AWS Organizations
• 여러 AWS 계정을 중앙에서 관리
• Organizations는 글로벌 서비스
• 전체 계정을 관리하는 계정을 관리계정(Master Account)라고 함
• 그 외의 계정은 멤버 계정이라고 부름
• 조직관리를 위해 OU(Organization Unit)이라는 조직 단위로 그룹화 하여 관리
• 그룹마다 서비스 제어 정책(SCP, Service Control Policy)를 적용해서 액세스를 제한 해야 하는 서비스를 제어할 수 있음
• 계정을 통합하면 결제를 한곳으로 통합 가능하고 볼륨 가격 할인을 받을 수 있음
AWS Organizations - OU
• OU(Organization Unit)이라는 조직 단위로 그룹화 하여 관리 하는 기능
• 사용중인 AWS계정을 Root OU로 초대 하여 멤버 계정으로 만들 수 있음
AWS Organizations - SCP
• 서비스 제어정책, Service Control Policy(SCP)
• 계정에 대한 AWS 서비스 액세스 제어 정책
• 계정에 특정 AWS 서비스에 대한 액세스를 제한할 수 있음
• SCP 정책은 계정 또는 OU단위에 적용 할 수 있음
• OU에 적용하면 OU에 속한 계정과 OU는 모두 동일한 정책이 적용됨(정책상속)
기본적으로 root라는 계정이 있음
계정초대
조직단위 생성 및 권한 관리
서비스 제어 정책
CloudWatch
• AWS 클라우드 리소스와 AWS에서 실행되는 애플리케이션을 위한 모니터링 서비스
• 지표를 수집 및 추적하고 로그 파일을 수집 및 모니터링하고 경보를 설정
• Amazon EC2 인스턴스, Amazon DynamoDB 테이블, Amazon RDS DB 인스턴스 같은 AWS 리소스뿐만 아니라 애플리케이션과 서비스에서 생성된 사용자 정의 지표 및 애플리케이션에서 생성된 모든 로그 파일을 모니터링
• 시스템 전반의 리소스 사용률, 애플리케이션 성능, 운영 상태를 파악
지표(Metrics)
• AWS 클라우드 리소스 및 AWS에서 실행하는 애플리케이션을 모니터링
• CPU사용량, 네트워크 사용량 등의 AWS 서비스에 대한 측정값
• AWS 제품 및 서비스에 대한 지표가 자동으로 제공되며 자체 애플리케이션 및 서비스에서 생성된 사용자 정의 지표도 모니터링
대시보드(Dashboard)
• AWS 리소스 및 사용자 정의 지표의 그래프를 한눈에 볼 수 있는 대시보드 기능
로그(Logs)
• 애플리케이션에 대한 로그를 수집하는 기능
• Lambda, CloudTrail, ECS, API Gateway 등의 AWS서비스에 대한 로그를 수집
• AWS서비스 이외에도 Log Agent를 설치하여 로그를 수집 가능
• 로그를 S3, Kinesis Data Stream, Kinesis Data Firehose, AWS Lambda로 전송 가능
경보(Alarms)
• 지표값에 대한 알림을 생성하는 기능
• 예, Amazon EC2 인스턴스 CPU 사용률, Amazon ELB 요청 지연 시간, Amazon DynamoDB 테이블 처리량, Amazon SQS 대기열 길이, AWS 청구서 요금에 대한 알림
• 생성된 알림을 이메일을 전송하거나, SQS 대기열에 게시하거나, Amazon EC2 인스턴스를 중단 또는 종료하거나, Auto Scaling 정책을 실행하도록 경보를 설정
Amazone EventBridge
• 거의 실시간으로 이벤트를 자동 전송 하는 서비스
• 90개 이상의 AWS 서비스에서 이벤트를 자동 수집
• SaaS 애플리케이션 및/또는 AWS 서비스의 이벤트에 반응하는 애플리케이션을 구축하려고 할 때 사용
• 예, 이벤트 소스에 대한 EventBridge 규칙을 구성하여 Amazon SNS 주제에 메시지를 게시하여 관리자에게 이메일로 알림
CloudTrail&Config
CloudTrail
• AWS 계정이 수행하는 작업에 대해 로그를 기록하는 서비스
• AWS 내에서 수행되는 모든 계정 활동에 대해 기록이 됨
• 로그는 CloudWatch Logs 또는 S3 버킷에 저장 가능
• CloudTrail은 모든 계정에 기본으로 활성화 되어 있음
• CloudTrail 로그 파일은 KMS 사용하여 암호화 가능
• CloudTrail Insight를 사용하여 AWS 계정에서 비정상적인 활동을 감지 가능
• CloudTrail 로그 파일 무결성 검증 기능을 사용하여 CloudTrail에서 로그 파일을 지정된 Amazon S3 버킷으로 전송한 이후로 CloudTrail 로그 파일이 그대로 유지되거나, 삭제되거나, 수정되었는지 확인 가능
• AWS 계정의 거버넌스, 규정준수, 운영감사, 위험감사에 활용
Config
• AWS 리소스 구성 변경 사항을 로그기록 하는 기능
• 버킷액세스 변경, 보안그룹 설정변경, ALB 설정 변경 등 모든 변경 사항에 대해 로그 수집 가능
• 수집된 로그는 분석, 보안감사를 위해 S3 버킷으로 저장 가능
• 리소스 구성변경이 발생되면 알림을 SNS주제로 전송 가능
• Config 규칙을 설정해서 AWS리소스 구성이 규정준수를 하고 있는지 평가 가능
AWS Systems Manager
• AWS 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움이 되는 기능 모음
• 여러 AWS 서비스의 운영 데이터를 중앙집중화하고 AWS 리소스 전체에서 작업을 자동화 가능
• Amazon EC2 인스턴스, 엣지 디바이스, 온프레미스, 또는 가상 머신(VM)에 SSM Agent를 설치하여 Systems Manager에서 리소스를 업데이트, 관리 및 구성 가능
• System Manager 기능
애플리케이션 관리
✓ Application Manager
➢ 애플리케이션의 컨텍스트에서 운영 데이터(예: 개발 상태, Amazon CloudWatch 경보, 리소스 구성 및 운영 문제)를 보고, 패치 적용 및 자동화 런북 실행과 같은 수정 작업을 수행
✓ AppConfig
➢ 애플리케이션 구성을 생성, 관리 및 빠르게 배포
✓ Parameter Store
➢ 구성 데이터 관리 및 암호 관리를 위한 스토리지.
➢ 암호, 데이터베이스 문자열, (AMI) ID, 라이선스 코드와 같은 데이터를 파라미터 값으로 저장
➢ 값을 일반 텍스트 또는 암호화된 데이터로 저장 가능
변경 관리
✓ Automation :
➢ 유지 관리 및 배포 태스크를 자동화.
➢ AMI 생성 및 업데이트, 드라이버 및 에이전트 업데이트를 적용, Windows Server 인스턴스에서 암호를 재설정, Linux 인스턴스에 서 SSH 키를 재설정, OS 패치 또는 애플리케이션 업데이트를 적용
✓ Change Manager :
➢ 애플리케이션 구성 및 인프라에 대한 운영 변경을 요청, 승인, 구현 및 보고하기 위한 엔터프라이즈 변경 관리 프레임워크
✓ Maintenance Windows :
➢ 운영 체제 패치, 드라이버 업데이트, 소프트웨어 또는 패치 설치와 같이 노드에서 중단 가능성이 있는 작업 수행 시기에 대한 일정
을 정의
노드 관리
✓ Fleet Manager :
➢ 온프레미스 또는 클라우드에서 실행하는 플릿을 관리.
➢ 하나의 콘솔에서 전체 서버 플릿의 상태 및 성능 상태를 볼 수 있으며 개별 노드(서비스, 장치 또는 기타 리소스)로 액세스하여 콘솔에서 디스크 및 파일 탐색, 로그 관리, Windows 레지스트리 작업, 사용자 관리와 같은 일반적인 시스템 관리 태스크를 수행
✓ Session Manager :
➢ 인바운드 포트를 열고, Bastion 호스트를 유지하고, SSH 키를 관리할 필요 없이 보안성과 감사 가능성을 갖춘 엣지 디바이스 및 인스턴스 관리 기능을 제공.
➢ 인스턴스 원격접속 기능
✓ Patch Manager :
➢ 대규모 클라우드 그룹 또는 온프레미스 인스턴스 및 엣지 디바이스에서 운영 체제 및 소프트웨어 패치를 자동으로 선택하고 배포
운영관리
✓ Explorer
➢ AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 운영 대시보드
✓ OpsCenter
➢ OpsItem이라는 운영 문제를 집계하고 표준화하는 동시에 진단 및 해결에 도움이 되는 상황에 맞는 데이터를 제공
➢ 이벤트, 리소스, 계정, Config 변경사항, CloudTrail로그, CloudWatch정보 등
✓ Incident Manager
➢ AWS 호스팅 애플리케이션에서 발생하는 인시던트를 관리.
➢ 사용자 참여, 에스컬레이션, 실행서, 대응 계획, 채팅 채널 및 인시던트 후 분석을 결합하여 팀이 인시던트를 더 빠르게 분류하고
애플리케이션을 정상 상태로 되돌릴 수 있도록 지원
