AWS Technical Essentials; Module 1

모듈 1: Amazon Web Services 소개

과정 개요

AWS 클라우드 소개
AWS 클라우드 보안
AWS에서 직원 디렉터리 애플리케이션 호스팅
데모: AWS Identity and Access Management(IAM) 소개

 

• 기본 빌딩 블록 +
• CloudWatch : 솔루션 모니터링
• ELB : App 확장 가능성 내결함성
• Auto Scaling : 솔루션 수요에 따라 확장 및 축소 

---

1-1) AWS 란?

온프레미스 컴퓨팅과 클라우드 컴퓨팅

On-Premise 컴퓨팅

• 기업 및 조직이 자체 데이터 센터에서 하드웨어를 호스팅하고 유지 관리 ➡ 운영 비용 ↑
  • 하드웨어 : 컴퓨팅, 스토리지, 네트워킹 장비 등등
• 대규모 물리적 인프라 유지 관리 비용 해결방안 ➡ 클라우드 컴퓨팅

 

Cloud 컴퓨팅

• 종량제 가격으로 인터넷을 통해 온디맨드로 IT 리소스를 제공
• 기업은 자체 하드웨어 및 데이터 센터를 관리하고 유지 관리할 필요❌
  • MSP가 데이터 센터를 소유 및 유지 관리
  • 인터넷을 통해 기업과 사용자에게 가상 데이터 센터 기술 및 서비스를 제공
• 획일적인 작업 부담 제거로 시간 절약 ➡ 비즈니스에 전략적으로 고유한 작업에 집중

 

새로운 애플리케이션 기능을 배포해야 하는 시나리오

• On-premise : 구입 및 설치 필요 ➡ 비용과 시간 ↑
• Cloud : 전체 프로덕션 환경을 복제, 인터넷을 통해 솔루션을 관리 ➡ 비용, 시간 ↓

 

Amazon Web Service

• 클라우드 컴퓨팅 서비스를 제공
• IT 리소스가 바로 AWS 서비스
• 기업 디렉터리 애플리케이션을 호스팅할 확장 가능하고 가용성이 뛰어나며 비용 효율적인 인프라를 설계
• 대용량의 물리적 하드웨어를 관리❌, 프로덕션 환경에 APP을 신속하게 배포

---

클라우드 컴퓨팅의 6가지 이점

1. 종량 과금제

데이터 센터 및 하드웨어가 사용되는 방식을 파악하기도 전에 데이터 센터와 하드웨어에 투자하는 대신, 
사용하는 컴퓨팅 리소스에 대해 사용한 만큼만 비용을 지불합니다.

2. 거대한 규모의 경제로 얻게 되는 이점

클라우드 컴퓨팅을 사용하면 인프라를 소유할 때보다 비용이 낮아집니다. 
수많은 고객의 사용량이 클라우드에 집계되므로 AWS는 더 높은 규모의 경제를 달성할 수 있으며, 
따라서 사용량에 따라 지불하는 종량제 요금이 더 낮아집니다.

3. 용량 추정 불필요

필요한 인프라 용량을 추정할 필요가 없습니다. 
애플리케이션을 배포하기 전에 용량을 결정하면 고가의 리소스를 구입하여 유휴 상태로 유지하게 되거나 한정된 용량으로 작업하게 되는 경우가 자주 발생합니다. 
그러나 클라우드 컴퓨팅을 사용하면 이러한 문제가 해결됩니다. 필요한 만큼의 용량에 액세스하고 필요에 따라 몇 분 만에 확장 또는 축소할 수 있습니다.

4. 속도 및 대응력 향상

IT 리소스가 클릭 한 번으로 확보됩니다. 
즉, 개발자에게 리소스를 제공하는 데 걸리는 시간을 몇 주에서 몇 분으로 단축할 수 있습니다. 
이에 따라 실험 및 개발에 드는 비용이 상당히 절감되고 시간이 단축되므로, 조직의 민첩성이 크게 향상됩니다.

5. 비용 절감 실현

기업은 데이터 센터를 유지 관리하는 대신 비즈니스를 차별화하는 프로젝트에 집중할 수 있습니다. 
클라우드 컴퓨팅을 사용하면 물리적 인프라를 관리하느라 시간을 허비하지 않고 고객에게 더욱 집중할 수 있습니다. 
이를 흔히 획일적인 작업 부담이라고 합니다.

6. 몇 분 만에 전 세계에 배포

몇 번의 클릭으로 애플리케이션을 전 세계 여러 리전에 배포할 수 있습니다. 
이는 최소 비용으로 고객의 대기 시간은 줄이면서 보다 나은 사용 환경을 제공할 수 있음을 의미합니다.

---

리소스

• 외부 사이트: AWS: 클라우드 컴퓨팅이란 무엇입니까?
• 외부 사이트: AWS: 클라우드 컴퓨팅 유형
• 외부 사이트: AWS: AWS를 이용한 클라우드 컴퓨팅
• 외부 사이트: AWS: Amazon Web Services 개요

---

1-2) 글로벌 인프라

AWS 글로벌 인프라 구성 ➡ 리전 및 가용 영역의 형태

리전

• AWS가 전 세계에서 데이터 센터를 호스팅하는 지리적 위치
• AWS 리전은 서로 독립적
• 각 AWS 리전은 지리적 이름 및 리전 코드와 연결
  • 리전 코드 예시 : us-east-1, ap-northeast-1
• 리전은 가용 영역의 클러스터, 가용 영역은 데이터 센터의 클러스터
  • Region ⊃ AZ ⊃ IDC
  • 리전, 가용 영역 , 데이터 센터는 중복되고 중첩된 방식으로 존재

---

리전을 선택할 때 고려해야 할 4가지 주요 요소

• 규정 준수 (Compliance)
• 대기 시간 (Latency)
• 요금 (Pricing)
• 서비스 가용성 (Service availability)

---

1. 데이터 규정 준수

대기업은 고객 데이터를 특정 지역에 저장해야 하는 규정을 준수해야 하는 경우가 많습니다. 
해당되는 경우 규정 준수 요구 사항을 충족하는 리전을 선택합니다.

2. 대기 시간

애플리케이션이 대기 시간(데이터 요청과 응답 사이의 지연)에 민감한 경우 사용자 기반에 가까운 리전을 선택합니다. 
이렇게 하면 고객의 긴 대기 시간을 방지할 수 있습니다. 
게임, 전화, WebSockets 및 사물 인터넷(IoT)과 같은 동기식 애플리케이션은 대기 시간이 길어질 때 큰 영향을 받습니다. 
전자 상거래 애플리케이션과 같은 비동기 워크로드 역시 사용자 연결 지연으로 인해 어려움을 겪을 수 있습니다.

3. 요금

지역 경제와 데이터 센터 운영의 물리적 특성으로 인해 가격은 리전마다 다릅니다. 
인터넷 연결, 수입 장비 가격, 관세, 부동산 및 기타 요소가 리전 가격에 영향을 미칩니다. 
AWS는 전 세계 정액 요금을 부과하는 대신 각 리전별 재무 요소에 따라 요금을 부과합니다.

4. 서비스 가용성

일부 리전에서는 일부 서비스를 사용하지 못할 수 있습니다. 
AWS 설명서에는 각 리전에서 사용할 수 있는 서비스를 보여주는 표가 나와 있습니다.

---

가용 영역 (AZ)

• 모든 리전의 내부에는 가용 영역(AZ)의 클러스터 존재
• AZ는 중복 전력, 네트워킹 및 연결이 제공되는 1개 이상의 데이터 센터로 구성
• IDC : 이중화 ➡ 대기 시간이 짧은 고속 링크 사용하여 연결 ➡ 속도 빨라짐
• 리전 코드 이름 끝에 문자를 추가 (a, b, c, d···)

---

AWS 서비스 범위

AWS 서비스에 따라 리소스 ➡ AZ, 리전, 전역 수준에서 배포

리전 범위 서비스 운영

• 사용하려는 리전만 선택
• 서비스를 배포할 개별 AZ를 지정하라는 메시지 표시 ❌
• AWS는 데이터 내구성, 가용성을 높이기 위한 작업을 자동으로 수행

AZ 범위 서비스 운영

• 해당 리소스 데이터 내구성, 고가용성 보장

---

복원력 유지

• 애플리케이션 지속 사용 위해 ➡ 고가용성, 복원력 유지
• 워크로드가 여러 AZ에 걸쳐 복제 되어야 함 ➡ 최소 2개 AZ를 사용
• 모범 사례 : 리전 범위의 관리형 서비스 사용 ➡ 가용성, 복원력 내장

---

리소스

• 외부 사이트: AWS: 글로벌 인프라
• 외부 사이트: AWS: AWS 글로벌 인프라 설명서
• 외부 사이트: AWS: AWS 리전 및 가용 영역
• 외부 사이트: AWS: AWS 서비스 엔드포인트
• 외부 사이트: AWS: AWS 리전 서비스

---

1-3) AWS와 상호작용

인프라를 물리적으로 관리하는 대신 API 로 논리적으로 관리

• AWS에서 수행하는 모든 작업은 인증 및 권한이 부여된 API 호출

AWS API 호출하는 방법

AWS에 연결할 수 있는 주요 옵션

1. AWS 관리 콘솔
2. AWS 명령줄 인터페이스 (CLI)
3. AWS 소프트웨어 개발 키트 (SDK)

---

AWS 관리 콘솔

• 로그인하여 원하는 서비스를 선택하는 웹 기반 콘솔을 사용
• 클라우드에서 리소스를 만들고 관리하는 가장 쉬운 방법
• 리전 변경시 브라우저는 다른 URL로 표시되는 해당 리전에 요청 보냄

---

AWS Command Line Interface(AWS CLI)

• 터미널 사용 ➡ AWS 생성 및 구축 가능

• 익숙해진다면 GUI 보다 시간을 아낄 수 있다
• 휴면에러 가능성 존재, 정확한 구문 사용 필요성 요구
• AWS CLI는 오픈 소스로 Windows, Linux 및 macOS에서 설치 관리자 사용

aws ex2 run-instancces --image
aws ec2 describe-instances

---

AWS SDKs

• AWS 소프트웨어 개발 키트(SDK)는 오픈 소스

• 프로그래밍 언어로 코드 실행 ➡ AWS에 대한 API 호출 수행 가능
  • C++, Go, Java, JavaScript, .NET, Node.js, PHP, Python, Ruby 등 사용하여 유지 관리

• 개발자 ➡ 일반적으로 AWS SDK 사용하여 애플리케이션 소스 코드를 AWS 서비스와 통합

import boto3
ec2 = boto3.client('ec2')
response = ec2.describe_instances()
print(response)

---

리소스

• 외부 사이트: AWS: AWS 관리 콘솔 작업
• 외부 사이트: AWS: AWS Command Line Interface
• 외부 사이트: AWS: AWS에서 구축을 위한 도구

---

1-4) 보안 및 AWS 공동 책임 모델

보안 책임자? ➡ AWS와 고객의 공동 책임

공동 책임 모델 다이어그램

• 개별 보호 정책 ❌

• 클라우드 자체의 보안과 클라우드 내부의 보안
• aws : 클라우드 자체의 보안 of
• 고객 : 클라우드 내부의 보안 in

AWS 공동 책임 모델

---

AWS 책임

AWS는 클라우드 자체의 보안에 대한 책임

AWS 서비스의 세 가지 범주에 따른 AWS의 책임 수준

• AWS 클라우드에서 제공되는 서비스를 실행하는 인프라 보호, 보안 유지

• AWS 리전, 가용 영역, 데이터 센터 보호 ➡ 보안 유지, 건물의 물리적 보안까지 담당
• AWS 서비스를 실행하는 H/W, S/W, 네트워킹 구성 요소 관리
  • 물리적 서버, 호스트 운영 체제, 가상화 계층, AWS 네트워킹 구성 요소 등'

참고 : 컨테이너 서비스는 Docker 컨테이너 서비스 ❌
백그라운드에서 애플리케이션 컨테이너를 추상화하는 것을 의미
이를 통해 AWS는 고객이 플랫폼을 관리할 책임을 덜어줄 수 있다.

---

고객 책임

고객은 클라우드 내부의 보안을 책임

• 데이터 주권 규정에 따라 AWS 리소스의 리전 선택
• 암호화 및 예약된 백업과 같은 데이터 보호 메커니즘을 구현
• 액세스 제어를 사용하여 데이터 및 AWS 리소스에 액세스할 수 있는 사용자를 제한

AWS 서비스의 세 가지 범주에 따른 고객의 책임 수준

• 데이터 보안 보장 + 서비스, 애플리케이션 올바르게 구성할 책임
• 핵심 개념 : 고객이 데이터를 완벽하게 제어하고 콘텐츠와 관련된 보안을 관리할 책임이 있다는 것

---

리소스

• 외부 사이트: AWS: 공동 책임 모델

---

1-5) AWS 루트 사용자 보호

인증 관련 중요한 문제

• 계정 액세스 구성 ➡ 인증, 권한 부여

---

인증

• 인증 : 사용자가 본인임을 보장
• 인증 유형 : 사용자 이름과 암호, 토큰 기반 인증, 지문 같은 생체 인식 데이터 등
• 인증 프로세스 : 올바른 이메일 주소, 암호의 조합 사용 ➡ 자격 증명 확인, 액세스 권한 부여
• ‘사용자가 본인 맞습니까?’

---

권한 부여

• 사용자에게 AWS 리소스 및 서비스에 액세스할 수 있는 권한을 부여하는 프로세스
• 사용자가 읽기, 편집, 삭제 , 리소스 생성과 같은 특정 작업을 수행할 수 있는지 여부를 결정
• ‘어떤 작업을 수행할 수 있습니까?’

---

AWS 루트 사용자

• 전체 액세스 권한이 있는 단일 로그인 자격 증명
• 계정의 모든 AWS 서비스, 리소스에 제한 없이 액세스 가능

---

AWS 루트 사용자 자격 증명

• AWS 루트 사용자 ➡ 두 가지 자격 증명 세트 연결
  1. 계정 이메일 주소, 암호 ➡ AWS 관리 콘솔에 액세스 가능
  2. 액세스 키 ➡ AWS CLI, AWS API에서 프로그래밍 방식으로 요청 수행 가능
     • 사용자 이름 + 암호과 마찬가지로 액세스 키 ID + 비밀 액세스 키 모두 필요
     • 동일한 보안 수준으로 관리

---

AWS 루트 사용자로 작업 시 모범 사례

• 강력한 루트 사용자 암호를 선택
• 암호 또는 액세스 키를 다른 누구와도 공유하지 않음
• 루트 사용자와 연결된 액세스 키를 비활성화 또는 삭제
• 관리 작업 또는 일상 작업에 루트 사용자를 사용하지 않음

---

키를 삭제하여 안전 보장

1. AWS 관리 콘솔에서 내 보안 자격 증명 페이지로 이동하여 루트 사용자의 이메일 주소 및 암호로 로그인합니다.
2. 액세스 키 섹션을 엽니다.
3. 작업 아래에서 삭제를 선택합니다.
4. 예를 선택합니다.

---

멀티 팩터 인증(MFA)

• 처음 계정에 로그인할 때, 싱글 팩터 인증 사용
  • 싱글 팩터 인증 : 가장 단순, 가장 일반적인 인증 형식 (사용자 이름 + 암호 OR 보안 핀 OR 보안 토큰)
• 루트 사용자에게 멀티 팩터 인증 사용 권고 ➡ 추가 보안 계층은 가장 중요한 계정을 보호, 원치 않는 계정 액세스 방지

---

MFA 세 가지 범주의 정보

계정 액세스에 대한 계층화된 접근 방식을 제공

1. 사용자 이름 및 암호 또는 핀 번호와 같이 사용자가 알고 있는 것
2. 하드웨어 디바이스 또는 모바일 앱의 일회용 암호와 같이 사용자가 가지고 있는 것
3. 지문 또는 얼굴 스캐닝 기술과 같은 사용자 자체

---

AWS 기반 MFA

• 루트 사용자에 MFA 활성화하는 경우, 알고 있는 것 범주 + 가지고 있는 것 범주 식별 정보 제시
  • 첫 번째 식별 정보(일반 로그인 자격 증명) : 이메일, 암호 조합
  • 두 번째 식별 정보(MFA 메커니즘) : MFA 디바이스에서 제공하는 임시 숫자 코드
• MFA 메커니즘 사용 ➡ 보안 계층 강화
• MFS는 또한 특정한 AWS 서비스 API들에 접근 제어에 사용될 수도 있다.

---

지원되는 MFA 디바이스

• 다양한 MFA 메커니즘 지원 ➡ 가상 MFA 디바이스, 하드웨어 디바이스, U2F(Universal 2nd Factor) 보안 키

---

리소스

• 외부 사이트: AWS: 하드웨어 MFA 디바이스 활성화(콘솔)
• 외부 사이트: AWS: U2F 보안 키 활성화(콘솔)
• 외부 사이트: AWS: 가상 멀티 팩터 인증(MFA) 디바이스 활성화(콘솔)
• 외부 사이트: AWS: 지원되는 MFA 디바이스 표

---

1-6) AWS Identity and Access Management

AWS 계정 수준

APP 수준의 액세스 관리❌

• IAM 통해 사용자 생성 가능
• AWS 계정에 액세스 해야하는 각 개별 사용자는 고유한 IAM 사용자 갖게 됨
• 계정에 액세스해야 하는 모든 사용자의 IAM 사용자를 생성하면 인증이 처리됨
• 적절한 자격 증명을 사용하여 로그인했기 때문에 인증으로 본인이 맞는지 확인하는 것

---

권한 부여

• 인증 후
• AWS 리소스 생성 관리 시도할 때 올바른 권한이 있는지 확인
• 할 수 있거나 없는 것을 권한을 통해 제어하는 것
• IAM으로 인증은 됐지만 권한 부여는 ❌
• AWS 내의 모든 작업 ➡ API 호출

---

IAM

루트 계정 사용 대신 IAM이용

• AWS 계정 및 리소스에 대한 액세스 관리 서비스
• 중앙 집중식 보기 제공
  • AWS 계정 내 허용되는 사람, 작업(인증)
  • 리소스 사용할 권한이 있는 사람, 작업(권한 부여)
• 액세스 키 or 암호 세트 공유 ❌ ➡ AWS 계정 및 리소스 액세스 권한 공유 가능
• 세분화된 액세스 권한 만 제공 가능

---

IAM 기능

액세스 제어, 자격 증명 관리 위해 IAM은 보안을 보장하는 다양한 기능 제공

• IAM은 글로벌이며 특정 리전에만 국한되지 않습니다. AWS 관리 콘솔에서 모든 리전의 IAM 구성을 보고 사용할 수 있습니다.
• IAM은 기본값으로 여러 AWS 서비스와 통합됩니다.
• IAM에서 암호 정책을 설정하여 사용자의 복잡성 요구 사항과 의무적인 교체 주기를 지정할 수 있습니다.
• IAM은 MFA를 지원합니다
• IAM은 자격 증명 연동을 지원합니다. 이 연동을 사용하면 기업 네트워크 또는 인터넷 자격 증명 공급자와 같은 다른 곳에 이미 암호가 있는 사용자가 AWS 계정에 임시로 액세스할 수 있습니다.
• 모든 AWS 고객은 IAM을 사용할 수 있습니다. 이 서비스는 추가 비용 없이 제공됩니다.

---

IAM 사용자

• AWS와 상호 작용하는 사람 또는 서비스
• AWS 계정에서 사용자 정의 ➡ 해당 사용자가 계정 내 AWS 리소스 액세스
• 사용자가 수행한 모든 활동은 계정에 비용 청구
• 계정에 사용가 추가 가능 ➡ 고유한 자격 증명 필요
  • 로그인 자격 증명, 자격 증명 공유 방지

---

IAM 사용자 자격 증명

IAM 사용자 구성 : 이름 + 일련의 자격 증명

• AWS 관리 콘솔에 대한 액세스 권한 제공
• AWS CLI, AWS API에 대한 프로그래밍 방식 액세스 권한 제공
• IAM 사용자 자격 증명
  • 영구적인 것으로 간주
  • 사용자 Level에서 직접 권한 부여

---

IAM 그룹

IAM 사용자 그룹화, 그룹 수준에서 권한 연결 방법

• 그룹에 할당된 권한 ➡ 그룹에 속한 모든 사용자에게 상속
• 한 번에 여러 사용자에게 권한 부여 가능 ➡ 편리, 높은 확장성

---

IAM 그룹

IAM 사용자 그룹화, 그룹 수준에서 권한 연결 방법

• 그룹에 할당된 권한 ➡ 그룹에 속한 모든 사용자에게 상속
• 한 번에 여러 사용자에게 권한 부여 가능 ➡ 편리, 높은 확장성

---

IAM 정책

IAM에서 권한을 부여하는 방법

• 새 IAM 자격 증명 ➡ 사용자가 명시적으로 권한을 부여할 때까지, AWS 계정 내 아무 작업도 수행할 수 ❌
• IAM 정책 생성
  • 액세스를 관리, AWS 서비스 및 리소스에 대한 권한을 제공
  • IAM 사용자, 그룹 및 역할에 연결
• 사용자 or 역할 요청 ➡ AWS는 이와 관련된 정책을 평가 ➡ 요청 허용 OR 거부

---

IAM 정책 예제

• 대부분의 정책은 여러 정책 요소가 포함된 JSON 문서로 저장

{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}]
}

정책의 4가지 JSON 주요 요소

1. 버전 : 정책 언어의 버전을 정의합니다. AWS가 정책을 처리하는 데 필요한 언어 구문 규칙을 지정합니다. 사용 가능한 모든 정책 기능을 사용하려면 정책의 “Statement” 요소 앞에 **"Version": "2012-10-17"**을 포함하십시오.
2. Effect : 문이 액세스를 허용할지 또는 거부할지 여부를 지정합니다. 이 정책에서 효과는 **‘허용’**입니다. 즉, 특정 리소스에 대한 액세스 권한을 제공한다는 의미입니다.
3. 작업 : 허용 또는 거부해야 하는 작업 유형을 설명합니다. 예제 정책에서 작업은 **“*”**입니다. 이를 와일드카드라고 하며, AWS 계정 내의 모든 작업을 나타내는 데 사용됩니다.
4. 리소스 :정책 문에서 다루는 객체를 지정합니다. 정책 예제에서 리소스는 와일드카드 **“*”**입니다. 이는 AWS 콘솔 내부의 모든 리소스를 나타냅니다.

---

보다 세분화된 IAM 정책

{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"iam: ChangePassword",
"iam: GetUser"
]
"Resource": "arn:aws:iam::123456789012:user/${aws:username}"
}]
}

• IAM 사용자 ➡ 자신의 IAM 암호(iam:ChangePassword) 변경
• 자신의 사용자(iam:GetUser)에 대한 정보를 얻음
• 리소스 : 변수 대체 ${aws:username} ➡ 액세스 제한, 사용자가 자신의 자격 증명에만 액세스

---

정책 구조

---

리소스

• 외부 사이트: IAM이란 무엇입니까?
• 외부 사이트: AWS IAM 자격 증명
• 외부 사이트: AWS IAM을 사용한 액세스 관리

---

1-7) AWS에서의 역할 기반 액세스

IAM Roles

• AWS 자격 증명에 대한 임시 액세스가 필요한 사람이 수임할 수 있는 자격 증명
• 정해진 로그인 자격 증명(사용자 이름, 암호)이 없음

AWS 자격 증명

• AWS API호출은 서명, 인증 필요

---

IAM 모범 사례

1. AWS 루트 사용자 잠그기

루트 사용자는 AWS 계정의 전지전능한 자격 증명입니다. 
악의적인 사용자가 루트 사용자 자격 증명을 제어하는 경우 개인 정보 및 결제 정보를 포함하여 계정의 모든 리소스에 액세스할 수 있습니다. 

• 루트 사용자와 연결된 자격 증명을 공유하지 않음
• 루트 사용자 액세스 키 삭제를 고려
• 루트 계정에서 MFA 활성화

---

2. 최소 권한 원칙을 따름

최소 권한은 특정 작업을 수행하는 데 필요한 권한만 부여하도록 권장하는 표준 보안 원칙입니다. 
액세스 제어에 대한 최소 권한을 구현하려면 IAM 정책의 최소 권한 집합부터 시작한 다음 필요에 따라 사용자, 그룹 또는 역할에 추가 권한을 부여합니다.

---

3. 적절하게 IAM 사용

IAM은 AWS 계정 및 리소스에 대한 액세스를 보호하는 데 사용됩니다. 
단일 AWS 계정에서 리소스에 액세스하기 위해 사용자, 그룹 및 역할을 생성하고 관리하는 방법을 제공합니다.
IAM은 웹 사이트 사용자에게 로그인 및 가입 기능을 제공하는 것과 같이 웹 사이트 인증 및 권한 부여에 사용되지 않습니다. 
또한 IAM은 운영 체제 및 네트워크 보호를 위한 보안 제어도 지원하지 않습니다.

---

4. 가능한 경우 IAM 역할 사용

역할을 유지 관리하는 것이 사용자를 유지 관리하는 것보다 더 효율적입니다. 
역할을 수임하면 IAM은 15분~36시간 사이로 정의된 기간이 경과하면 만료되는 임시 자격 증명을 동적으로 제공합니다. 
반면에 사용자는 사용자 이름 및 암호 조합 또는 액세스 키 세트의 형태로 장기 자격 증명을 보유합니다.

사용자 액세스 키는 사용자 또는 계정 관리자가 키를 교체할 때만 만료됩니다. 
사용자가 암호를 강제로 교체하도록 하는 암호 정책을 계정에 적용하면 사용자 로그인 자격 증명이 만료됩니다.

---

5. 자격 증명 공급자 사용을 고려

고양이 사진 애플리케이션을 비즈니스로 개발하기로 결정하여 여러 명이 작업하기 시작한 경우 자격 증명 공급자(IdP)를 통해 직원 자격 증명 정보를 관리하는 것이 좋습니다. 
IdP를 사용하면 AWS Single Sign-On과 같은 AWS 서비스이든 서드 파티 자격 증명 공급자든 조직의 모든 자격 증명에 대해 신뢰할 수 있는 단일 소스를 제공합니다.

더 이상 AWS에서 별도의 IAM 사용자를 생성할 필요가 없습니다. 
대신 IAM 역할을 사용하여 IdP에서 연동된 자격 증명에 대한 권한을 제공할 수 있습니다. 

예를 들어 여러 AWS 계정에 액세스할 수 있는 직원인 Martha가 있습니다. 
각 AWS 계정에 Martha라는 여러 IAM 사용자를 생성하고 관리하는 대신 회사의 IdP에서 Martha를 관리할 수 있습니다. 
Martha가 회사 내에서 직무를 변경하거나 퇴사하는 경우 회사의 모든 AWS 계정이 아닌 IdP에서 Martha를 업데이트할 수 있습니다.

---

6. AWS Single Sign-On을 고려

조직에 많은 직원이 있고 여러 AWS 계정을 사용하는 경우 직원이 단일 자격 증명으로 로그인하도록 할 수 있습니다.

AWS SSO는 사용자가 단일 자격 증명 모음으로 사용자 포털에 로그인할 수 있도록 하는 IdP입니다. 
그런 다음 중앙 위치에서 사용자에게 할당된 계정 및 애플리케이션에 대한 액세스 권한을 제공합니다.

IAM과 비슷합니다.
AWS SSO는 사용자를 생성하고, 사용자를 그룹으로 구성하고, 그룹 전체에서 권한을 설정하고, AWS 리소스에 대한 액세스 권한을 부여할 수 있는 디렉터리를 제공합니다. 
그러나 AWS SSO는 IAM에 비해 몇 가지 장점이 있습니다. 
예를 들어 서드 파티 IdP를 사용하는 경우 사용자 및 그룹을 AWS SSO에 동기화할 수 있습니다. 
그러면 다른 곳에 이미 존재하는 사용자를 다시 생성해야 하는 부담을 없애고 IdP에서 사용자를 관리할 수 있습니다. 
더 중요한 것은 AWS SSO는 IdP와 AWS 간에 직무를 분리하여 클라우드 액세스 관리가 IdP 내부에 있거나 IdP에 의존하지 않도록 합니다.

---

리소스

• 외부 사이트: AWS: IAM 보안 모범 사례
• 외부 사이트: AWS: AWS Single Sign-On 내에서 사용자를 생성하고 관리하는 방법

---

모듈 1 지식 확인

#1 리전을 선택할 때 고려해야 할 4가지 주요 요소는 무엇입니까?

 

✔ 대기 시간, 가격, 서비스 가용성, 규정 준수

애플리케이션과 워크로드를 호스트할 AWS 리전을 결정할 때 대기 시간, 가격, 서비스 가용성, 규정 준수의 4가지 주요 측면을 고려해야 합니다.
AWS 리전을 선택할 때 이러한 요소에 중점을 둡니다.

---

#2 다음 중 리전, 가용 영역 및 데이터 센터 간의 관계를 가장 잘 설명하는 것은 무엇입니까?

 

✔ 리전은 가용 영역의 클러스터입니다. 가용 영역은 데이터 센터의 클러스터입니다.

AWS 글로벌 인프라는 고가용성 및 이중화를 위해 중첩되어 있습니다.
AWS 리전은 고가용성의 중복 고속 링크를 통해 연결되는 가용 영역의 클러스터이며,
가용 영역은 고가용성의 중복 고속 링크를 통해 연결되는 데이터 센터의 클러스터로 구성됩니다.

---

#3 다음 중 클라우드 컴퓨팅의 이점은 무엇입니까?

 

✔ 몇 분 만에 전 세계에 배포

클라우드 컴퓨팅에는 6가지 주요 이점이 있습니다.
이 질문에 대한 정답은 ‘몇 분 만에 전 세계에 배포’입니다. 단 몇 분 만에 전 세계에 배포는 몇 번의 클릭만으로 전 세계 여러 리전에 애플리케이션을 배포할 수 있다는 의미입니다.

---

#4 다음 중 AWS 루트 사용자를 보호할 때 모범 사례는 무엇입니까? (2개 선택)

 

✔ 루트 사용자에 멀티 팩터 인증(MFA)을 사용

✔ 루트 사용자와 연결된 액세스 키를 사용 중지 또는 삭제

액세스 키(액세스 키 ID 및 비밀 액세스 키)를 사용하여 프로그래밍 방식으로 AWS에 요청을 할 수 있습니다.
그러나 AWS 계정 루트 액세스 키는 사용하지 마십시오.
AWS 계정 루트 사용자에 대한 액세스 키는 결제 정보를 포함하여 모든 AWS 서비스의 전체 리소스에 대해 완벽한 액세스 권한을 부여합니다.
AWS 계정 루트 사용자 액세스 키와 관련된 권한은 줄일 수 없습니다.
따라서 신용카드 번호 또는 다른 중요한 기밀 정보와 같이 마찬가지로 루트 사용자 액세스 키를 보호해야 합니다. 루트 사용자와 연결된 액세스 키를 사용 중지하거나 삭제해야 하며 루트 사용자에 MFA를 사용해야 합니다.