3 분 소요

ACC 내부에서 SAA-C03 스터디장을 맡아 스터디를 진행하게 되었다. 유데미 관련 강의를 듣고 덤프를 풀며 자격증 시험을 준비하려고 한다!

유데미 강의는 @Stephane Maarek 강사님의 강의(2026년 버전)을 구매하였다.

유데미 강의를 듣고 나서는 Aws Certified Developer나 SysOps Admin 강의로 넘어간다고 한다.

4/4

AWS

  • cloud provider
    • provides servers & services on demand and scale easily
  • 아마존이나 넷플릭스 같은 웹사이트를 지원함
  • 아마존 내부에서 it 부서를 외부화하여 독립하였음 (SQS를 출시), SQS s3와 ec2로 확장하고 유럽으로 사업 확장
  • Gartner에서 조사한 결과 시장의 최상위권..임을 알 수 있음
  • 정교하고 확장 가능성 있는 애플리케이션의 설계 및 여러 산업에 적용 가능함

AWS Global infrastructure

  • AWS Regions
    • 지역 코드가 존재함, 데이터 센터의 클러스터를 의미
    • most aws services are region scoped
    • 지역을 어떻게 선택해야 하는가?
      • compliance with data governance and legal requirements ) 국가의 경계 안에 데이터를 배치하고 애플리케이션을 시작
      • latency, proximity to customers ) 가까이 있으면 레이턴시 감소
      • avaliable services within a region ) 앱에 서비스를 활용하는 경우 해당 지역에 서비스를 제공하는지 확인 할 것
      • pricing ) 지역별로 가격이 다르며 웹페이지에 명시되어 있음
  • AWS Avaliability Zones
    • 각 리전은 AZ 주로 3개를 가짐 (max 6)
    • 각각의 az는 하나 이상의 데이터센터를 가짐
    • 한개의 az에 문제가 생기면 다른 곳으로 우회가 가능함(isolated from disasters)
    • redundant power, networking, connectivity
    • 각각은 high bandwidth, ultra-low latency networking으로 연결되어있다
  • AWS Data Centers
  • AWS Edge Locations / Points of Presence
    • 400포인트 이상 PoP가 존재하며 (400개 이상의 Edge Locations + 10개 이상의 Regional Caches) 국가 90개 이상, 40개의 도시에 걸쳐 존재한다
    • 엔드유저에게 빨리 전달하는데에 있어서 도움이 됨
  • Global Service로는 IAM, Route53, CloudFront(Content Delivery Network), WAF(Web Application Firewall)
    • 리전과 관계없이 글로벌 스코프로 동작하는 경우
  • Region-scoped Service로는 EC2(Infrastructure as a service), Elb(platform as a service), Lambda(Function as a service), Rekognition(Software as a service)
    • 지역별로 제공하는 서비스 availability가 다름

IAM

  • identity and access management
  • Global Service
  • 루트 계정이 기본적으로 생성됨
    • 하지만 사용자를 생성해서 사용하는 것을 보안측에서 권장
  • 매 사용자를 User로 만들 수 있으며, Group으로 묶는 것도 가능함
    • 그룹 내에 그룹을 포함할 수 없음
  • 그룹에 속하지 않은 사용자도 있으나 모범 사례는 아님

  • 한 유저는 여러 그룹에 속할 수 있음

  • 사용자와 그룹이 왜 필요한가 ? Permissions
    • 사용 권한은 JSON documents called policies로 관리
    • Effect, Action, Resource로 사용자가 할 수 있는 일들을 관리함 (define permissions)
    • Least Privilege Principle(최소 권한 정책)을 적용하도록 함 ; 유저가 필요한 권한 이상으로 부여하지 말 것을 말함

핸즈온

  • tag로는 부서 및 직함등을 관리하는 예시가 있었음
  • alias를 사용해서 로그인 주소를 간소화 할 수 있음
  • 두개의 세션을 사용하기 위해 멀티 세션을 활성화 하는 예시(multi-session support)

IAM policies

  • inheritance

  • 그룹 레벨에 정책을 부여하는 것(각 user는 policy를 inherit함)

  • 그룹에 속해있지 않은 유저에게 inline으로 정책을 부여하는 것

  • policy structure
    • version ) 2012-10-17
    • id ) 정책을 확인하는 identifier (optional)
    • statement ) one or more individual statements (required)
      • Sid ) 구문의 identifier, optional
      • Effect ) whether the statement allow or denies access(Allow, Deny)
      • Principal ) 정책을 적용할 account, user, role
      • Action ) 해당 정책이 허용하거나 금지할 동작의 list
        • “iam:Get*“처럼 작성하면 와일드카드처럼 작동함
        • API call의 목록과도 동치인 듯
      • Resource ) 동작이 적용될 자원의 List(e.g bucket)
      • Condition ) 적용될 condition을 정의함(optional)

시험에는 effect, principal, action, resource를 이해할 것 !

4/5

Password policy for IAM

  • strong passwords for higher security
  • aws에서 password policy를 설정할 수 있음
    • minimum password length 설정
    • require specific character types
      • uppercase, lowercase, numbers, non-alphanumeric characters
    • allow all IAM users to change their own pw
    • require users to change pw after sometime(expiration)
    • pw re-use preventation

Multi Factor Authentication (MFA)

  • 관리자일 경우 구성을 바꾸거나 리소스를 삭제할 수 있는데 모든 루트 계정과 IAM 계정을 보호해야 함
  • MFA = password you know + security device you own
    • 암호보다 더 큰 보안을 가진다.
    • pw가 도난당하거나 해킹당해도 기기를 확보할 수 없으면 접근이 불가능함
  • MFA device option -** Virtual MFA Advice** ; support for multiple tokens on a single device
    • google authenticator
    • authy
    • Universal 2nd Factor(U2F) Security key ; support for multiple root and IAM users using a single security key
      • YubiKey by Yubico(3rd party)
    • Hardware Key Fob MFA Device
      • provided by Gemalto(3rd party)
    • Hardware Key Fob MFA Device for AWS GovCloud(US)
      • provided by SurepassId(3rd party)

AWS Access Keys, CLI, and SDK

  • AWS Management Console (protected by password + MFA)
  • AWS Command Line Interface(CLI): protected by access keys
    • 커맨드라인의 셸을 이용해서 aws service command를 사용하게 하는 tool
    • direct access to the public apis of aws services
    • open-source
    • 콘솔의 대체
  • AWS Software Developer Kit(SDK): for code, protected by access keys
    • 프로그래밍 언어 각각에 해당하는 Language-specific API들이 있음
    • AWS 서비스에 대한 access 와 management 를 가능하게 함(programmatically)
    • 응용 프로그램 안에 embedded되어 사용함
      • 일반 SDK(자바, 파이썬, 루비 등)
      • 모바일 SDK(안드로이드, iOS)
      • IoT 기기 SDK(embedded c, Arduino)
  • access keys ; generated thru the AWS console
    • user들이 자체적으로 관리함, secret 이므로 공유하면 안됨
    • access key id = username
    • secret access key = password

20강까지봣움 ~~

태그: ,

카테고리:

업데이트:

참고