AWS SAA-C03 D-2

진인사대천명(盡人事待天命)
"큰일을 앞두고 사람이 할 수 있는 일을 다 한 후에 하늘에 결과를 맡기고 기다린다"
무언가 큰일을 치르기 전에 항상 내가 마음속으로 생각을 하는 말이다.

매일 정리 한것을 보면 이제 겹치는 부분이 많이 나오고 봤던 건데 라고 생각하며
신나게 푸는 문제가 있는 방면 내가 신경을 쓰지 않아 진짜 처음보는 문제까지
풀때마다 내 심장을 쫄깃하게 만든다.
내일까지 나머지 덤프 문제를 다 돌리고 정리를 끝낸후에 월요일에 시험을 쳐야겠다
나는 온라인 시험으로 신청해 그나마 이동시간이나 시험치기 전에 부담이 덜한 편이라서
너무 다행이라고 생각한다
이틀 남았다!! 킵고잉~~~

• SQS = 분리와 함께 처리할 응용 프로그램에 대한 메시지를 보관할 큐를 수용하도록 아키텍쳐 변경
• “항상 여러 AWS 리전에서 온라인으로” 현재 읽기 전용 복제본만 지역 간 지원, 다중 AZ는 지역간 지원하지 않음 (동일한 지역에서만 작동)
• 예측 할 수 없는 패턴 = S3 지능형 계층화
• CloudFront = 낮은 대기 시간과 높은 전송 속도로 안전하게 콘텐츠 전송
• Amazon Redshift = SQL을 사용하여 여러 데이터 웨어하우스, 운영 데이터베이스 및 데이터 레이크에서 정형 데이터 및 반정형 데이터를 분석하고 AWS가 설계한 하드웨어 및 기계 학습을 사용해 어떤 규모에서든 최고의 가격 대비 성능을 지원
• AWS Global Accelerator = TCP/UDP를 사용하는 네트워크 계층에서 동작
• Route53 으로 CloudFront 배포를 가리킬 수 있음
• 온프레미스 - AWS 간 스토리지 서비스중 SMB 지원하는 건 Storage Gateway File Gateway나 Amazon FSx for Windows라고 보면된다.
• KPI로 표시하기 위해선 Athena가 필요하고, Athena는 S3에 쿼리함
  • AWS Glue는 Athena에서 쿼리 가능한 Parquet 파일을 쓸 수 있음
  • QuickSight로 KPI 표시 가능
• Amazon Aurora는 PostgreSQL과 호환되고 다중 리전 및 AZ를 기본적으로 지원하므로 인프라 및 용량 계획을 유지 관리 가능
• SaaS 플랫폼에 대한 DR계획, 보조 AWS 리전에 복제, 가장 비용 효율적인 솔루션
  • DB 클러스터에 대한 Aurora 글로벌 데이터베이스 설정, 보조 리전에서 최소 하나의 DB 인스턴스 지정
• 테스트 환경 복제를 하는데 필요한 시간 최소화 = 빠른 스냅샷 복원 기능 켜기
• 비관계형 데이터를 저장하기를 원함 = DynamoDB 사용
• 계약 문서 보관 5년 지속 5년 동안 문서 덮어씌기, 삭제 불가능, 미사용 문서를 암호화 하고 매년 암호화 키를 자동으로 교체
  • S3에 문서를 저장, 규정 준수 모드에서 S3 객체 잠금 사용
  • AWS Key Management Serivce (AWS KMS) 고객 관리형 키로 서버 측 암호화 사용, 키순환 구성
• 스냅샷에서 Amazon EBS 빠른 스냅샷 복원을 활성화 하면 스냅샷에서 새 Amazon AMI를 빠르게 생성할 수 있으므로 새 인스턴스를 프로비저닝 할때 초기화 지연 시간을 줄이는데 도움이 된다 AMI가 프로비저닝 되면 Auto Scaling 그룹의 AMI를 새 AMI로 교체 할 수 있다, 이렇게 하면 업데이트된 AMI에서 새 인스턴스가 시작되고 증가된 수요를 신속하게 충족 할 수 있다
• ALB를 오리진으로 사용할 수 있음
• aws:PrincipalOrgID라는 새로운 조건 키를 권한 정책에 사용하여 조직 내의 계정에 해당하는 IAM 보안 주체(사용자 및 역할)만 리소스에 액세스 할 수 있도록 한다
• 솔루션은 기본 인프라가 정상일 때 부하를 처리할 필요가 없다고 했으므로 Active/Passive Failover를 사용하면됨
  • Amazon Aurora는 교차 리전 복제를 지원한다, 물리적 또는 논리적 복제를 사용하여 교차 리전 Aurora 복제본을 설정 할 수 있다
• 전송 중인 데이터의 보안을 개선하는 가장 좋은 옵션은 TLS 수신기를 구성하고 NLB에 서버 인증서를 배포 하는 것이다
• 대량의 스트림 데이터 수집 = Kinesis Data Streams
• SaaS = AppFlow
  • Amazon AppFlow = SaaS 애플리케이션과 Amazon S3 및 Amazon Redshift와 같은 AWS 서비스간에 데이터를 안전하게 전송할 수 있는 완전 관리형 통합 서비스
• 수정하거나 삭제 할 수 없음 = S3 Object Lock (S3 객체 잠금)
• 네트워크 연결 문제로 데이터 수집이 실패하는 현상이 일어남. 이런 경우 데이터 손실이 일어날 위험성이 크므로 데이터를 보관해둘 곳이 필요
  • 대체적으로 SQS Queue가 적절. 또한 SQS Queue에 머물러 있는 작업들은 Lambda로 처리가능
• AWS Shield Advanced 보호는 네트워크 트래픽에 대한 상시 작동, 흐름 기반 모니터링과 적극적인 애플리케이션 모니터링을 통해 의심되는 DDoS 공격에 대한 거의 실시간 알림 제공
  • CloudFront로도 DDoS 대처 가능
• 최소한의 운영헤드, 기본으로 CloudWatch Log - Opensearch 간 연동을 제공함
• S3 복제를 사용하면 S3 버킷으로 자동 복제된다. S3는 버킷에서 특정 이벤트가 발생할 때마다 Amazon EventBridge에 이벤트를 보낼 수 있다(이벤트 유형 : ObjectCreated)
• 모든 신규 사용자가 특정 복잡성 요구 사항과 IAM 사용자 암호에 대한 필수 교체 기간을 원함
  • 전체 AWS 계정에 대한 전반적인 암호 정책 설정
• 보안 그룹을 정의하여 VPC에 Lambda 연결 가능
  • Lambda 함수가 Direct Connect를 통해 온프레미스 데이터 센터와 엑세스 하기 위해선 VPC에 Lambda가 연결되어야 가능하던 말던 한다
• 지표 스트림을 사용하여 CloudWatch 지표를 거의 실시간으로 제공하고 낮은 지연시간으로 선택한 대상으로 지속적인 스트리밍이 가능해짐
  • 사용사례중 하나는 데이터 레이크
• DB 인스턴스에 대한 고가용성 및 자동 복구 필요, 1년에 여러번 RDS 데이터베이스에 대한 보고설 실행, 보고 프로세스로 인해 트랜잭션이 고객 계정에 게시되는데 평소보다 오래 걸림
  • 단일 AZ DB인스턴스에서 다중 AZ 배포로 DB 인스턴스 수정
  • 다른 가용 영역에서 DB 인스턴스의 읽기 전용 복제본을 생성, 보고서에 대한 모든 요청은 읽기 전용 복제본으로 가리킴
• CPU 사용률과 읽기 IOPS가 모두 높을 때 조치를 취하므로 Amazon CloudWatch Composite Alarm(복합 경보)이 필요
  • Amazon CloudWatch 복합 경보를 사용하여 여러 경보를 결합함으로써 경보 노이즈를 줄이고 중요한 운영 문제에 집중 가능함
• 기록된 모든 데이터가 유휴 상태에서 암호화 = EBS 볼륨을 암호화된 볼륨으로 생성 → EBS 볼륨을 EC2 인스턴스에 연결
• 다중 AZ + Auto Scaling으로 고가용성 확보
• Interface VPC Endpoint = EC2 인스턴스 - S3 버킷 간의 직접 연결을 제공, VPC의 인스턴스와 다른 서비스의 리소스 간에 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 프라이빗 통신이 가능함
• Gateway VPC Endpoint = Amazon S3 - DynamoDB간 연결만 지원 프라이빗 DNS는 지원하지 않는다.
• AWS Organizations로 SSO 설정하여 Active Directory 설정가능
• Windows File Server + AWS 이동 = Amazon FSx File Gateway
• Transit Gateway는 동일한 리전 내에 있는 여러 VPC들을 연결하는 전송 허브이므로 Transit Gateway를 거쳐 VPC끼리 통신이 가능
• “예측 가능한 용량 및 가동 시간 요구 사항” = 예약됨을 의미
  • “소켓 및 코어” = 전용 호스트를 의미
• AWS 외부 공급업체 고용 + 벤더가 소유한 AWS계정에서 호스팅되는 자동화 도구 사용 + 공급 업체는 회사의 AWS 계정에 대한 IAM 액세스 권한이 없다
  • 공급업체의 IAM 역할에 대한 액세스 권한을 위임하려면 IAM 역할을 생성, 벤더가 요구하는 권한에 대한 역할에 적정한 IAM 정책 연결
• Amazon RDS 암호화된 DB 인스턴스의 경우 모든 로그, 백업 및 스냅샷이 암호화된다, 인스턴스를 생성할 때에만 가능하며 DB인스턴스가 생성된 후에는 불가능
• S3 버킷에 저장될 때 암호화되므로 SSE(서버측 암호화). 만약 S3 버킷으로 보내기 전에 암호화 되면 CSE(클라이언트 측 암호화)
  • S3 버킷에 저장되는 모든 객체를 암호화 하는 기본 암호화 동작을 버킷에 저장 가능
    → S3관리형 키를 사용한 서버측 암호화 또는 KMS 키를 사용한 서버측 암호화를 사용하여 암호화
• Kinesis Data Streams = 실시간 수집된 데이터 쿼리
• CloudFront로만 접속할 수 있도록 한 뒤에 WAF로 검사
  • CloudFront는 S3 오리진에 인증된 요청을 전송하는 두 가지 방법으로 오리진 액세스 제어(OAC)와 오리진 액세스 ID (OAI)를 제공
• TCP/UDP + Endpoint에 입력할 수 잇는 고정 IP 주소를 가져야 한다는 대목 Global Accelator
• AMI 스냅샷을 암호화하는 데 이미 사용되었기 때문에 기존 KMS 키를 MSP 외부 계정과 공유
• 사용량 예측이 안되므로 프로비저닝은 의미가 없다
• 서비스 제어 정책(SCP) = 조직에서 권한을 관리 하는데 사용할 수 있는 조직 정책 유형
  • SCP = 조직의 모든 계정에 대해 사용 가능한 최대 권한을 중앙에서 관리