EC2 인스턴스 저장소(EC2 Instance Store) 인스턴스 저장소는 호스트 컴퓨터에 물리적으로 위치한 디스크에 있다. 호스트 컴퓨터에 물리적으로 연결된 디스크에 위치한다. 블록 장치로 노출된 하나 이상의 인스턴스 저장소 볼륨으로 구성된다. 인스턴스 저장소의 크기는 인스턴스 유형에 따라 다르다. 인스턴스 스토어용 가상 디바이스는 임시[0~23] 볼륨을 저장하며, 첫 번째 볼륨은 임시0으로 시작하는 식으로 시작된다. 인스턴스 스토어는 특정 인스턴스 전용이지만 디스크 서브시스템은 호스트 컴퓨터의 인스턴스 간에 공유된다. 버퍼, 캐시, 스크래치 데이터 및 기타 임시 콘텐츠와 같이 자주 변경되는 정보를 임시로 저장하거나 부하가 분산된 웹 서버 풀과 같이 여러 인스턴스에 걸쳐 복제되는 데이터에 이상적이다...
재해복구계획 복구 시간 목표(RTO): 운영 수준 협약(OLA)에 정의된 대로 운영 중단 후 비즈니스 프로세스를 서비스 수준으로 복원하는 데 걸리는 시간(예: RTO가 1시간이고 재해가 오후 12시(정오)에 발생하는 경우, DR 프로세스는 시스템을 1시간 이내, 즉 오후 1시까지 수용 가능한 서비스 수준으로 복원해야 합니다. 복구 시점 목표(RPO): 재해가 발생하기 전 시간으로 측정된 허용 가능한 데이터 손실량입니다. 예를 들어 재해가 오후 12시(정오)에 발생하고 RPO가 1시간인 경우 시스템은 오전 11시 이전에 시스템 내에 있던 모든 데이터를 복구해야 합니다. 재해 복구 시나리오 재해 복구 시나리오는 AWS와 함께 데이터 센터에서 실행되는 기본 인프라를 사용하여 구현할 수 있습니다. 기본 사이트가..
AWS Disaster Recovery Whitepaper AWS 재해복구백서는 준전문가 및 전문가 AWS 운영에 중요한 백서 중 하나이다. 재해 복구 개요 AWS 재해 복구 백서에서는 재해 복구(DR) 프로세스에 활용하여 데이터, 시스템 및 전반적인 비즈니스 운영에 미치는 영향을 크게 최소화할 수 있는 AWS 서비스 및 기능을 중점적으로 설명합니다. 이 백서에서는 최소한의 투자부터 완전한 가용성 및 내결함성까지 DR 프로세스를 개선하기 위한 모범 사례를 설명하고, DR 이벤트 중에 비용을 절감하고 비즈니스 연속성을 보장하기 위해 AWS 서비스를 사용할 수 있는 방법을 설명합니다. 재해 복구(DR)는 재해에 대비하고 재해로부터 복구하는 것입니다. 기업의 비즈니스 연속성이나 재정에 부정적인 영향을 미치는 ..
AWS 시크릿 매니저 AWS Secrets Manager는 애플리케이션, 서비스, IT 리소스에 액세스하는 데 필요한 비밀을 보호하는 데 도움이 됩니다. 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 비밀을 쉽게 교체, 관리 및 검색할 수 있습니다. AWS KMS를 사용하여 관리되는 암호화 키로 시크릿을 암호화하여 시크릿을 보호합니다. RDS, Redshift, DocumentDB에 대한 기본 통합을 통해 기본 시크릿 로테이션을 제공합니다. API 키와 OAuth 토큰을 포함한 다른 유형의 시크릿으로 시크릿 로테이션을 확장하기 위해 Lambda 함수를 지원합니다. AWS 클라우드, 써드파티 서비스, 온프레미스의 리소스에 대한 세분화된 액세스 제어와 중앙 집중식 시크릿 로테이션 감사를 위한 ..
Amazon Inspector Amazon Inspector는 AWS 워크로드의 취약성을 지속적으로 스캔하는 취약성 관리 서비스입니다. ECR에서 EC2 인스턴스와 컨테이너 이미지를 자동으로 검색하고 스캔하여 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 찾아냅니다. 소프트웨어 취약성 또는 네트워크 문제가 발견되면 취약성을 설명하고, 심각도를 평가하고, 영향을 받는 리소스를 식별하고, 해결 지침을 제공하는 발견 보고서를 생성합니다. Region 서비스이며 각 지역에서 구성을 반복해야 합니다. CVE(Common Vulnerabilities and Exposures) 데이터에 대해 시스템 관리자(SSM) 에이전트를 설치하고 활성화해야 합니다. SSM 에이전트는 인터넷을 통한 정보 전송을 피하기 위해 V..
AWS 쉴드 AWS Shield는 AWS에서 실행 중인 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 다운타임과 지연 시간을 최소화하는 상시 감지 및 자동 인라인 완화 기능을 제공합니다. AWS Shield는 다음 유형의 공격을 탐지합니다. 네트워크 볼륨 공격(레이어 3) 인프라 계층 공격 벡터의 하위 범주입니다. 이러한 공격은 표적이 되는 네트워크 또는 리소스의 용량을 포화시켜 합법적인 사용자에 대한 서비스를 거부하려고 시도합니다. 네트워크 프로토콜 공격(계층 4) 인프라 계층 공격 기법의 하위 범주입니다. 이러한 공격 기법은 프로토콜을 악용하여 표적 리소스에 대한 서비스를 거부합니다. 네트워크 프로토콜 공격의 일반적인 예로는 서버, 로..
AWS WAF WAF는 정의된 조건에 따라 웹 요청을 허용, 차단 또는 모니터링(카운트)하는 규칙 구성을 허용하여 웹 애플리케이션을 공격으로부터 보호한다. WAF는 SQL Injection, XSS과 같은 일반적인 공격 기술로부터 보호한다. 조건 기반에는 IP 주소, HTTP 본문 및 URI 문자열이 포함된다. WAF는 CloudFront, API Gateway, AppSync 및 웹 애플리케이션에 대한 콘텐츠를 제공하는 데 사용되는 ALB(Application Load Balancer) 서비스와 긴밀하게 통합된다. AWS WAF with Amazon CloudFront = AWS WAF 규칙은 최종 사용자와 가까운 전 세계의 모든 AWS Edge 위치에서 실행된다. = 차단된 요청은 웹 서버에 도달하기..
AWS IAM Role IAM 역할은 사용자와 매우 유사하다. AWS에서 ID가 수행할 수 있는 작업과 수행할 수 없는 작업을 결정하는 사용 권한 정책이 있는 ID이다. IAM 역할은 특정 사용자, 그룹 또는 서비스와 고유하게 연관되도록 의도된 것이 아니며 이를 필요로 하는 모든 사용자가 가정할 수 있도록 의도된 것이다. 역할에 연결된 정적 자격 증명(암호 또는 액세스 키)이 없으며 역할을 맡은 사용자에게 동적 임시 자격 증명이 제공된다. 역할은 액세스 위임에서 사용자가 제어하는 리소스에 대한 액세스를 허용하는 사용 권한을 부여하는 데 도움이 된다. 역할은 중요한 리소스에 실수로 액세스하거나 수정하는 것을 방지하는 데 도움이 된다. 역할 수정은 언제든지 수행할 수 있으며 변경 내용은 역할과 연결된 모든 ..
AWS Application Load balancer - ALB 애플리케이션 로드 밸런서는 OSI 7계층(응용 계층)에서 작동하며 하나 이상의 EC2 인스턴스에서 실행되는 여러 서비스 또는 컨테이너의 컨텐츠를 기반으로 라우팅 규칙을 정의할 수 있다. 시간이 지남에 따라 애플리케이션에 대한 트래픽이 변경될 때 로드 밸런서의 크기를 조정한다. 대부분의 워크로드도 자동 확장할 수 있다. ALB에서는 로드 밸런서가 정상적인 대상에만 요청을 보낼 수 있도록 등록된 대상의 상태를 모니터링하는 데 사용되는 상태 검사(health check)를 지원한다. AWS Application Load Balancer Components A load balancer 클라이언트의 단일 연락처 역할을 한다. ALB로 수신되는 응용 ..
Route 53 라우팅 정책 AWS Route53 라우팅 정책은 AWS가 DNS 쿼리에 응답하는 방법을 결정하고 여러 라우팅 정책 옵션을 제공한다. Simple Routing Policy 단순 라우팅 정책은 간단한 라운드 로빈 정책이며 웹 사이트의 콘텐츠를 제공하는 웹 서버와 같은 도메인에 대해 기능을 수행하는 단일 리소스가 있을 때 적용할 수 있다. 단순한 라우팅은 가중 또는 지연과 같은 특별한 Route53 라우팅 없이 표준 DNS 레코드를 구성하는 데 도움이 된다. Route53은 리소스 레코드 집합의 값을 기반으로 DNS 쿼리에 응답한다. A 레코드의 IP 주소이다. 단순 라우팅을 사용하면 이름과 유형이 동일한 여러 레코드를 만들 수 없지만 여러 IP 주소와 같이 여러 값을 동일한 레코드에 지정할..