AWS 1주차

오늘의 학습 키워드

• AWS란
• Region and Availability Zone
• AWS 서비스
• IAM
• MFA

AWS

• AWS는 Amazon Web Services의 약어로, 아마존닷컴이 제공하는 클라우드 컴퓨팅 플랫폼
  입니다. AWS는 전 세계에 분산되어 있는 데이터 센터에서 고객에게 IT 인프라를 제공하며,
  이를 사용하여 고객은 필요한 인프라를 빠르고 쉽게 설정하고 관리할 수 있다.

• 주요 서비스
  -컴퓨팅: EC2 (Elastic Compute Cloud), Elastic Beanstalk 등
  -데이터베이스: RDS (Relational Database Service) 등
  -스토리지: S3 (Simple Storage Service), EBS (Elastic Block Store)등
  -네트워킹: VPC (Virtual Private Cloud), CloudFront, Route 53 등
  -보안: IAM (Identity and Access Management) 등

• Onpremise란?
  -On-premise 서버는 조직 내부에 설치되고 유지보수되는 서버
  -On-premise 서버는 클라우드 서비스와 대조적. 클라우드 서비스는 일반적으로 인터
  넷을 통해 액세스할 수 있는 외부 데이터 센터에서 호스팅된다. 클라우드 서비스를 사용하
  면 조직은 자체 IT 인프라를 보유하지 않아도 되며 대신 클라우드 제공 업체가 서버를 관
  리하고 유지보수한다.

Region and Availability Zone

• AWS 리전(Region)은 세계 각지에 있는 AWS 데이터 센터의 물리적인 위치를 의미

• 여러 개의 가용 영역(Availability Zone, AZ)으로 구성되어 있다.

• 가용 영역은 독립적인 데이터 센터로 구성되어 있으며, 네트워크 연결로 연결되어 있다.

• 여러개의 AZ를 씀으로써 데이터센터가 재해상황에 빠졌을때도 서비스를 유지할 수 있
  는 고가용성을 확보할 수 있다.

• 고가용성
  -> 고가용성(High Availability)은 시스템이 예기치 않은 장애 또는 중단에도 불구하고 지속적으로 작동하는 능력을 말함.

AWS 서비스

• Identity Access Management : 계정관리
• Elastic Cloud Compute : 클라우드 위의 서버
• Elastic Load Balancer : 트래픽 관리
• Relational Database Service : 클라우드 위의 DB
• Route 53 : 도메인(주소) 관리
• Virtual Private Cloud : 클라우드 위의 나만의 네트워크
• Simple Storage Service : 클라우드 위의 데이터 저장소
• Cloudfront : 세계 각지에 캐시 서비스
• Elastic Beanstalk : 많은 서비스들을 하나로

IAM

• AWS Identity and Access Management (IAM)은 AWS 리소스에 대한 액세스를 안전하게
  제어할 수 있는 웹 서비스

• IAM을 사용하면 AWS에서 사용자, 그룹 및 역할을 생성하고 관리하여 리소스에 대한 액세스를 안전하게 제어할 수 있다.

  1.인증: IAM을 사용하여 사용자가 AWS 리소스에 액세스할 때 사용자 이름과 암호를 요
  청하여 인증할 수 있다.

  2.권한 부여: IAM을 사용하여 사용자, 그룹 또는 역할에 대한 권한을 지정할 수 있다.
  권한은 AWS 리소스에서 수행할 수 있는 작업을 나타내며 IAM 정책을 사용하여 지정할 수 있다.

  3.권한 검증: IAM을 사용하여 사용자가 AWS 리소스에 대한 액세스를 요청할 때 요청이 인증된 사용자에게 허용되는지 여부를 결정할 수 있다. IAM은 권한 검증을 수행하기 위해 사용자가 AWS 리소스에 대한 액세스를 요청할 때 IAM 정책을 적용한다.

• IAM은 AWS에서 보안을 강화하고 규정 준수 요구 사항을 충족하는 데 중요한 역할을 한다.

• 이용에 따라 사용자(User), 그룹(Group), 정책(Policy) 구분 할 수 있다.
  -사용자(User): IAM에서 사용자는 AWS 계정에 액세스하는 개별 인물 또는 서비스, AWS IAM에서는 계정에 액세스하는 각 사용자에 대해 별도의 보안 자격 증명을 생성할 수 있다. 이를 통해 사용자가 AWS 리소스에 대한 액세스 권한을 가지며, 이러한 액세스 권한은 IAM 정책을 사용하여 관리된다.

  -그룹(Group): IAM에서 그룹은 하나 이상의 사용자를 그룹화하여 이들에게 공통된 권한
  을 부여하는 데 사용 예를 들어, 특정 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스를 가진 모든 사용자를 그룹화할 수 있다. 그룹에 대한 권한은 IAM 정책을 사용하여 관리된다. 그룹은 유사한 권한을 가진 여러 사용자를 효과적으로 관리할 수 있도록 도와준다.

  -정책(Policy): IAM 정책은 AWS 리소스에 대한 액세스 권한을 지정하는 데 사용되며, 사용자 또는 그룹과 연결된다. IAM 정책은 JSON 형식으로 작성되며, 허용 또는 거부 할 수 있는 작업 및 AWS 리소스에 대한 액세스 수준을 지정한다. IAM 정책은 일반적으로 최소 권한 원칙을 따른다. 즉, 필요한 권한만 부여하고, 불필요한 권한을 제거하여 보안을 강화한다.

  {
  	"Version": "policy-version",
  	"Statement": [
  	 {
  		"Effect": "allow-or-deny",
  		"Action": ["action-name"],
  		"Resource": ["resource-arn"],
         "Condition": {
  			"condition-operator": {
  				"condition-key": "condition-value"
  				}
  			}
  		}
  	]
  }

• Version : 정책의 버전을 표시. 현재는 "2012-10-17" 에서 고정되어있다.

• Statement : 정책의 규칙을 표시. 배열 형태로 여러 개의 규칙을 작성할 수 있다.

• Effect : 규칙의 적용 여부를 표시. "allow" 또는 "deny" 중 하나를 선택.

• Action : 규칙이 적용되는 작업의 종류를 표시.
  -> 예를 들어 "s3:ListBucket"과 같은형식으로 작성한다.

• Resource : 규칙이 적용되는 리소스의 ARN (Amazon Resource Name)을 표시.
  -> 예를 들어 "arn:aws:s3:::my-bucket/*"과 같은 형식으로 작성합니다.

• Condition : 규칙이 적용되는 조건을 표시. 필수는 아니며, 필요한 경우 추가할 수 있다. 다양한 조건 연산자를 사용할 수 있다.
  -> 예를 들어 "IpAddress" 조건 연산자를 사용하면 특정 IP 주소에서만 작업을 수행할 수 있도록 제한할 수 있다.

MFA

• MFA는 Multi-Factor Authentication의 약어로, 다중 인증 요소 인증 방식을 의미.
  -루트유저에는 반드시 반드시 적용하기!
  -추가로 만드는 IAM User에도 반드시 적용하기!

-인증 방식에는 3가지 USB, OTP, 핸드폰을 이용한 OTP가 있다.