[AWS SAA] RDS, Aurora Backup,Security, Proxy

junghan·2023년 2월 21일
0

AWS SAA

목록 보기
17/51
post-thumbnail

Backup

RDS 백업

  • 자동화된 백업:
    • 매일 데이터베이스 전체 백업(백업 기간 동안)
    • 트랜잭션 로그는 5분마다 RDS에 의해 백업됩니다.
    • => 어떤 시점으로든 복원할 수 있는 기능(가장 오래된 백업부터 5분 전까지)
    • 보존 기간 1~35일, 자동 백업을 비활성화하려면 0으로 설정

  • 수동 DB 스냅샷
    • 사용자가 수동으로 트리거
    • 원하는 기간 동안 백업 보관

  • TIP: 중지된 RDS 데이터베이스에서 여전히 스토리지 비용을 지불해야 합니다. 오랫동안 중지할 계획이라면 대신 스냅샷 및 복원을 수행해야 합니다. 비용이 훨씬 저렴합니다.



Aurora 백업

  • 자동화된 백업
    • 1~35일(비활성화할 수 없음)
    • 해당 기간의 특정 시점 복구

  • 수동 DB 스냅샷
    • 사용자가 수동으로 트리거
    • 원하는 기간 동안 백업 보관



RDS & Aurora Security

Encryption

  • 미사용 암호화:
    • AWS KMS를 사용한 데이터베이스 마스터 및 복제본 암호화 – 시작 시간으로 정의해야 합니다.
    • 마스터가 암호화되지 않은 경우 읽기 전용 복제본을 암호화할 수 없습니다.
    • 암호화되지 않은 데이터베이스를 암호화하려면 DB 스냅샷을 거쳐 암호화된 상태로 복원

    	• 오라클과 SQL 서버를 위한 Transparent Data Encryption(TDE)을 사용할 수도 있다.
  • In-flight 암호 (전송 중 암호화): 기본적으로 TLS 지원, 클라이언트 측 AWS TLS 루트 인증서 사용
    •고정 암호랑 함께 사용 한다.
    • 데이터베이스에 연결할 때 신뢰할 수 있는 증명서와 함께 SSL 옵션을 제공해야 한다.
    • 모든 데이터베이스가 SSL을 사용하도록 만들기 위한 설정:
    • PostgreSQL: 파라미터 그룹 설정 -> 콘솔에서 rds.force_ssl = 1로 설정
    • MySQL: SQL 명령문 사용 ->GRANT USAGE ON *.* TO 'mysqluser'@'%' REQUIRE_SSL

Security

  • IAM 인증: 데이터베이스에 연결하기 위한 IAM 역할(사용자 이름/암호 대신)
    •IAM role을 이용해 RDS service를 호출해 auth token을 가져오면 이를 SSL encryption이 RDS 보안 그룹에 넘겨 자격을 확인한다.
    • auth token의 수명은 15분이다.

  • 보안 그룹: RDS/Aurora DB에 대한 네트워크 액세스 제어

  • RDS Custom을 제외하고 사용 가능한 SSH 없음

  • 더 오래 보관하기 위해 감사 로그를 활성화하고 CloudWatch Logs로 보낼 수 있습니다.



Amazon RDS Proxy

Amazon RDS 프록시를 사용하면 애플리케이션이 데이터베이스 연결을 풀링하고 공유하도록 허용하여 확장 기능을 향상할 수 있습니다. RDS 프록시는 애플리케이션 연결을 유지하면서 예비 DB 인스턴스에 자동으로 연결하여 데이터베이스 장애에 대한 애플리케이션의 복원력을 높입니다. RDS 프록시를 사용하면 데이터베이스에 대해 AWS Identity and Access Management(IAM) 인증을 사용하고 AWS Secrets Manager에 자격 증명을 안전하게 저장합니다.

• RDS용 완전 관리형 데이터베이스 프록시

• 앱이 데이터베이스와 설정된 DB 연결을 풀링하고 공유할 수 있도록 합니다.

• 데이터베이스 리소스(예: CPU, RAM)에 대한 스트레스를 줄이고 열린 연결(및 시간 초과)을 최소화하여 데이터베이스 효율성을 개선합니다.

• 서버리스, 자동 확장, 고가용성(다중 AZ)

• RDS 및 Aurora 장애 조치 시간 최대 66% 감소

• RDS(MySQL, PostgreSQL, MariaDB) 및 Aurora(MySQL, PostgreSQL) 지원

• 대부분의 앱에 코드 변경이 필요하지 않음

• DB에 대한 IAM 인증을 시행하고 자격 증명을 AWS Secrets Manager에 안전하게 저장

• RDS Proxy는 공개적으로 액세스할 수 없습니다(VPC에서 액세스해야 함).

AWS Certified Solutions Architect Associate 시험합격!

profile
42seoul, blockchain, web 3.0

0개의 댓글