Web Application Firewall, 웹방화벽)는 크로스-사이트 스크립팅(XSS), SQL injection 및 Cookie poisoning과 같은 다양한 애플리케이션 레이어 공격으로부터 웹 애플리케이션을 보호합니다. 앱에 대한 공격은 보안 침해의 주요 원인으로, 중요한 데이터에 대한 관문 역할을 하게 됩니다. 적절한 WAF를 마련하면 시스템 보안 침해를 통해 데이터를 유출시키려는 공격을 막아낼 수 있습니다.
• XSS, SQL 공격에 보호
• '특정 국가에서만 애플리케이션에 액세스하도록 허용' 하기 위해 지리적 일치 규칙 문을 사용할 수 있다.

Amazon Macie

• 기계학습 및 패턴 일치를 사용하여 S3에 저장된 중요한 데이터를 검색하고 보호하는 완전 관리형 데이터 보안 및 데이터 개인정보 보호 서비스
• AWS에서 PII와 같은 민감한 데이터를 자동으로 검색, 분류 및 보호하는 관리형 서비스이다.

스팟 인스턴스

• AWS내에서 남아있는 서버 공간을 빌려서 사용하는 방식입니다.
• 빌려서 사용하다 보니, 온디맨드 보다 최대 90% 할인된 가격으로 사용할 수 있다는 장점이 있습니다.
• 주로 Batch Job 등 용도cloud로 사용하는 서버에 잘 어울린다.
• 대량의 인스턴스 용량 추가로 일시적인 컴퓨팅 용량이 필요한 사용자
• 안정성이 떨어진다.
• '상태 비저장', '시작 및 중지 가능'

예약 인스턴스

• 1 년이상 이용 할 떄
• 미리 해당 서버를 구입하여, 사용하는 방식입니다. 구입시에는 얼마동안 사용할 것인지 약정하는 방식으로 이루어져 있으며, 온디맨드 방식보다는 최대 60% 할인된 가격으로 사용 할 수 있습니다.
• 장기적인 소요가 있는 애플리케이션
• 워크로드가 예측이 가능한 애플리케이션
• 사용량이 많은 시간을 예측할수있는 상황에서 사용

온디맨드 인스턴스

• 이용한 만큼 비용을 지불합니다.
• "On-demand"는 읽기/쓰기 용량을 자동으로 프로비저닝하기 때문에 예측할 수 없거나 갑작스러운 급증이 있는 애플리케이션에 적합한 옵션입니다.
  
• 스팟이나 예약보다는 비싸지만, 대부분이 사용하는 방식입니다.
• 가용 영역을 지정해야 원하는 용량이 보장된다.

RDS Proxy

Proxy

'대리', '대신' 의 뜻, 주로 보안 상의 문제를 방지하기 위해 직접 통신하지 않고 중계자를 거친다는 개념 여기서의 중계자가 'Proxy Server'

• RDS Proxy는 직접 커넥션을 관리해주기 때문에 RDS에 커넥션으로 발생하는 CPU와 메모리의 오버헤드를 줄여주고 더 많은 커넥션을 사용할 수 있도록 디자인됨
• 예기치 않은 데이터베이스 트래픽 급증을 처리 할 수 있따.
• 일시적인 오류에 대한 연결 관리 및 쿼리 재시도를 처리하여 데이터베이스의 부하를 줄입니다.
• 애플리케이션이 데이터베이스에 대한 연결을 공유할 수 있도록 하여 데이터 베이스의 가용성과 확장성을 향상시키는 완전 관리형 데이터베이스 프록시입니다.
• ‘예측할 수 없는 트래픽 시간동안 데이터베이스 연결 시간 초과로 인해~’ / '연결수가많음'

Amazon EventBridge

• 다양한 소스의 데이터와 애플리케이션을 연결하는 데 사용할 수 있는 서버리스 이벤트 버스 서비스 (⇒ AWS의 Scheduler )
• 애플리케이션을 다양한 소스의 데이터와 연결하고 해당 데이터를 lambda와 같은 대상으로 라우팅할 수 있게 해주는 서버리스 이벤트 버스 서비스
• Amazon EventBridge를 사용하면 보고서가 요청될 때 프로그램을 실행하도록 Lambda 함수를 트리거하는 규칙을 생성할 수 있으며, 매월 마지막주에 규칙이 실행되도록 예약할 수도 있다.

Amazon Comprehend

• Amazon Comprehend 는 텍스트 파일에서 성분과 같은 엔터티를 자동으로 추출할 수 있는 자연어 처리 서비스입니다.
• 텍스트파일!!!!!!!!!!!!!!!!! 처리

Amazon Rekognition

• 부적절하거나 원치않거나 불쾌감을 주는 콘텐츠를 감지할 수 있다.
• 애프리케이션에 강력한 시각 분석기능을 쉽게 추가할 수 있게 해주는 서비스
• 원치 않는 콘텐츠를 감지
• 이미지나 비디오 분석서비스 / 애플리케이션에 강력한 시각 분석 기능을 쉽게 추가할 수 있게 해주는 서비스 

Amazon Transcribe

• 음성을 텍스트로 쉽게 변환할 수 있는 자동 음성 인식(ASR)

AWS Fargate

• 사용자가 EC2 인스턴스의 서버 또는 클러스터를 관리할 필요없이 컨테이너를 실행할 수 있게 해주는 서버리스 컴퓨터 엔진
• 사용자는 Amazon Elastic COntainer Service(Amazon ECS)에서 AWS Fargate를 사용하여 Service Auto Scaling으로 컨테이너화된 웹애플리케이션을 실행할 수 있습니다.
• ‘컨테이너화’ 나오면 일단 Fargate

Kinesis Data Stream 

• 회사는 300개 이상의 글로벌 웹사이트 및 애플리케이션을 호스팅합니다 이 회사는 30TB 이상의 클릭스트림 데이터를 분석할 플랫폼이 필요합니다.
• ‘피크시간에 수십만명의 사용자에게 서비스를 제공’
• ‘대량의 스트림 데이터 수집’ / ‘실시간 데이터 수집’

Amazon RedShift

• AWS에서 제공하는 클라우드 기반의 완전 관리형 데이터 웨어하우스 서비스
• 페타바이트 규모의 웨어하우스서비스
• 데이터를 사용하여 비즈니스와 고객에 대한 새로운 통찰력을 얻을 수 있다.
• 엑사바이트 규모의 데이터를 분석하고 복잡한 분석 쿼리를 실행하여 널리 사용되는 클라우드 데이터 웨어하우스

Direct Connect

• Direct Connect는 data center, 사무실 환경과 같은 장소에서 AWS와 전용 네트워크 연결을 제공하는 전용선 서비스입니다.
• Direct Connect는 실제 전용선을 AWS와 연결하기 떄문에 보다 일관성있는 서비스 품질을 보장 받을 수 있습니다.
• Direct Connect + VPN 
• 일관되게 짧은 지연 시간을 제공하는 고가용성 연결 = AWS Direct Connect
• '비용을 최소화하고 기본 연결이 실패할 경우 느린 트래픽 허용 = VPN 연결'

다중 AZ

• 멀티 가용 영역의 특징은 보안, 재해복구, 백업 등의 기본 요소이고 서로 다른 가용 영역에 배치된 리소스 간의 높은 처리량과 짧은 지연 시간을 제공한다는 것이다.

AWS Backup

• 사용자가 AWS 서비스 전체에서 데이터 백업을 중앙 집중화하고 자동화 할 수 있는 완전 관리형 서비스
• 한 곳에서 백업 현황 모니터링 및 콜드 스토리지에 저장, 예약 저장 가능합니다. Backup과 DynamoDB를 함꼐 사용하면 AWS 계정 및 리전에서 온디맨드 백업을 복사하고, 온디맨드 백업에 비용할당 태그를 추가하고 온디맨드 백업을 콜드 스토리지로 전환하여 비용을 절감할 수 있다.
• AWS Backup을 사용하여 EC2 및 RDS 백업을 별도의 리전에 복사하는 것은 최소한의 운영 오버헤드로 요구사항을 충족하는 솔루션임. 백업 프로세스를 간소화하고 백업을 다른 리전으로 자동 복사하여 EC2 인스턴스 및 RDS 데이터베이스에 대한 별도의 백업 프로세스 관리와 관련된 수동 작업 및 운영 복잡성을 줄입니다.

AMI(Amazon Machine Image)

•  간단히 정리하자면 해당 컴퓨터가 가지고 있는 설정, 정보, 프로그램 등등을 그대로 얼려서 따로 사용할 수 있게 만드는 것
• AMI는 인스턴스를 시작하는데 필요한 정보를 제공한다. 인스턴스를 시작할 때 AMI를 지정해야 한다.

 

Trusted Advisor

• AWS 환경을 검사한 후 비용절감, 시스템 가용성 및 성능 향상 또는 보안 격차를 해결할 기회가 있을 때 권장 사항을 제시

Obejct Lock

• 객체 삭제 방지
• 수정하거나 삭제할 수 없음

Read Replica (읽기 복제)

• DB는 일반적으로 읽기 작업이 쓰기 작업보다 많다는 점에 기인하여 READ 트랜잭션은 Read Replica에서 처리하도록 애플리케이션을 설계한다.  이러면 상대적으로 Primary 인스턴스에 부하가 덜 가고 결과적으로 쓰기와 읽기가 분리되어 부하가 분산되므로 각각의 트랜잭션이 빨라진다.
• 같은 가용 영역을 사용하면 Read Replica는 소스 인스턴스와 동일한 기본 스토리지를 공유하므로 비용이 절감되는데, 다른 가용 영역, 심지어는 다른 리전에도 설치될 수 있다.

 VPC Endpoint(S3 EndPoint)

• AWS 내부에서 트래픽을 주고 받기 쉽도록 설정하는 것
  -> S3에 접속하기 위해서는 Public망을 통해서 접근을 수행
  (Public: Instance > IGW > S3 / Private: Instance > NAT > S3)
  > Endpoint를 통해 Instance에서 바로 S3를 향할 수 있음
• VPC Endpoint는 VPC와 AWS 서비스 사이의 통신을 비공개로 연결할 수 있도록 해주는 서비스며 Pubilc IP 주소를 필요로 하지 않게 한다. VPC와 기타 서비스 간의 트래픽은 AWS 네트워크를 벗어나지 않는다.

NAT(Network Address Translation) 서비스

• 인터넷과 통신할 수 있도록 private Ip address 를 NAT의 public IP address로 변환해주는 서비스
• private IP를 가진 EC2 트래픽을 NAT으로 보내고 NAT에서 Private IP를 NAT의 public IP로 변환하여 인터넷을 보내준다

NAT Instance (전통적방식)

• instance에 NAT 서비스를 직접 구축 하는 형태
• NAT Gateway보다 덜 선호됨…

NAT Gateway

• NAT 서비스를 제공하는 AWS Managed 서비스
• 여러 가용 영역에 리소스가 있고 하나의 NAT 게이트웨이를 공유하는 경우 NAT 게이트웨이의 가용영역이 다운되면 다른 가용 영역의 리소스가 인터넷에 액세스할 수 없게 됨 그래서 각 가용 영역에 NAT 게이트웨이를 생성해야함
• NAT 게이트웨이를 만들어 퍼블릭 서브넷에 배치하면 프라이빗 서브넷의 인스턴스가 NAT 게이트웨이를 통해 인터넷에 액세스할수 있따. 그런 다음 NAT게이트웨이를 기본 경로로 사용하도록 프라이빗 서브넷 경로 테이블을 구성한다.

AWS Firewall Manager

•  [여러 계정]에서 SQL 주입, XSS공격, DDos 등을 방어하려면 AWS Firewall Manager가 적격임

DRT 

• 도시에서 WAF 규칙, 속도 기반 규칙 및 네트워크 ACL과 같은 사전 및 사후 보호 장치를 구성하여 악성 트래픽을 차단하고 애플리케이션의 복원력을 향상시키는 데 도움을 줄 수 있다.

AWS Certificate Manager(ACM)

• AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 SSL/TLS 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있도록 지원하는 서비스이다.
• ‘SSL/ TLS 인증서’

OAI (Origin Access Identity)

• OAI (Origin Access Identity)란 CloudFront가 S3에 저장된 Private 객체에 액세스 할 수 있도록 하는 특별한 식별자다. 외부 사용자가 S3 Endpoint를 통한 직접적인 요청이 아닌 CF의 배포를 통해 접근하도록 구성하고 싶다면 OAI를 고려할 수 있다.

규정준수 모드

• AWS 계정의 루트 사용자를 포함하여 어떤 사용자도 보호 객체 버전을 덮어쓰거나 삭제할 수 없다.

거버넌스 모드

• 특수 권한이 있는 일부 사용자가 개체를 삭제할 수 있다.

DynamoDb

• 이미지 저장용으로는 XX
• 이미지의 메타데이터를 저장함

DynamoDb Stream

• 수정/변경 사항을 최대 24시간까지만 로그에 저장할 수 있음 이를 변경할 수 도 없음

모든데이터는 24시간동안 유지된다. 24시간이 지난 데이터는 언제든 트리밍(제거)될 수 있다.

 

DAX(DynamoDB Accelerator)

• ‘DynamoDB를 사용함, 어플리케이션이 읽기 집약적이며 지연이 발생함 ‘ —> DAX 사용
• DynamoDB와 DAX가 결합되면 성능을 한단계 업그레이드하여 읽기 중심의 워크로드에서 초당 수백만 개의 요청에도 마이크로초의 응답 시간을 지원합니다.
• 읽기 성능이 높아짐 

DynamoDB의 특정시점복구 (PITR)

• 지난 35일 동안의 특정 시점으로 테이블 데이터를 복원할 수 있는 기능
• 애플리케이션의 성능이나 가용성에 영향을 주지않음

DynamoDB TTL ( Time to Live ) 

항목별 타임스탬프를 정의하여 항목이 더이상 필요하지 않은 시기를 결정할 수 있습니다. 저장된 타임스탬프의 날짜 및 시간 직후 DynamoDB는 쓰기 처리량을 소모하지 않고 테이블에서 항목을 삭제함

 

FSx for Lustre

• 컴퓨팅 집약적 워크로드에 최적화된 고성능 파일 시스템입니다. 데이터에 대한 확장 가능한 병렬 액세스를 제공하며 HPC 애플리케이션에 적합합니다. FSx for Lustre를 S3와 통합하면 온프레미스 데이터를 S3의 장기 영구 스토리지에 쉽게 복사하여 EC2 인스턴스에서 처리할 수 있습니다. S3는 출력 파일을 저장하기 위한 내구성과 확장성이 뛰어난 객체 스토리지 역할을 하므로 분석 및 향후 장기간 사용할 수 있습니다.

ElastiCache

• 분산 인 메모리 캐시(In-Memory-Cache)를 손쉽게 생성하고 확장할 수 있는 서비스입니다.
• 메모리 데이터 저장소에서 정보를 신속하게 검색하여 웹애플리케이션의 성능을 향상시킴
• Memcached와 Redis가 발견되었습니다
• 애플리케이션이 디스크 기반 데이터베이스에서 데이터를 읽는 데 걸리는 시간을 상당히 단축함

Elastic Beanstack 

• AWS Elastic Beanstalk는 Java, .NET, PHP, Node.js, Python, Ruby, Go, Docker를 사용하여 Apache, Nginx, Passenger, IIS와 같은 친숙한 서버에서 개발된 웹 애플리케이션 및 서비스를 간편하게 배포하고 조정할 수 있는 서비스입니다.

AWS Lake Formation

• 분석 목적으로 모든 데이터를 보관하는 중앙 위치로 사용함
• 형식이 다른 데이터를 한곳에 모을 때 적합함
• '다양한 팀에서 모든 데이터를 사용할 수 있도록함'

 

---

지문 정리

• 고가용성 = 다중 AZ 배포
• 표준 파일 시스템 구조라는 지문에 S3 및 EBS는 파일 기반 스토리지가 아닙니다. EFS입니다. 
• S3와 EBS는 파일 기반 스토리지가 아니다!
• EFS는 표준 파일 시스템으로 자동 확장되며 가용성이 높다!
• AWS에서 컨테이너라고하면 ECS, ECS라고 하면 일단 Fargate 부터 떠올리면됨
• 동일한 리전의 S3 버킷에 자주 액세스하는 애플리케이션의 데이터 전송 비용을 줄이는 가장 좋은 솔루션은 옵션 D - S3 VPC 게이트웨이 엔드포인트를 VPC에 배포하고 S3 버킷에 대한 액세스를 허용하는 엔드포인트 정책을 연결하는 것입니다.
• S3에 액세스하기 위해 NAT 게이트웨이를 사용하면 트래픽이 여전히 인터넷을 통해 흐르기 때문에 불필요한 데이터 전송 비용이 발생합니다. AWS 네트워크 인프라 내에서 데이터 전송을 유지함으로써 데이터 전송 요금을 절감하고 S3 리소스에 대한 보안 액세스를 제공합니다.
•  
• Dynamo DB는 NoSQL-JSON이 지원됩니다. 또한 AWS Lambda 사용 - 서버리스 - 운영 오버헤드 감소
• 문제) 쓰기 트래픽에서  읽기 트래픽을 분리하려고함 정답) 데이터베이스에 대한 읽기 전용 복제본을 만들고 원본 데이터베이스와 동일한 컴퓨팅 및 스토리지 리소스로 구성하는 것입니다. 주요 요구 사항은 읽기와 쓰기를 분리하여 성능을 신속하게 최적화하는 것입니다. 읽기 전용 복제본을 사용하면 읽기 전용 워크로드를 원본 RDS 인스턴스의 하나 이상의 복제본으로 보낼 수 있습니다. 이렇게 하면 보고 또는 분석 쿼리가 트랜잭션 워크로드와 분리됩니다. 읽기 전용 복제본에는 읽기에 대해 동일한 성능을 제공하기 위해 원본과 동일한 컴퓨팅 및 스토리지가 있어야 합니다. 복제본을 축소하면 읽기 성능이 제한됩니다.  * 오답 ) 다중 AZ만 사용하면 읽기/쓰기가 분리되지 않습니다. 보조 AZ 인스턴스는 성능이 아닌 재해 복구를 위한 것입니다.
• Amazon FSx는 AWS DataSync, Robocopy 또는 PowerShell과 같은 도구를 사용하여 온프레미스 파일 서버에서 클라우드로 데이터를 마이그레이션할 수 있는 기능을 제공합니다. 데이터가 마이그레이션되면 온-프레미스와 동일한 도구 및 프로세스를 계속 사용하여 파일 공유를 관리하고 액세스할 수 있습니다. Amazon FSx는 고가용성을 위해 자동 백업, 데이터 암호화 및 기본 다중 가용 영역(AZ) 배포와 같은 기능도 제공합니다. 추가 기능 및 백업 옵션을 위해 Amazon S3, Amazon EFS 및 AWS Backup과 같은 다른 AWS 서비스와 쉽게 통합할 수 있습니다.
• DataSycn은 네트워크 대역폭없이 사용불가넝
• 정적 웹사이트 호스팅은 서버리스로 EC2를 사용할 필요가 없다 / 정적 웹사이트 호스팅 = S3버킷 +CloudFront
  
• S3<EFS<EBS 비용, Amazon S3는 웹 애플리케이션에 필요한 대규모 텍스트 문서 리포지토리를 저장하기 위한 높은 확장성, 비용 효율성 및 내구성을 제공하므로 권장되는 선택입니다.
• EC2, RDS DB 인스턴스는 퍼블릭 인터넷에 노출되지 않아야 하므로 프라이빗 서브넷에 위치해야함 그러면서도 EC2인스턴스는 인터넷에 접속해야하니 NAT 게이트웨이를 생성하고 생성시 탄력적 IP주소를 NAT 게이트웨이와 연결해야함 트래픽을 NAT 게이트웨이에서 VPC용 인터넷 게이트웨이로 라우팅 함 
• 컨테이너에서 애플리케이션 실행 = ' ECS, EKS'
• S3+CloudFront를 사용하는 상황에서 S3에 직접 액세스하는 것을 막으려면 OAC(Origin Access control) 또는 OAI((Origin Access Identity)사용하면됨 
• Amazon RDS Custom = 기본 운영체제에 대한 액세스 유지
• Lambda 서버리스는 EC2 api 게이트웨이 솔루션보다 확장 가능하고 탄력적임
• CloudFront 캐시를 무효화하여 Git 리포지토리의 최신 업데이트가 정적 웹 사이트에 반영되도록 합니다. 웹 사이트의 Git 리포지토리가 업데이트되고 Amazon S3에 배포되는 경우, CloudFront 캐시는 여전히 이전에 캐시된 콘텐츠를 사용자에게 제공할 수 있습니다. CloudFront 캐시를 무효화하면 오리진(Amazon S3)에서 새로운 콘텐츠를 가져와 사용자에게 제공하도록 CloudFront에 지시하는 것입니다.

 

---

퍼블릭 서브넷과 프라이빗 서브넷 정리 참고

https://velog.io/@rockwellvinca/AWS-%ED%8D%BC%EB%B8%94%EB%A6%AD-%EC%84%9C%EB%B8%8C%EB%84%B7%EA%B3%BC-%ED%94%84%EB%9D%BC%EC%9D%B4%EB%B9%97-%EC%84%9C%EB%B8%8C%EB%84%B7

[AWS] 퍼블릭 서브넷과 프라이빗 서브넷