중단을 허용할 수 있다 = 스팟인스턴스
컨테이너에서 애플리케이션 실행 = ECS, EKS
S3 객체 수정 및 삭제 방지 = S3 Object Lock
컨테이너화된 애플리케이션 배포 = Fargate + ECS
연결수가 많다 = RDS Proxy
데이터베이스와 스토리지 의 차이
| 항목 | 데이터베이스 | 스토리지 |
|---|---|---|
| 주요 목적 | 데이터 관리 및 구조화 | 데이터 저장 |
| 데이터 형태 | 정형 데이터(표 형태로 구조화) | 비정형/반정형 데이터 포함 |
| 접근 방식 | SQL 등 쿼리 언어를 통해 접근 | 파일 경로 또는 API로 접근 |
| 성능 최적화 | 인덱스, 트랜잭션, 관계 설정 등을 통해 최적화 | 저장 용량 및 읽기/쓰기 속도 |
| 대표 기술 | MySQL, PostgreSQL, DynamoDB | S3, EBS, EFS, Glacier |
RDS Custom이란?
RDS Custom은 AWS의 관리형 데이터베이스 서비스(RDS)에 사용자 정의와 제어를 추가로 제공하여, 특수 애플리케이션이나 고급 설정이 필요한 환경에 적합한 서비스다.
RDS Custom의 활용 사례
- 상용 애플리케이션 지원: SAP, ERP, CRM 등 복잡한 애플리케이션을 위한 데이터베이스 환경 구축.
- 특수 데이터베이스 설정: OS 패치, 커널 튜닝 등 고급 설정이 필요한 경우.
- 기존 온프레미스 환경 마이그레이션: 기존 환경을 클라우드로 옮기되, 기존 설정 유지.
Amazon MQ와 RabbitMQ 비교
| 항목 | Amazon MQ | RabbitMQ |
|---|---|---|
| 개념 | AWS에서 제공하는 관리형 메시지 브로커 서비스로, Apache ActiveMQ 및 RabbitMQ를 지원. | 오픈소스 메시지 브로커 소프트웨어로, 다양한 메시징 프로토콜을 지원. |
| 운영 방식 | 완전 관리형 서비스로 AWS에서 브로커 운영, 유지보수, 장애 복구 등을 자동 처리. | 사용자가 직접 서버를 설치, 구성, 관리해야 함. |
| 프로토콜 지원 | ActiveMQ(기본), RabbitMQ도 지원 가능. | AMQP, MQTT, STOMP, HTTP 등 다양한 프로토콜 지원. |
| 주요 특징 | - AWS 관리형으로 운영 부담 감소.- 내장 보안 및 모니터링.- 대규모 분산 메시징에 적합. | - 경량 메시징 서비스.- 커스터마이징 가능.- 설치형으로 운영비용 절감 가능. |
| 스케일링 | AWS에서 자동화된 스케일링 및 장애 복구 제공. | 사용자가 직접 설정해야 하며, 복잡한 클러스터링 구성이 필요. |
| 보안 및 인증 | AWS IAM, VPC 통합, TLS 암호화 지원. | 사용자가 TLS 설정 및 인증 체계를 직접 관리해야 함. |
| 비용 | 사용한 만큼 과금(Pay-as-you-go), 인프라 관리 비용 절감. | 오픈소스 자체는 무료지만, 서버 관리 및 운영 비용 발생. |
| 활용 사례 | - 분산 시스템 간 데이터 통합.- AWS 클라우드 환경의 이벤트 기반 아키텍처.- IoT 데이터 처리. | - 온프레미스 애플리케이션의 메시징.- 경량 메시징 서비스 구축.- 커스터마이징 요구. |
CloudFront 관련 주요 기능 및 설정
| 항목 | 개념 | 비유 | 활용 |
|---|---|---|---|
| 서명 URL | 특정 조건에서 개별 파일 접근을 제한. | 유효기간이 있는 티켓 | 유료 콘텐츠, 제한된 시간 파일 공유. |
| 서명 쿠키 | 특정 조건에서 다수 파일 접근을 제한. | VIP 팔찌 | 스트리밍 사이트, 정적 파일 보호. |
| 필드 수준 암호화 | 요청 중 민감한 데이터를 암호화하여 보호. | 금고 안에 비밀을 담아 전달 | 결제 정보, 사용자 데이터 보호. |
| 뷰어 프로토콜 정책 | 요청을 받을 때 HTTP/HTTPS 허용 여부 설정. | VIP 입구 | 보안 강화(HTTPS Only). |
| 정책 설정 | 캐시 동작, 접근 제어, 원본 제한 등 세밀한 규칙 정의. | 레스토랑의 메뉴판과 운영 규칙 | 비용 최적화, 원본 서버 보호, 데이터 제공 규칙 설정. |
AWS 보안 서비스 및 연결 예시
| 서비스 이름 | 주요 기능 | 특징 | 활용 사례 | 연결 대상 |
|---|---|---|---|---|
| AWS WAF (Web Application Firewall) | 웹 애플리케이션을 보호하는 방화벽. SQL 인젝션, 크로스 사이트 스크립팅(XSS) 등 일반적인 웹 공격 방지. | - 커스터마이징 가능한 규칙.- AWS CloudFront, ALB와 통합 가능. | - 웹사이트 공격 방어.- DDoS 완화. | CloudFront, ALB, API Gateway |
| AWS Shield Advanced | DDoS(Distributed Denial-of-Service) 공격 방어를 제공하는 서비스. | - Standard: 기본 방어 제공.- Advanced: 고급 보호 및 비용 보호. | - 대규모 트래픽 공격 방어.- 중요 애플리케이션 보호. | NLB (Network Load Balancer), ALB |
| AWS IAM (Identity and Access Management) | 사용자 및 리소스 접근 권한을 관리하는 서비스. | - 역할(Role) 및 정책(Policy) 기반 접근 제어.- 세분화된 권한 설정. | - 사용자 접근 권한 제어.- 다중 계정 관리. | 모든 AWS 서비스 |
| AWS Secrets Manager | 애플리케이션에서 사용하는 암호, API 키, 데이터베이스 자격 증명을 안전하게 저장 및 관리. | - 자동 암호 교체.- 통합된 보안 감사 및 모니터링. | - 데이터베이스 암호 관리.- API 키 보호. | RDS, Lambda, EC2 |
| AWS KMS (Key Management Service) | 암호화 키를 생성, 관리, 제어하는 서비스로 데이터 보호를 위한 암호화 지원. | - FIPS 140-2 인증.- 사용자 정의 키 정책.- AWS 서비스와의 광범위한 통합. | - S3 데이터 암호화.- RDS, EBS 볼륨 암호화. | S3, RDS, EBS, Lambda |
| Amazon GuardDuty | 악의적인 활동 및 비정상적인 행동을 탐지하는 위협 탐지 서비스. | - 머신 러닝 및 서드파티 피드 기반 위협 탐지.- 자동화된 알림 및 대응. | - 계정 도용 탐지.- 네트워크 공격 탐지. | CloudTrail, VPC Flow Logs, GuardDuty |
| AWS Config | AWS 리소스의 설정 변경을 모니터링 및 기록하며, 규정 준수를 확인. | - 리소스 상태의 히스토리 제공.- 규정 준수 평가 및 감사 보고서 제공. | - 규정 준수 모니터링.- 리소스 상태 추적 및 감사. | EC2, S3, RDS, VPC |
| AWS Macie | S3 버킷 내 민감 데이터를 자동으로 검색 및 보호. | - 기계 학습 기반 데이터 분류.- 민감 데이터 암호화 및 접근 제어 지원. | - PII(개인 식별 정보) 탐지 및 보호.- 데이터 유출 방지(DLP). | S3 |
| AWS CloudTrail | AWS 계정 내 모든 API 호출을 기록하여 감사 및 보안 분석을 지원. | - 이벤트 히스토리 저장.- 데이터 무결성 보장. | - 보안 사고 조사.- 규정 준수 감사. | 모든 AWS 서비스 |
| Amazon Detective | 보안 이슈의 근본 원인을 파악하기 위한 보안 데이터 분석 서비스. | - CloudTrail, VPC Flow Logs와 통합.- 의심스러운 활동의 시각화 제공. | - 계정 도용 분석.- 네트워크 문제 해결. | CloudTrail, VPC Flow Logs |
| AWS Inspector | 애플리케이션 및 인프라의 보안 취약점을 자동으로 평가. | - Amazon EC2, 컨테이너 이미지, Lambda 취약점 탐지.- 자동화된 평가 보고서 제공. | - 취약점 평가.- 보안 기준에 따른 인프라 검증. | EC2, Lambda, ECS |
| AWS Firewall Manager | 여러 AWS 계정 및 리소스에 걸쳐 방화벽 규칙을 중앙에서 관리 및 배포. | - WAF, Shield Advanced, VPC Security Group과 통합 관리.- 자동화된 보안 규칙 배포. | - 대규모 환경에서의 방화벽 규칙 관리.- 규정 준수 구현 및 일관성 유지. | WAF, Shield Advanced, VPC |
| Amazon VPC Security Groups | VPC 내부에서 EC2 인스턴스와 같은 리소스에 대한 접근 제어를 설정. | - 인바운드 및 아웃바운드 트래픽 제어.- 애플리케이션 수준에서 연결 제어. | - EC2 인스턴스 보호.- 내부 네트워크 방어. | EC2, RDS, Lambda |
RDS Proxy 요약
| 항목 | 설명 |
|---|---|
| RDS Proxy란? | AWS RDS의 연결 관리 서비스로, 데이터베이스 연결을 풀링하여 성능 최적화 및 부하 감소. |
| 사용 시점 | - 서버리스 환경: Lambda와 같은 짧은 시간 내 다수 연결 환경.- 고트래픽 처리: 대규모 트래픽 발생 시.- 장애 복구 필요: Failover 지원.- 보안 강화: AWS Secrets Manager 통합. |
| 주요 특징 | - 연결 풀링: 다수 연결을 효율적으로 관리.- 고가용성: 장애 시 자동 복구.- 보안: 데이터베이스 자격 증명 관리.- 비용 최적화: 리소스 사용량 절감. |
| 지원 DB 엔진 | Amazon Aurora(MySQL, PostgreSQL), RDS(MySQL, PostgreSQL). |
| 활용 사례 | - 서버리스(Lambda) 애플리케이션.- 쇼핑몰, 이벤트 사이트.- 장애 복구가 중요한 환경. |
| 비유 | 은행 창구 직원: 고객(애플리케이션) 요청을 은행(데이터베이스)에 전달하며 업무를 최적화. |
OAI와 OAC 비교 요약
| 항목 | OAI (Origin Access Identity) | OAC (Origin Access Control) |
|---|---|---|
| 개념 | CloudFront와 S3 버킷 간 인증을 위한 전용 ID. | CloudFront와 S3 및 커스텀 원본 간 인증을 위한 메커니즘. |
| 지원 대상 | S3 버킷 전용. | S3 버킷 및 HTTP/HTTPS 커스텀 원본. |
| 설정 방식 | CloudFront에서 OAI 생성 → S3 버킷 정책에 추가. | CloudFront에서 OAC 생성 → IAM 정책 및 원본 정책에 통합. |
| 보안 수준 | S3 버킷 URL에 대한 직접 접근 차단, CloudFront 요청만 허용. | 추가적인 IAM 정책 지원, 세밀한 원본 접근 제어 가능. |
| 사용 편의성 | 설정 간단, S3 전용 사용에 최적화. | 설정 복잡, 다양한 원본에 적용 가능. |
| 적용 사례 | 정적 웹사이트, 이미지/동영상 콘텐츠 배포, S3 보안 강화. | HTTP 기반 원본 보호, 복합 애플리케이션 원본 보호. |
| 유연성 | S3에만 제한적으로 사용 가능. | 다양한 AWS 서비스 및 커스텀 원본과 연동 가능. |
| 최신성 | 기존 방식으로 많이 사용되지만, OAC로 점차 대체되는 추세. | AWS의 최신 인증 방식으로 더 많은 기능과 유연성 제공. |
요약:
OAI는 S3에 특화된 인증 방식으로 설정이 간단하며, OAC는 다양한 원본과 IAM 정책 지원으로 더 유연하고 세밀한 제어가 가능하다. OAC가 최신 방식으로 점차 대체되는 추세.
공부 한줄 평
- OAI는 알고 있었는데 까먹고 OAC는 왜 모르고 있었는가..
- 특정 환경에서 특정한 가용성?등을 높이고 싶을떄 어떤 것을 써야하는지 슬슬 감이 잡힌다.
인생 별거 없어