참고
Region
AZ(Availibility Zones)
NOTE
•
데이터센터의 클러스터
•
하나의 region는 여러 가용성 영역이 있다.
•
전용선으로 연결 되어 있기 떄문에 마치 한 건물인 것과 같이 빠르게 데이터를 주고 받을 수 있다.
•
빠르게 데이터를 백업하고 데이터를 이전할 수 있는 구성 (장애로부터 격리)
Edge Location
NOTE
AWS의 CDN 서비스인 CloudFront를 위한 캐시 서버
•
CDN 서비스
◦
Contents Delivery Network의 줄임말
◦
지리적 물리적으로 떨어져 있는 사용자에게 컨텐츠 제공자의 컨텐츠를 더 빠르게 제공할 수 있는 기술
◦
콘텐츠(HTML, 이미지, 동영상)을 빠르게 받을 수 있도록 위치한 캐시서버에 복제해주는 서비스
IAM(Identity and Access Management)
NOTE
사용자를 생성하고 그룹에 배치하는 글로벌 서비스다!
group과 user로 이루어진다.
•
보안상의 이유로 프로젝트 관리 시, AWS Root User를 사용하기 보다 권한을 위임한 유저로 프로젝트를 관리하는 것이 좋다.
•
AdminstratatorAccess 관리자정책을 가진 그룹으로 생성하게 되면, 거의 root와 동일하게 권한을 가진 유저를 생성할 수 있다. (정책요소 참조)
•
각 사용자에게는 최소한의 권한만 주는것이 원칙이다.
정책요소
NOTE
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
JSON
복사
AdministratorAccess 정책의 json (모든 작업과 리소스 및 권한이 허용되는 정책)
설명 | 필수 | 필수 |
Effect | 정책에서 액세스 허용, 거부 여부 Allow 또는 Deny로 표시 | o |
Principal | 계정, 사용자, 역할 또는 페더레이션 사용자로 액세스 허용, 거부 표시 (리소스 정책) | |
Action | 정책이 허용하거나 거부하는 작업 목록 포함 | o |
Resource | Action이 적용되는 리소스 목록을 지정 | o |
Condition | 정책에서 권한 부여하는 상황 지정 |
•
JSON으로 구성됨
보안정책
NOTE
보안 인증 정보 유형 | 용도 |
루트 이메일 및 암호 | 계정 생성 및 해지 (일상 작업용 아님) |
IAM 사용자 이름 및 암호 | 콘솔 액세스 |
액세스 키 ID 및 비밀 액세스 키 | API 및 SDK 통한 AWS CLI 및 프로그래밍 방식 요청 |
MFA | 루트 및 IAM 사용자에 대해 활성화할 수 있는 추가 보안 계층 |
IAM 사용자
NOTE
•
각 사용자에게 개별적으로 권한을 할당할 수 있다.
•
각 사용자는 자체 보안 인증 정보가 있다.
•
사용자는 여러개의 그룹에 포함될 수 있고, 그룹에 포함되지 않아도 된다.
IAM 역할
NOTE
역할은 사용자에 권한을 부여하는것이 아니라 개체(리소스)에 권한을 부여하는 것을 말한다!
•
ex) test1 사용자에게는 EC2 관련 권한이 있고 EC2를 생성한 뒤 S3 정책권한을 설정한 Role을 만들어서 해당 EC2에 할당하면 EC2 정책에서 부여된 권한대로 S3에 접근 가능
•
임시 AWS 보안 인증 정보를 제공한다.
•
권한을 특정 사용자 또는 서비스에 위임한다.
•
사용자는 다른 사용자와 보안 인증 정보를 공유하지 않고 역할을 수임한다.
AWS CLI
AWS CloudShell
NOTE
•
제한된 지역에서만 지원하며 AWS자체에서 CLI를 사용가능
IAM 보안 도구
NOTE
•
IAM 자격 증명 보고서 (계정수준)
•
IAM 엑세스 관리자 (유저수준)