AWS 기초, 용어정리(4)

<1> VPC
<2> VPC  보안
<3> ELB (Elastic Load Balancing)
<4> Route 53 =  네임서버
<5> 공동 책임 모델
<6>  IAM  (Identity and Access Management)
<7>  IAM의 정책 유형  2가지
<8>  서비스 추적   AWS CloudTrail

 

<1>  VPC

Virtual Private Cloud,
AWS 클라우드 시스템이라 하면, 기본적인 네트워크 인프라를 AWS에서 제공하는 서비스, 솔루션들을 가지고 조합하여 구성하는 클라우드 시스템이 되는데, 이를 활용하려면,
AWS 서비스나 요소, 단어를 별도로 공부해야 하는 수고가 필요하다.
AWS만의 의미로 지은 것을 이해하고 외워야 사용이 가능하다.
VPC 같은 경우는 이런 요소들을 가지고 구성한 개인용 가상 네트워크를 말한다.

 

<2> VPC  보안

AWS 제공

예전부터 걱정거리 및 단점으로 나왔던 클라우드의 보안 이슈 문제를 AWS에서 대처하는 방법

1차 VPC 라우팅 테이블

2차 네트워크 ACL을 통한 서비넷 단위 보안 설정.

3차 EC2 서버 단위 보안 =  보안 그룹

4차 서드파트 호스팅 기반 보안 제품 (선택)

 

<3> ELB (Elastic Load Balancing)

4개의 로드밸런서가 있음.
NLB - L4 Network Load Balancer,  로드 밸런서가 연결 요청을 받으면 기본 규칙의 대상 그룹에서 대상을 선택합니다. 리스너 구성에 지정된 포트에서 선택한 대상에 대한 TCP 연결을 열려고 시도합니다.
ALB - L7 Application Load Balancers, 개방형 시스템 간 상호 연결(OSI) 모델의 일곱 번째 계층인 애플리케이션 계층에서 작동합니다. 로드 밸런서는 요청을 받으면 우선 순위에 따라 리스너 규칙을 평가하여 적용할 규칙을 결정한 다음, 규칙 작업의 대상 그룹에서 대상을 선택합니다.
GWLB -게이트웨이 로드밸런서, 주로 방화벽 구축 시 사용
CLB (클래식) - 거의 사용하지 않음.

 

<4> Route 53 =  DNS 서버, 네임서버

네임서버 = 도메인을 관리하는 서버
일반적으로 웹서버의  VIP(Virtual IP, 가상IP)를 도메인으로 등록한다.
사용자가 해당 네임서버의 정보로 사이트에 접속한다.

통신 흐름?

사용자 데이터 유입, 인터넷 게이트웨이를 통해 통신한다.
ELB에 도메인이 매칭되어 있어  ELB 접속.
ELB아래의 서버에 접속한다.

AWS 제공

DNS 등록 할떄는 서버 IP를 등록하는게 아니라, ROUTE53에 ELB VIP(로드벨런서 가상IP)를 등록 한다. 
서버 IP가 아니다.

 

<5>  공동 책임 모델

AWS에서 인프라 서비스를 제공받고 사용하는데 이슈가 있을 경우 책임을 따지는 선이 있다.
기초 서비스와 글로벌 인프라는 AWS 책임이다.
고객의 데이터, 암호, 애플리케이션, 인증 등은 고객의 책임이다.
인프라 장애 났을때 데이터 유실 같은건 책임지지 않는다는 것으로 보인다.

AWS 제공

 

<6>  IAM  (Identity and Access Management)

- IAM은 AWS 리소스에 대해 액세스를 안전하게 제어

사용자, 그룹, 역할에 맞는 권한 할당을 한다.
인증과 권한 부여를 한다.
인증은 로그인 계정, 권한부여(인가)는 리소스 사용(생성, 삭제, 변경)할 수 있는 권한부여 한다.

- 정책

정책 = 권한, 계속 제공되는 권한이다.
디비를 생성하는 권한, 삭제하는 권한
S3를 생성하는 권한

- 역할

AWS리소스에도 할당 가능하다.
EC2등에 할당 가능하다. 사용자가 해당 EC2에 들어가면 해당 역할을 가지게 된다.
정책을 역할에 할당한다.
임시로 자격증명이 제공된다.

예를 들어 람다 사용의 경우, 사용자 ---S3--- 람다(이미지 변환 코딩)----S3(변환된 이미지) 구성에서
람다는 S3에 데이터를 올릴 수 있는 권한이 있어야 한다.
그래서 람다는 잠시 S3 사용 역할을 가진다.

 

<7>  IAM의 정책 유형  2가지

- 자격증명 기반 정책

IAM 사용자, 그룹, 역할과 같은 자격증명 기반 정책.

- 리소스 기반 정책

S3와 같이 리소스별로 권한을 부여해  제어하는 리소스 기반 정책.

 

<8>  서비스 추적   AWS CloudTrail

AWS  계정의 사용자 활동과 API 사용 추적이 된다. 
모든 API 사용 로그가 남는다.
S3 버킷에 로그가 남는다.
감사 자료로 활용 가능하다.