exam-6

Snowball Edge

• AWS Snowball Edge Storage Optimized 디바이스를 사용하여 약 80TB까지 전송할 수 있다.
• 더 큰 용량의 데이터 세트도 여러 디바이스를 주문해서 전송할 수 있다.
• Snowball Edge를 사용해 최대 80TB의 데이터를 AWS로 전송하는데 걸리는 종단 간 시간은 약 1주일
• 수십, 수백 TB의 데이터를 마이그레이션 한다고 하면 Snowball

exam-9

Amazon S3 File Gateway

• 업계 표준 파일 프로토콜을 사용하여 파일을 원활하게 S3에 객체로 저장하고, 이에 액세스할 수 있는 파일 인터페이스를 애플리케이션에 제공하는 AWS Storage Gateway 서비스이다.
• 네트워크 파일 시스템(NFS) 및 서버 메시지 블록(SMB)와 같은 파일 프로토콜을 사용하여 S3에서 객체를 저장하고 검색할 수 있다.
• S3 File Gateway를 통해 작성된 객체는 S3에서 직접 액세스할 수 있다.

사용사례

1. 백업 및 아카이브를 클라우드로 이동
2. 클라우드 기반 파일 공유를 통한 온프레미스 스토리지 감소
3. 온프레미스 애플리케이션에 AWS에 저장된 데이터에 대한 짧은 대기 시간의 액세스 제공

S3 교차 리전 복제(Cross-Region Replication, CRR)

• S3의 기능 중 하나로 여러 AWS 리전 간에 객체를 자동으로 복제할 수 있게 해주는 서비스
• CSS를 사용해 데이터의 가용성을 높이고 재해복구 전략을 강화할 수 있다.
• 특정 리전에서 객체가 생성되거나 업데이트될 때, 설정된 다른 리전에 있는 동일 버킷의 객체가 자동으로 복제된다.
• 복제는 비동기로 수행되고 복제 지연 시간은 몇 초 ~ 몇 분 정도 걸린다.
• S3 교차 리전 복제를 통해 데이터 복제의 자동화와 데이터 가용성을 높일 수 있지만, 복제된 데이터가 발생하는 비용과 복제 지연 시간을 고려해야 한다.

사용사례

• 1. 재해 복구
  • 재해 시나리오를 대비하여 다른 지역에 데이터를 복제한다.
• 2. 지리적 규정 준수
  • 데이터가 특정 지역에 물리적으로 저장되어야 하는 규정 준수 요구 사항을 충족시키기 위해 데이터를 복제한다.

AWS DataSync

• AWS에서 제공하는 완전 관리형 데이터 전송 서비스.
• 해당 서비스를 통해 온프레미스 스토리지 시스템과 AWS 클라우드 스토리지 간의 데이터 동기화를 쉽고 신속하게 수행할 수 있도록 도와준다.
• 스케줄링 기능을 지원하여 주기적 또는 이벤트 기반으로 데이터 전송 작업을 자동화할 수 있다.
  • 이를 통해 지속적인 동기화를 가능하게 한다.

사용사례

• 데이터 마이그레이션
• 데이터 백업 및 복원
• 데이터 분석 및 처리 등

exam-19

게이트웨이 로드 밸런서

• 게이트웨이 로드 밸런서를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템과 같은 가상 어플라이언슬르 배포, 확장 및 관리할 수 있다.

검사VPC

• 검사 VPC에 게이트웨이 로드 밸런서를 배포한다.
• 게이트웨이 로드 밸런서 엔드포인트를 생성하여 수신 패킷을 수신하고 패킷을 어플라이언스로 전달한다.
  

exam-28

SSO 통합

• AWS SSO는 온프레미스 AD(Active Directory)와의 통합을 통해 중앙 인증 및 권한 부여를 관리할 수 있다.
• 단방향 포리스트 트러스트 또는 도메인 트러스트를 생성하여 자체 관리형 Microsoft Active Directory를 AWS SSO와 연결하면, 온프레미스에서 사용자 및 그룹을 유지하면서 AWS SSO를 사용해 AWS 리소스에 대한 접근을 중앙 관리할 수 있다.

exam-47

예약 인스턴스(Reserved Instance)

• 예약 인스턴스는 일정 기간(1년, 3년) 동안 특정 인스턴스 유형과 지역(Resion)에 대한 용량을 예약하는 옵션이다.
• 예약 인스턴스를 특정 가용 영역에 대해 예약할 수 없다.

주문형 용량(On-demand Capacity)

• 주문형 용량은 요구에 따라 필요한 만큼의 EC2 인스턴스를 사용할 수 있는 옵션이다.
• 사용한 시간만큼 비용이 청구된다.
• 가용 영역에 대한 예약이 가능하다.

exam-78

AWS Backup

• AWS Backup은 DynamoDB 테이블을 포함하여 다양한 서비스의 백업을 자동으로 관리하고, 백업 일정 및 보존 정책을 통해 장기적으로 데이터를 관리할 수 있는 백업 솔루션을 제공한다.
• 백업 일정과 보존 정책을 설정하면 데이터 보존을 자동화하고, 백업을 수동으로 관리할 필요가 없다.

DynamoDB 백업

• DynamoDB 백업 기능을 사용하면 테이블의 전체 백업을 생성하여 규정 준수 요건에 맞도록 장기간 유지하고 보관할 수 있다.
• 다만, 특정 시점 복구(PITR)은 최근 테이블의 35일내에서 어느 시점이던 초 단위로 복원할 수 있다.

exam-109

S3 객체 잠금 사용

• S3 객체 잠금을 사용하여 고정된 시간 혹은 무기한으로 S3 객체의 삭제 또는 덮어쓷기를 방지하는 데 도움이 된다.
• 법적 보존 잠금을 사용하면서 명시적으ㅗ 제거할 때까지 법적 보존이 유지된다.
• s3:PutObjectLegalHold 권한을 지닌 사용자가 자유롭게 배치하고 제거할 수 있다.

exam-117

CloudWatch Logs 구독

• CloudWatch Logs 구독을 사용하여 amazon OpenSearch Service 클러스터로 로그 데이터를 거의 실시간으로 스트리밍할 수 있다.
• 또한 Amazon Kinesis Stream, Amazon Data Firehose Stream 과 같은 다른 서비스로 전송하거나 사용자 지정 처리, 분석을 AWS Lambda 수행하거나 다른 시스템으로 로드할 수 있다.

CloudWatch Logs Insight

• CloudWatch Logs의 로그 데이터를 대화형 방식으로 검색하고 분석할 수 있다.
• Amazon Route 53, AWS Lambda, AWS CloudTrail, Amazon VPC와 같은 AWS 서비스의 로그와 로그 이벤트를 JSON으로 내보내는 모든 애플리케이션 또는 사용자 지정 로그의 필드를 자동으로 검색한다.

exam-135

AWS PrivateLink

• 트래픽을 공용 인터넷에 노출하지 않고 VPC, AWS 서비스 및 사내 넨트워크 간의 개인 연결을 제공한다.
• 다양한 계정 및 VPC에서 서비스를 쉽게 연결하여 네트워크 아키텍처를 크게 간소화할 수 있다.
• AWS PrivateLink에서 제공하는 인터페이스 VPC 엔드포인트는 AWS Partners에서 호스팅하는 서비스와 AWS Marketplace에서 사용할 수 있게 지원되는 솔루션에 연결한다.

가상 프라이빗(사설) 게이트웨이

• 별도의 계정에서 Direct connect Gateway가 설정되어 있는 상태에서, 다른 계정에 있는 VPC 또한 온프레미스에 접근하고 싶을 때 VGW(Virtual Private Gateway)를 사용하게 된다.

exam-172

필드 수준 암호화

• 필드 수준 암호화를 사용하여 민감한 데이터를 보호할 수 있다.
• 필드 수준 암호화는 특정 애플리케이션만 볼 수 있도록 시스템 처리 전반에 걸쳐 특정 데이터를 보호할 수 있는 추가 보안 계층을 추가한다.
• 필드 수준 암호화를 사용하려면 CloudFront 배포를 구성할 때 암호화하려는 POST 요청의 필드 세트와 이를 암호화하는데 사용할 퍼블릭 키를 지정한다.
• 요청에서 최대 10개의 데이터 필드를 암호화할 수 있다.

exam-175

Amazon RDS Proxy

• Amazon Rds Proxy는 Amazon RDS를 위한 완전 관리형 고가용성 데이터베이스 프록시로 애플리케이션의 확장성과 데이터베이스 오류에 대한 복원력 및 보안을 더욱 강화한다.
• 최신 서버리스 아키텍처 기반의 애플리케이션을 포함한 많은 애플리케이션은 DB 서버에 대한 많은 수의 연결을 가질 수 있으며 DB 연결을 빠른 속도로 열고 닫을 수 있어 DB 메모리 및 컴퓨팅 리소스에 부담을 줄 수 있다.
• Amazon RDS Proxy를 사용하면 DB와의 연결을 결합하고 공유할 수 있으므로 DB 효율성과 애플리케이션 확장성이 향상된다.
• RDS Proxy를 사용하면 Aurora 및 RDS DB의 장애 조치 시간이 최대 66% 단축된다.

exam-208

S3 인터페이스 VPC 엔드포인트

• 인터페이스 VPC 엔드포인트를 사용하면 AWS PrivateLink를 통해 Amazon S3와 연결할 수 있다.
• 이 연결은 VPC 내부 트래픽만 사용하므로, 데이터가 공개 인터넷을 통해 전송되지 않는다.

exam-219

Amazon CloudWatch 에이전트

• Amazon Ec2는 인스턴스와 관련된 일련의 지표를 CloudWatch에 전달합니다.
• 여기에는 CPU 사용률, NetWorIn, NetWorkOut 지표 집합이 포함된다.
  • EC2는 OS 수준의 메모리 사용량 또는 디스크 사용량 지표를 제공하지 않는다.
• 사용자 지정 지표로 CloudWatch에 전달하려면, CloudWatch 에이전트를 설치해야 한다.

VPC - Traffic Mirroring

• VPC에서 네트워크 트래픽을 수집하고 검사하되 방해되지 않는 방식으로 실행하는 기능
• 사용사례
  • 콘텐츠 검사
  • 위협 모니터링
  • 네트워킹 문제 해결

VPC Peering

• 다양한 리전과 계정에서 VPC를 생성할 수 있다.
• AWS 네트워크를 통해 연결하고 싶을 때 사용한다.
• VPC가 모두 같은 네트워크에서 작동하도록 만들기 위함이다.
• VPC Peering은 서로 다른 리전 혹은 계정 또는 같은 계정에 있는 VPC 간 통신을 하기 위해서는 VPC 피어링을 활성화하면 된다.
• VPC 피어링 활성화는 당연하고, VPC 서브넷 상 루트 테이블도 업데이트하여 EC2간 통신이 가능하게 해야된다.

Transit Gateway

• VPC 여러 개를 피어링으로 전부 연결하고, VPN 연결, Direct Connect 구축해서 Direct Connect Gateway로 여러 VPC를 연결하는건 굉장히 복잡하다.
• 이런 문제 해결을 위해 Transit Gateway를 만들었다.
• 중앙에 있는 Transit Gateway를 통해 VPC 여러 개를 연결할 수 있다.
  • Direct Connection Gateway와 연결하면 Direct Connect 연결이 각기 다른 VPC에 직접 연결 가능
  • Site-to-Site VPN과 VPN 연결을 선호한다면 고객 게이트웨이와 VPN connection을 Transit Gateway와 연결하여 모든 VPC에 액세스 가능
• 계정 간 공유를 하려면 Resource Access Manager를 사용한다.
• 시험에서는 IP 멀티캐스트 키워드가 나오면 Transit Gateway로 생각하면 된다.

AWS에서 네트워크 보호 방법

• 1. 네트워크 액세스 제어 목록(NACL)
• 2. Amazon VPC Security Groups
• 3. AWS WAF
• 4. AWS Shield & AWS Shield Advanced
• 5. AWS Firewall Manager(여러 계정에 적용 가능)
• 6. AWS Network Firewall(VPC 방화벽)
  • VPC 간 트래픽 인터넷 아웃바운드, 인터넷 인바운드
  • Direct Connect or Site to Site VPN
  • 내부적으로 AWS Gateway Load Balancer를 사용함
  • 단, 타사 어플라이언스가 아닌 AWS 자체 어플라이언스를 통해 트래픽을 관리
  • 도메인별 필터링이 가능하여 특정 기업 도메인 액세스를 허용 or 타사 소프트웨어 액세스 허용 등