AWS SAA-C03 오답노트

AWS 서비스 개요

데이터 변환 및 분석

• Redshift: 데이터 변환 및 분석을 위한 도구

Identity 및 접근 제어

• aws:PrincipalOrgId: 조직 자체를 가리킴
• aws:PrincipalOrgPaths: 조직 내 특정 부서를 명시

콘텐츠 및 데이터 전송

• CloudFront: 엣지 로케이션에 정적 콘텐츠를 배치, 원본 서버에서 값을 가져옴
• AWS Global Accelerator: 애니캐스트를 사용해 가장 가까운 서버로 라우팅하여 빠른 데이터 전송
• Kinesis Data Firehose: A서비스에서 B서비스로 데이터 전송
• Kinesis Data Stream: 데이터를 모아 특정 서비스(A)에 전달

모니터링 및 감사

• AWS Config: 리소스 구성 변경 및 추적
• AWS CloudTrail: 로그 기록 및 내역 저장

스토리지 및 데이터 보호

• IOPS: 초당 입출력 작업 수
• AppFlow: 여러 SaaS 소스와 통합
• S3 Object Lock: 데이터 수정 및 삭제 방지
• EBS: 단일 AZ, 스냅샷 복제를 통해 새로운 볼륨 복원
• EFS: 멀티 AZ, 고가용성
• S3 스토리지 등급:
  • Standard: 자주 접근하는 데이터
  • Infrequent Access(EFS-IA): 드물게 접근하는 데이터
  • Archive: 일년에 몇 번 접근

네트워킹 및 라우팅

• Route 53 지리 근접 라우팅: 가까운 리소스를 선택

로드 밸런싱

• CLB(Classic Load Balancer): HTTP, HTTPS, TCP, SSL 처리, Layer 4/7
• NLB(Network Load Balancer): TCP, UDP, TLS 지원, 고성능/저지연
• GWLB(Gateway Load Balancer): 방화벽 및 심층 패킷 분석

컴퓨팅

• Elastic Beanstalk: 웹 애플리케이션 배포 서비스
• Fargate: 서버리스 컴퓨팅 엔진

데이터베이스

• RDS: 오토스케일링 미제공
• DynamoDB: 밀리초 단위 액세스

비용 관리

• AWS Cost Explorer: 상세 사용 내역 확인
• AWS Billing and Cost Manager: 총 사용 내역 확인

보안

• AWS Guard Duty: 계정 보호
• AWS Inspector: 취약점 관리
• AWS Shield/Advanced: DDOS 공격 보호
• Amazon Macie: S3 데이터 자동 분석 및 민감 정보 보호
• AWS Secrets Manager: 자격 증명 관리
• AWS Key Management Service: 키 관리

AI 및 분석

• Comprehend: 자연어 처리
• Rekognition: 이미지/영상 분석
• SageMaker: 머신러닝 모델 구축
• Textract: OCR

인스턴스

• 예약 인스턴스: 1년 또는 3년 계약
• 스팟 인스턴스: 중간에 꺼질 수 있음
• 스팟 블럭 인스턴스: 일정 기간 정의된 인스턴스

추가 정보

• AWS IAM Identity Center를 통해 Active Directory 기반 액세스 제공 가능
• 엔터프라이즈 앱: 양방향 트러스트 필요, EC2/RDS/FSX 등은 단방향/양방향 트러스트 지원

---

리전간의 Auto Scailing은 불가능

여러 지역에서의 Auto Scailing은 가능

CPU 사용량에 따라 auto Scailing은 대상추적정책(Target Tracking Policy)를 사용한다.

DB에 연결 수가 많다 → RDS Proxy사용

장애 복구 = 다른 가용 영역

재해 복구 = 다른 리전

MongoDB = DocumentDB

Amazon Rekognition = 이미지/비디오 분석 툴

DB

DB의 암호화

Amazon RDS DB인스턴스 암호화를 하면 로그, 백업, 스냅샷이 암호화 되지만 이 설정은 인스턴스를 생성할 때만 가능하다. 이미 생성된 것을 암호화하려면 암호화되지 않은 스냅샷을 암호화하고 이 스냅샷을 복원하여 DB 인스턴스를 만들어 교체하면 된다.

RDS 복구

자동 백업은 35일. 긴 기간 보관하려면 AWS Backup사용

RDS 읽기 전용 복제본은 비동기식 복제로 만들어짐.

읽기/쓰기 용량 빠르게 확장 = Dynamo DB

읽기 용량 빠르게 확장 = Aurora DB

S3

S3의 암호화

SSE-S3: S3에서 키 관리, key rotation 불가능

SSE-KMS: 사용자가 키 관리, key rotation가능. 암호화 키 사용은 감사 목적으로 기록되어야 합니다. 문구 있을 시 사용

SSE-C: 사용자가 가져온 키 사용

S3 거버넌스 모드 - 지정한 사람은 무시하고 객체 수정 가능, 보존 변경 가능

S3 규정 준수 모드 - 아무도 객체 수정 못함, 모드 변경 불가, 보존기간 단축 불가

그런데 특정 기간동안 수정 못하게하려면 S3객체 잠금(Object Lock)사용 + 법적 보존 추가. 삭제하려는 사용자에게는 s3: PutObjectLegalHold 권한 추가

미리 서명된 URL을 통해 사용자는 브라우저에서 S3로 이미지를 직접 업로드하도록 구성 가능. 미리 서명된 URL은 제한된 시간동안 객체 업로드와 같은 특정 작업을 통해 S3버킷의 객체에 대한 액세스를 제공하는 URL. 사용자는 AWS SDK or AWS CLI를 통해 프로그래밍 방식으로 미리 서명된 URL을 생성할 수 있음. 이걸 쓰면 사용자는 이미지를 웹 서버에 먼저 보낼 필요가 없기 때문에 애플리케이션 내 결합을 줄이고 웹 사이트 성능을 향상시킬 수 있음

S3+CloudFront를 사용하는 상황에서 S3에 직접 액세스 하는 것을 막으려면 OAC/OAI 사용하기

S3에서의 복제

S3복제를 할 때 CRR, SRR을 이용해 동일리전, 다른 리전으로 복제할 수 있다. 또한 이 이벤트(Object Created)를 CloudWatch Events에서 감지하여 특정 동작을 수행할 수 있다.

S3알림으로 많은 대상을 사용하면 이벤트가 많을 때 오류의 가능성이 있다. 따라서 AWS EventBridge와 함께 사용해야한다.

데이터 마이그레이션

Snowcone - 최대 8TB 또는 14TB의 데이터를 AWS클라우드로 전송할 수 있음

Snowball Edge Storage Optimized: 수십 테라바이트(TB)~페타바이트(PB) 데이터 전송 가능.

AWS Glue: 추출, 변환, 로드(ETL)파이프라인을 시각적으로 생성, 실행, 모니터링하여 데이터 레이크에 데이터 로드 가능

CloudFront를 이용해서 뷰어가 HTTPS를 사용하도록 제한할 수 있음. 또한 Cloud Front가 Origin과 통신할 때 HTTPS를 사용하도록 할 수도 있음

AWS Web ACL은 HTTP(S)요청을 세부적으로 제어할 수 있도록 해주는 것.

Amazon CloudWatch Logs로그 그룹에서 Amazon OpenSearch Service(Amazon Elasticsearch Service)에 실시간으로 로그를 옮기려면 CloudWatch Logs 구독을 통해 가능함.

AWS Transfer Family는 운영 오버헤드 없는 고가용성 SFTP솔루션 제공. 인증, 권한부여 및 스토리지 백엔드로 S3와의 통합을 통해 SFTP서버를 쉽게 설정할 수 있음

VPC관련

Virtual Private Gateway = VPN 엔드 포인트

VPN은 두 기기간 사설 네트워크를 만드는 것.

VPC내 특정 서비스에만 연결 = VPC 엔드포인트 생성 및 Private Link 사용

EC2 옵션

Compute Saving Plan은 66%절약, Fargate와 Lambda에 적용

Instance Saving Plan은 72%할인, Fargate와 Lambda에 미적용

상태 비저장 웹 어플리케이션 ⇒ 스팟인스턴스가 비용효율적

보안

WAF는 봇 감지 가능 + SQL Injection, XSS 패턴 차단

Shield Advanced는 DDos 공격에 대한 방어(WAF+Shield Standard)

CloudFront에서 특정 애플리케이션만 볼 수 있는 추가 보안 계층 추가 = CloudFront 필드 수준 암호화 프로필

AWS Systems MAnager Parameter Store에서 보안 매개변수 생성하는방법(EC2에서 DB에 접근해 데이터 저장하는 상황) = Parameter Store파라미터에 대한 읽기 액세스 권한 있는 IAM역할 생성. 파라미터를 암호화하는데 사용되는 AWS KMS 키에 대한 Decrypte 액세스 허용. 이 IAM역할을 EC2인스턴스에 할당

ACM(AWS Certificate Manager)는 인증서 관련 서비스

AWS KMS(AWS Key Management Service)는 키 관련 서비스(암호화)

AWS Secret Manager - 사용자 자격증명, 코드에 하드코딩된 자격증명 대체, 여러리전 AZ에 걸쳐 동작한다

규정 관련

특정 AWS 리전에서의 리소스 방지: AWS Control Tower Guardrail + AWS Organization

특정 국가에서만 액세스 허용: VPC의 Application Load Balancer에 AWS WAF구성

---

Amazon Pinpoint: 사용자는 SMS메시지에 회신할 수 있다. Amazon Connect: 콜센터, 고객센터

S3버킷에 저장될 때 암호화(SSE, 서버측 암호화) S3버킷에 보내기 전 암호화(CSE-클라이언트쪽 암호화)

S3에 저장된 데이터에 다른 팀 접근+ 데이터에 대한 세분화된 권한을 관리하는 기능 제공 + 운영 오버헤드 최소화 = AWS Lake Formation

Lake Formation 권한은 Amazon Athena, Amazon QuickSight, Amazon Redshift Spectrum, Amazon EMR 및 AWS Glue 등을 비롯한 AWS 분석 및 기계 학습 서비스 전반에 걸쳐 열, 행 및 셀 수준에서 세분화된 제어를 통해 적용됩니다.

Data stream

• 실시간, 빠른속도
• 데이터 스트리밍
• 커스터마이징 FireHose
• 완전관리형(운영쉬움)
• 조금 지연있을 수 있음
• 데이터 변환 가능
• 다른 서비스와의 통합

웹사이트를 S3에서 호스팅한다고 하면 기본적으로 프라이빗 서브넷에서 하는것이 더 좋다. 그리고 AWS CLI를 통해 웹사이트 콘텐츠를 업로드 하는 것이 SFTP클라이언트를 통해 업로드하는 것 보다 저렴하다.

• EventBridge는 다양한 소스에서 이벤트를 수집하고, 이를 다른 AWS 서비스로 라우팅하는 데 중점을 둔 서비스로, 이벤트 기반 아키텍처에 적합합니다. + 서버리스임
• CloudWatch는 AWS 리소스의 성능 및 상태를 모니터링하고 관리하는 데 중점을 두어, 메트릭 및 로그 모니터링을 통해 상태 감지 및 관리를 수행하는 데 적합합니다.

SNS는 구독한 사람들한테 메시지를 보내는 서비스. 특정 이슈가 있을 때 SNS를 "트리거"해줄 애가 필요함.

Cloud Watch는 AWS리소스 사용량을 감시한다면 Cloud Trail은 리소스에 어떤 API가 호출되고 어떤 규칙이 바뀌었는지를 검사한다.

프라이빗 IP주소를 알아도 공용 액세스가 된다.

게이트웨이 VPC end point vs Interface VPC EndPoint

• Gateway VPC Endpoint는 S3와 DynamoDB에만 사용되며,
• Interface VPC Endpoint는 더 많은 AWS 서비스에 대해 지원됩니다.

태그가 지정된 모든 구성요소를 식별하기 위한 솔루션 = AWS Resource Groups Tag Editor

액세스 패턴이 가변적이고 빠르게 변경 => S3 지능형 계층화(S3 intelligent-Tiering)

route53 active-active : 보조도 사용중 active-passive: 보조는 대기중

다중 응답 라우팅: 하나의 도메인이름에 여러 IP무작위로 리턴 가중 라우팅: 트래픽을 고려하여 라우팅 장애 조치 라우팅: 기본 리소스 또는 위치를 사용하 수 없는 경우에만 트래픽을 백업 리소스로 보내도록 함.

EC2는 t3<M5<R5이다.

IAM User : 아이디 비번으로 로그인하는 사용자 IAM Role: 권한 묶음, 사용자에게 부여할수도, AWS 서비스에 부여할수도 있음

1. IAM 사용자 (IAM User):
   • 특정 IAM 사용자에게 직접 IAM 정책을 부여함으로써 해당 사용자에게 특정 AWS 리소스에 대한 권한을 부여할 수 있습니다.
   • 예를 들어, 특정 사용자가 S3 버킷에 데이터를 업로드하고 다운로드할 수 있도록 권한을 설정하는 정책을 생성하여 해당 사용자에게 부여할 수 있습니다.
2. IAM 역할 (IAM Role):
   • IAM 역할은 권한 집합을 정의하고, 이를 필요로 하는 주체가 "가정(assume)"할 수 있도록 합니다. 이는 AWS 서비스나 특정 사용자가 해당 역할을 가정할 때 이 역할에 부여된 IAM 정책에 따라 권한을 지닙니다.
   • 서비스가 특정 작업을 수행하는 데 필요한 권한을 IAM 역할에 부여하여 해당 서비스가 요구하는 작업을 수행할 수 있도록 합니다.
3. IAM 그룹 (IAM Group):
   • IAM 그룹은 여러 IAM 사용자들을 그룹화하여 관리할 수 있는 방법으로, 그룹에 IAM 정책을 부여하면 해당 그룹에 속한 모든 사용자에게 그 정책이 적용됩니다.
   • 예를 들어, 여러 개발자를 포함하는 "Developers"라는 그룹을 만들고, 이 그룹에게 EC2 인스턴스를 시작하고 중지할 수 있는 권한을 부여하는 정책을 연결할 수 있습니다.