AWS Cloud Practitioner Essentials 정리 - 5

AWS 공동 책임 모델

· 리소스를 안전하게 유지할 책임은 고객과 AWS 둘 다에게 있음

- 고객: 클라우드 자체의 보안 (클라우드 내에서 생성하고 배치하는 모든 것의 보안을 책임짐)

- AWS: 클라우드 내부의 보안 (인프라 계층, 데이터 센터의 물리적 보안과 같은 영역을 포함)

IAM

· IAM은 회사의 고유한 운영 및 보안 요구사항에 따라 액세스 권한을 구성할 수 있는 유연성을 제공
· 이를 수행하기 위해 IAM 기능을 조합하여 사용

  1) IAM 사용자, 그룹 및 역할

  2) IAM 정책

  3) MFA

 

- AWS 계정 루트 사용자: AWS 계정을 만들 때 사용한 이메일 주소 및 암호로 로그인, 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가짐 (일상 작업 시 루트 계정 사용 X)

 

- IAM 사용자: AWS에서 생성하는 자격 증명, AWS 서비스 및 리소스와 상호 작용하는 사람 또는 애플리케이션을 나타냄, 필요한 권한을 부여해 주어야함 (각 사용자마다 IAM 사용자를 생성하는 것 권장)

 

- IAM 정책: AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 JSON 문서 (최소 권한 보안 원칙을 따라야 함)

 

- IAM 그룹: IAM 사용자의 모음, 그룹에 IAM 정책을 할당하면 해당 그룹의 모든 사용자에게 정책에 지정된 권한이 부여됨

 

- IAM 역할: 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명 (서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여하는 상황에 이상적)

 

- MFA: 로그인 이후 추가 보안 계층

AWS Organizations

· 회사에 여러 AWS 계정이 있다고 가정했을 때, 중앙 위치에서 여러 계정을 통합하고 관리할 수 있는 서비스

- 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성

- 서비스 제어 정책 (SCP)를 사용하여 중앙 제어

- 조직 단위 (OU)로 그룹화 하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 쉽게 관리, OU의 모든 계정이 OU 정책에 지정된 권한을 자동으로 상속

AWS Artifact

· AWS 보안 및 규정 준수 보고서 및 일부 온라인 계약에 대한 온디맨드 액세스를 제공하는 서비스

  1) AWS Artifact Agreement: 회사에서 AWS 서비스 전체에서 특정 유형의 정보를 사용하기 위해 AWS와 계약을 체결할 때 수행

  2) AWS Artifact Reports: 회사의 개발 팀원 한명이 애플리케이션을 빌드하는 도중 특정 규제 표준을 준수하기 위한 책임에 대한 추가 정보가 필요할 때 조언

AWS Shield

· DDos 공격으로부터 애플리케이션을 보호하는 서비스

  1) Standard: 고객을 자동으로 보호하는 무료 서비스

  2) Advanced: 상세한 공격 진단 및 정교한 탐지가 가능한 유료 서비스

- 서비스 거부 공격 (DoS): 사용자들이 웹 사이트 또는 애플리케이션을 이용할 수 없게 만들려는 의도적인 시도, 공격이 단일 소스로부터 발생

- DDoS: 여러 소스를 사용하여 공격하는 DoS

AWS 추가 보안 서비스

- KMS (Key Management Service): 암호화 키를 사용하여 저장 시 암호화 및 전송 중 암호화 실행, 키에 액세스 제어를 특정 수준으로 선택할 수 있음

- WAF: 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이션 방화벽, CloudFront와 Load Balancer와 함께 작동, 리소스 보호를 위해 웹 ACL (액세스 제어 목록) 사용

- Amazon Inspector: 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스

- Amazon GuardDuty: AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스, 환경 내 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협 식별

Amazon CloudWatch

· 다양한 지표를 모니터링 및 관리하고 해당 지표의 데이터를 기반으로 경보 작업을 구성할 수 있는 웹 서비스

- 지표를 사용하여 리소스의 데이터 포인트를 나타내며, 시간 경과에 따른 변화를 그래프로 자동 생성

- CloudWatch 경보: 지표의 값이 미리 정의된 임계값을 상회 또는 하회할 경우 자동으로 작업을 수행하는 경보를 생성 (ex. EC2 CPU 사용률 등)

Amazon CloudTrail

· 계정에 대한 API 호출 기록, 작업 로그라고 생각

- 애플리케이션 및 리소스에 대한 사용자 활동 및 API 호출의 전체 내역을 볼 수 있음

- CloudTrail Insight: CloudTrail이 AWS 계정에서 비정상적인 API 활동을 자동으로 감지할 수 있음

AWS Trusted Advisor

· AWS 환경을 검사하고, 모범 사례에 따라 실시간 권장 사항을 제시하는 웹 서비스

- 비용 최적화, 성능, 보안, 내결함성, 서비스 한도라는 5개 범주에서 모범 사례와 비교

- 대시보드의 기호는 다음을 의미

  1) 녹색 체크 표시는 문제가 감시되지 않은 항목의 수

  2) 주황색 삼각형 표시는 권장 조사 항목 수

  3) 빨간색 원 표시는 권장 조치 수