AWS SAA 자격증 개념 총 정리

 

컴퓨팅과 컨테이너 그리고 서버리스

 
 
1. Compute (컴퓨팅)
'컴퓨팅'은 가상 서버를 빌리거나 특정 계산 작업을 처리하는 등, AWS의 핵심적인 연산 능력을 다루는 서비스 그룹입니다

---

Amazon EC2 (Elastic Compute Cloud)

• 개념: AWS 클라우드에서 사용하는 가상 서버(VM)입니다
• 핵심: 가장 기본적인 IaaS(Infrastructure as a Service)로, 사용자가 OS부터 모든 것을 직접 설치하고 제어해야 합니다
• Elastic Fabric Adapter(EFA): 고성능 네트워크 인터페이스, HPC(고성능 컴퓨팅)  및 ML(머신 러닝)
• 향상된 네트워킹을 사용하면 ENA를 사용하여 EC2간 지연이 줄어듦
• 클러스터 배치 그룹으로 배치하면 EC2간 지연이 줄어듦(한 AZ에 인접 배치)
• 분산 배치 그룹으로 배치하면 인스턴스가 각각의 고유한 하드웨어에 저장
• 최대 절전모드를 활성화하면 로드가 빠름

★┣ EC2 Pricing Plans (요금제)

• On demand (온디맨드): 약정 없이 사용한 시간(초 단위)만큼만 비용을 지불합니다 유연하지만 가장 비쌉니다
• Spot Instance (스팟 인스턴스): AWS의 남는 컴퓨팅 용량을 경매 방식으로 최대 90%까지 저렴하게 사용합니다 AWS가 2분 전 통보 후 인스턴스를 회수할 수 있으므로, 장애에 유연한(fault-tolerant) 작업에 적합합니다
• Reserved Instance (예약 인스턴스): 1년 또는 3년 사용을 약정하고 온디맨드 대비 큰 폭의 할인(최대 72%)을 받습니다 항상 켜져 있는 DB 서버처럼 사용량이 예측 가능할 때 유리합니다(+ 다양한 사이즈 = 세이빙 플랜)
• Dedicated Instance (전용 인스턴스): 한 고객(계정) 전용의 물리적 하드웨어에서 실행되는 EC2입니다 하드웨어를 공유하지 않아야 하는 라이선스나 규정 준수(compliance) 요건이 있을 때 사용합니다
• 컴퓨팅 절약플랜: 넓은 범위( EC2, Fargate, Lambda 등 다양한 컴퓨팅 서비스), 높은 유연성, EC2 절약 플랜보다 할인율이 낮음

 
★┗ Auto Scaling (오토 스케일링)

• 개념: 트래픽(수요)이나 특정 지표(예: CPU 사용률, 시간대, 사용자 수 등)에 따라 EC2 인스턴스 수를 자동으로 늘리거나(Scale-out) 줄이는(Scale-in) 기능입니다
• 핵심: 고가용성(High Availability)과 탄력성(Elasticity)을 구현하는 핵심 서비스입니다
• EC2 외의 서비스에서도 사용
• 예측 확장(Predictive Scaling): 과거의 워크로드 추세 데이터를 기계 학습(ML)을 사용하여 분석하고, Auto Scaling Group(ASG)에 필요한 용량을 미리 예측하여 인스턴스를 프로비저닝하는 확장 정책
• 대상 추적(Target Tracking): 사용자가 정의한 특정 지표(Metric)를 지정된 목표 값으로 유지하기 위해 용량을 동적으로 조정하는 확장 정책입니다
• 웜 풀(Warm Pool)은 인스턴스를 최대 절전 모드나 중지(Stopped) 상태로 미리 준비해 두는 기능

AWS Batch

• 개념: 대규모 배치(일괄) 컴퓨팅 작업을 위한 완전 관리형 서비스입니다
  • 핵심: 수천 개의 작업 큐를 관리하고, 최적의 수량과 유형(EC2, 스팟)으로 컴퓨팅 리소스를 동적으로 프로비저닝하여 작업을 실행합니다 
  • 스팟 인스턴스를 사용하는 옵션도 제공

AWS Elastic Beanstalk

• 개념: 개발자가 코드만 업로드하면, AWS가 인프라(EC2, 로드 밸런서, 오토 스케일링 등)를 자동으로 구성하고 배포해주는 PaaS (Platform as a Service)입니다
• 핵심: 인프라 관리에 신경 쓰고 싶지 않은 개발자에게 가장 빠른 배포 환경을 제공합니다

AWS Outposts

• 개념: AWS의 하드웨어와 서비스를 고객의 온프레미스(자체 데이터 센터)에 그대로 설치하여 사용하는 하이브리드 클라우드 서비스입니다
• 핵심: 데이터가 외부에 나가면 안 되는 규제(Data Residency)나, 공장 등 현장에서의 초저지연(Ultra-low latency)이 필요할 때 사용합니다

AWS Serverless Application Repository

• 개념: 서버리스 애플리케이션(주로 Lambda 함수)을 검색하고, 공유하며, 배포할 수 있는 마켓플레이스입니다

VMware Cloud on AWS

• 개념: 기존 온프레미스에서 사용하던 VMware 환경을 AWS의 전용 하드웨어에서 그대로 실행하는 서비스입니다
• 핵심: 기존 VMware 워크로드를 코드 변경 없이 가장 빠르고 쉽게 AWS로 마이그레이션("Lift-and-Shift")할 때 사용합니다

AWS Wavelength

• 개념: 5G 통신사 엣지(Edge)에 AWS 컴퓨팅 리소스를 배포하는 서비스입니다
• 핵심: 5G 모바일 기기에서 발생하는 애플리케이션 트래픽이 인터넷을 거치지 않고 5G 네트워크 내에서 바로 처리되어, 10밀리초 미만의 초저지연을 구현합니다

Container (컨테이너)
'컨테이너'는 애플리케이션을 필요한 모든 파일과 함께 패키징하는 기술입니다 이 그룹은 Docker와 같은 컨테이너를 대규모로 관리(Orchestration)하는 서비스들입니다

---

★ Amazon ECS (Elastic Container Service)

• 개념: AWS 고유의 컨테이너 오케스트레이션(조정) 서비스입니다
• 핵심: Docker 컨테이너를 클러스터 환경에서 쉽게 배포, 관리, 확장할 수 있게 해줍니다 AWS 서비스(IAM, VPC, ELB 등)와 통합이 매우 잘 되어 있습니다
• ECS Anywhere: ECS의 관리 기능을 온프레미스(자체 서버)까지 확장하여, AWS와 온프레미스에서 동일한 방식으로 컨테이너를 관리하게 해줍니다
• 오케스트레이션을 AWS가 담당

★ Amazon EKS (Elastic Kubernetes Service)

• 개념: 오픈소스 표준인 Kubernetes(쿠버네티스)를 위한 관리형 서비스입니다
• 핵심: AWS가 복잡한 Kubernetes의 컨트롤 플레인(마스터 노드)을 알아서 관리해줍니다 사용자는 워커 노드와 애플리케이션에만 집중할 수 있습니다
• EKS Distro: EKS에서 사용하는 것과 동일한 오픈소스 Kubernetes 배포판입니다
• EKS Anywhere: EKS를 온프레미스(자체 서버)에서 직접 실행할 수 있게 해주는 버전입니다
• 오케스트레이션을 쿠버네티스가 담당
• 자체 관리형 노드(Self-Managed Nodes)를 사용하면, 사용자가 EC2 인스턴스(노드)를 직접 프로비저닝하고 유지 관리
• Amazon CloudWatch Container Insights: 컨테이너화된 애플리케이션 및 마이크로서비스에서 지표와 로그를 수집, 집계, 요약하여 모니터링하는 서비스
• EKS 클러스터의 etcd 데이터베이스에 저장되는 Kubernetes Secrets (예: 데이터베이스 암호, API 키, 토큰 등)을 암호화하여 저장 데이터 보안을 강화
• AWS Load Balancer Controller: Amazon EKS 또는 ECS 클러스터에 배포되어 Kubernetes의 Ingress나 Service 정의에 따라 Application Load Balancer (ALB) 또는 Network Load Balancer (NLB)를 자동으로 프로비저닝하고 관리하는 컨트롤러입니다
• Horizontal Pod Autoscaler: Pod(컨테이너 애플리케이션)의 CPU 사용률이나 메모리 사용량을 모니터링하기 위해 Metrics Server를 활용
• Cluster Autoscaler: 스케줄링될 충분한 컴퓨팅 리소스(노드)가 클러스터에 없을 때, Cluster Autoscaler가 자동으로 노드를 추가하여 클러스터의 크기를 조정
• Amazon VPC CNI (Container Network Interface) 플러그인: Pod가 VPC 네트워크의 유효한 사설 IP 주소를 가질 수 있도록 합니다. 플러그인 설정을 통해 사용자 지정 서브넷을 명시적으로 정의할 수 있으며, Pod는 이 서브넷 범위 내에서 IP를 할당받습니다.

Amazon ECR (Elastic Container Registry)

• 개념: Docker 컨테이너 이미지를 위한 프라이빗 레지스트리(저장소)입니다
• 핵심: '프라이빗 Docker Hub'라고 생각하면 쉽습니다 이미지를 안전하게 저장하고 ECS나 EKS로 빠르게 배포합니다
• 사용자가 정의된 이미지를 ECR에 저장하고 빠르게 ECS, EKS에 배포
• ECR로 푸시(업로드)될 때마다 AWS가 자동으로 해당 이미지의 CVE(취약점)를 검사

Serverless (서버리스)
'서버리스'는 서버의 존재를 신경 쓰지 않는 아키텍처입니다 서버 프로비저닝, 패치, 확장 등을 AWS가 자동으로 처리하며, 사용자는 실제 사용량에 대해서만 비용을 지불합니다
 
★ AWS Lambda

• 개념: 서버 없이 코드를 실행하는 이벤트 기반 컴퓨팅 서비스입니다
• 핵심: 특정 이벤트(예: S3에 파일 업로드, API Gateway 호출)가 발생할 때만 코드가 실행되며, 실행된 시간(밀리초 단위)만큼만 비용을 지불합니다
• APP - SNS - LAMBDA - MSG / APP - SQS - LAMBDA - DATA
• 실행 시간 (Timeout): 최대 15분 (900초) 15분 초과 작업에는 부적합합니다
• 메모리 (Memory): 128MB ~ 10GB (CPU 성능은 메모리에 비례)
• 임시 스토리지 (/tmp): 최대 10GB (실행 중 임시 파일용)
• 배포 패키지:zip (압축 시): 최대 50MB, (압축 해제 시): 최대 250MB
• 동시 실행 (Concurrency): 기본 한도 1,000개 (AWS 요청 시 상향 가능)
• Lambda@Edge는 AWS CloudFront의 엣지 로케이션(Edge Location)에서 AWS Lambda 함수를 실행할 수 있게 해주는 기능
• Lambda 환경 변수를 암호화: Lambda 함수 설정에서 "암호화 도우미"(Encryption helpers) 또는 "암호화 구성"을 활성화하고, 만든 KMS 키를 지정
• SnapStart: Java 런타임을 사용하는 Lambda 함수의 콜드 스타트(Cold Start) 지연 시간을 크게 줄여주는 성능 최적화 기능

 
Amazon API Gateway 

• Amazon API Gateway는 개발자가 REST API와 WebSocket API를 생성, 게시, 유지 관리, 모니터링 및 보호할 수 있도록 지원하는 완전 관리형 서비스입니다
• RESTful 및 WebSocket 지원: 표준 RESTful API뿐만 아니라 WebSocket API 구축을 지원합니다
• 통합: 수신된 API 호출을 AWS Lambda 함수, HTTP 엔드포인트, 또는 다른 AWS 서비스로 라우팅합니다
• 서버리스 프런트엔드: AWS가 트래픽 급증 시 확장, 로드 밸런싱, 트래픽 관리 등을 모두 처리하므로 개발자는 서버 인프라 관리가 필요 없습니다
• 보안: AWS WAF, IAM 역할, Amazon Cognito 등을 사용하여 API에 대한 액세스를 안전하게 제어합니다
• 비용 모델: 수신한 API 호출 수와 전송된 데이터 양에 대해서만 비용을 지불합니다
• 카나리아 릴리스: 새로운 버전의 API를 일부 사용자(적은 비율의 트래픽)에게만 먼저 배포하여 테스트하는 전략

 
AWS SQS (Simple Queue Service)

• 개념: 애플리케이션 간의 대기열(Queue)을 두어 메시지를 비동기적으로 주고받게 함으로써 시스템을 분리(Decouple)하는 메시징 큐 서비스입니다
• 핵심: 메시지를 생산자(Producer)가 Queue에 저장하면, 소비자(Consumer)가 Queue에서 메시지를 가져가 처리(Polling)합니다 "Polling" 기반 서비스이며, 무제한의 확장성과 처리량을 제공합니다
• 메시지 수신 방식: 소비자가 대기열에 메시지가 있는지 확인(Polling)합니다
• 전송 보장: 메시지는 소비자에게 최소 한 번 이상(at least once) 전송이 보장됩니다
  
• 대기열 유형:
  • Standard Queue: 초당 무제한 처리량, 순서(Order) 미보장, 중복 전송 가능성 있음, 최소 한 번 이
  • FIFO Queue (First-In-First-Out): 순서 보장, 중복 제거, 처리량 제한(초당 300개) 있음, 정확히 한 번
• 가시성 시간 제한 (Visibility Timeout): 소비자가 메시지를 처리하는 동안 다른 소비자가 메시지를 볼 수 없도록 숨기는 시간이며, 이 시간 내 처리에 실패하면 중복 전송될 수 있습니다
• 긴 폴링 (Long Polling): 대기열이 비어있을 때 메시지가 올 때까지 대기하여 API 호출 횟수와 지연 시간을 줄입니다
• SQS 액세스 정책: 다른 AWS 계정, 서비스(SNS, S3 등)가 특정 큐에 메시지를 보내거나 읽을 수 있도록 허용하는 JSON 정책임
• VPC 외부에 위치하며 게이트웨이 엔드포인트를 지원하지 않음, 오직 Interface Endpoint만 지원함
• ApproximateNumberOfMessages 큐의 메시지 수 나타내는 지표

 
AWS SNS (Simple Notification Service)

• 개념: 하나의 주제(Topic)에 메시지를 게시하면, 해당 주제를 구독(Subscribe)한 다수의 수신자에게 메시지를 즉시 전달하는 게시/구독(Pub/Sub) 서비스입니다
• 핵심: 메시지를 주제에 게시(Publish)하면, SNS가 구독자에게 메시지를 푸시(Push)합니다 "Push" 기반 서비스이며, 메시지 필터링을 지원합니다
• 메시지 전송 방식: 주제에서 구독자에게 메시지를 푸시(Push)합니다
• 다양한 구독자: Lambda 함수, SQS 대기열, 이메일, HTTP/S 엔드포인트, 모바일 앱 등 다수의 대상으로 전달 가능
• Fan-Out 패턴: 하나의 SNS 주제에 여러 SQS 대기열을 구독시켜, 동일한 메시지를 다수의 대기열에 동시에 보내는 패턴입니다
• FIFO Topic: SQS와 마찬가지로 FIFO 기능을 지원하여 순서 보장 및 중복 제거를 제공합니다
• VPC 외부에 위치하며 게이트웨이 엔드포인트를 지원하지 않음, 오직 Interface Endpoint만 지원함

 
Amazon EventBridge: "작업 성공" 같은 이벤트(Event)가 발생하면 대상을 호출하는 서버리스 이벤트 버스입니다 "  Lambda, SQS, SNS, API Destinations(외부 HTTP API) 등 수많은 AWS 서비스를 대상으로 이벤트를 라우팅, EventBridge + AWS Lambda로 DB 원하는 시간만 동작하게도 가
 
Amazon EventBridge Scheduler: "매 10분마다"처럼 시간(Time)을 기준으로 대상을 실행하는 서버리스 스케줄러입니다 EventBridge 규칙과 마찬가지로 Lambda, SQS, ECS Fargate 작업 등 다양한 AWS 서비스를 대상으로 지정
 
Amazon CloudWatch

• 개념: AWS 리소스와 애플리케이션의 지표(Metrics) 및 로그(Logs)를 수집, 추적하고 경보를 울리는 통합 모니터링 서비스
• 교차 계정 관측 기능: 이 기능은 AWS 계정 전반의 CloudWatch 데이터(지표, 로그)를 중앙 모니터링 계정에서 쿼리하고 시각화할 수 있도록 명시적으로 설계

 

 

 

★ AWS Fargate

• 개념: 컨테이너를 위한 서버리스 컴퓨팅 엔진입니다
• 핵심: ECS나 EKS를 사용할 때, 컨테이너를 실행할 EC2 인스턴스(워커 노드)를 직접 관리할 필요가 없습니다 Fargate가 컨테이너(태스크) 단위로 리소스를 할당하고 실행해줍니다
• EC2 비용 < Fargate 비용

★ AWS AppSync

• 개념: 관리형 GraphQL API 서비스입니다
• 핵심: 모바일이나 웹 앱이 DynamoDB, Lambda, RDS 등 여러 데이터 소스로부터 필요한 데이터를 쉽게 가져오고 업데이트할 수 있도록 유연한 API 엔드포인트를 제공합니다
• 다른 엔드포인트 요청에 대한 응답을 한 번의 요청으로도 받을 수 있음

스토리지

2. Storage
★ AWS Backup

• 개념: 다양한 AWS 서비스(EBS, EFS, RDS, DynamoDB 등)의 백업을 중앙에서 자동화하고 관리하는 서비스입니다
• 핵심: 개별 서비스가 아닌, 백업 정책(Policy)을 생성하여 여러 리소스의 백업, 보존 기간, 라이프사이클(콜드 스토리지로 이동 등)을 한곳에서 관리합니다
• 백업은 S3에 저장
• AWS Organizations 을 통해 중앙에서 데이터 정책을 배포 할 수 있음
• 관리형 솔루션: 백업 계획을 한 번만 설정하면 EFS 백업 및 리전 간 복제가 자동으로 실행됩니다

---

★ Amazon Elastic Block Storage (EBS)

• 개념: Amazon EC2 인스턴스에 연결하여 사용하는 네트워크 연결 가상 하드 디스크(블록 스토리지)입니다
• 핵심:
  • AZ 종속: EBS 볼륨은 특정 가용 영역(AZ)에 생성되며, 같은 AZ에 있는 EC2 인스턴스에만 연결할 수 있습니다
  • 1:1 연결: 기본적으로 하나의 EBS 볼륨은 하나의 EC2 인스턴스에 연결됩니다 (예외: io1/io2 볼륨의 '다중 연결' 기능)
  • 용도: EC2의 부팅 볼륨(OS 설치) 또는 데이터베이스와 같이 지속성이 필요한 단일 서버용 스토리지로 사용됩니다
  • 마치 하드디스크 같음
  • 스냅샷, 백업 제공, 자동 확장 기능

---

★ Amazon Elastic File System (EFS)

• 개념: 여러 EC2 인스턴스가 동시에 액세스할 수 있는 공유 파일 스토리지입니다 (NFS 프로토콜 사용)
• 핵심:
  • 리전 서비스: 여러 가용 영역(Multi-AZ)에 걸쳐 데이터를 저장하여 고가용성을 제공합니다
  • 자동 확장: 파일을 추가하면 자동으로 용량이 늘어나는 서버리스 서비스입니다
  • 용도: 주로 Linux 기반 서버들이 공유하는 웹 콘텐츠, 홈 디렉터리 등에 사용됩니다
  • 페타바이트 지원, NFSv4

---

★ Amazon FSx (for all types)

• 개념: EFS가 NFS(Linux)를 제공하는 것과 달리, 특정 상용/오픈소스 파일 시스템을 위한 완전 관리형 서비스입니다
• 핵심 (SAA 주요 유형):
  • FSx for Windows File Server: Windows 서버를 위한 공유 파일 스토리지(SMB 프로토콜)입니다 / Active Directory 지원
  • FSx for Lustre: 리눅스 기반, 고성능 컴퓨팅(HPC), 머신 러닝, 미디어 렌더링을 위한 초고성능 병렬 파일 시스템입니다 S3와 직접 연동하여 데이터를 빠르게 처리할 수 있습니다
  • Amazon FSx for NetApp ONTAP: 널리 사용되는 NetApp ONTAP 파일 시스템의 기능을 AWS에서 제공하며, SMB, NFS, iSCSI 프로토콜을 지원하는 완전 관리형 서비스입니다 NetApp SnapMirror 데이터 복제 기술을 지원
  • Amazon FSx for OpenZFS: OpenZFS 파일 시스템의 고성능, 데이터 관리, 스냅샷 및 복제 기능을 AWS에서 제공하며, NFS 프로토콜을 지원하는 완전 관리형 서비스입니다

---

★ ★ ★ ★ ★ ★ ★ ★ Amazon S3 (Simple Storage Service)

• 개념: 무한대에 가까운 용량을 제공하는 인터넷 기반 객체(파일) 스토리지입니다
• 핵심:
  • 객체 스토리지: 서버에 디스크처럼 연결(마운트)하는 방식이 아니라, HTTP/HTTPS (URL)를 통해 파일(객체) 단위로 액세스합니다
  • 버킷(Bucket): 객체를 저장하는 최상위 컨테이너이며, 이름은 전 세계에서 고유해야 합니다
  • 용도: 정적 웹사이트 호스팅, 백업 및 아카이브, 데이터 레이크, 애플리케이션의 이미지/동영상 원본 저장소로 사용됩니다
  • 높은 내구성, 3개 이상 AZ에 복제, 무한대 용량, 한 객체 5TB 제한
  • 같은 리전 복제(SRR), 다른 리전 복제(CRR)  → 버저닝 켜져 있어야 가능
  • IAM, Bucket, Block Public Access, Pre-Signed URLs
  • 서버측 암호화 키 SSE-S3, SSE-KMS, 클라이언트 키로 서버측 암호화(HTTPS) SSE-C
  • 클라이언트측 암호화는 키나 수명주기를 클라이언트에서 모두 관리하여 S3는 할 것이 없음
  • 정적 호스팅시 HTTPS를 하고 싶다면 클라우드 프론트를 앞에 두어야 함
  • S3 Storage Lens: AWS 계정, 리전, 완료되지 않은 멀티파트 업로드, 버킷의 스토리지 사용 및 활동에 대한 통합된 가시성을 제공하는 분석 기능입니다 이를 통해 스토리지 추세 파악, 비용 최적화 기회 식별, 그리고 권장 사항을 통한 데이터 보호 개선이 가능
  • DynamoDB의 항목당 400KB 크기 제한은 대용량 파일은 S3에 저장하고 해당 파일의 S3 URL을 DynamoDB에 저장
  • 삭제 보호(Deletion Protection): 는 테이블이 실수로 삭제되는 것을 막기 위한 보안 설정
  • EKS, ECS에서는 다중 컨테이너 동시 접근 및 이동성으로 인해 EFS 사용이 권장
  • 수명 주기 관리 정책에서 만료시간으로 객체 삭제 가능 
  • 온프레미스에서 S3 접근하는 방법: DirectConnect 구축 또는 S-T-S VPN 구축 후 인터페이스 엔드포인트로 연결
  • S3 버킷 교차 계정 액세스: S3 버킷 정책(Bucket Policy)또는 IAM 역할(Role)을 사용하여, 버킷 소유자 계정이 아닌다른 AWS 계정에게 해당 버킷과 객체에 대한 접근 권한을 안전하게 부여하는 것을 의미
  • Amazon RDS Blue/Green 배포: 현재 데이터베이스(Blue)를 안전 복제한 후(Green), 변경 사항을 적용 및 테스트하고 트래픽을 즉시 전환하여 다운타임을 최소화하는 업데이트 기능
  • AWS Transfer Family: SFTP 같은 전통적인 파일 전송 방식을 쓰지만, 파일은 S3에 저장하고 싶다 

 
SSE-C의 특징

• 서버 측 암호화: 암호화는 AWS S3 서버에서 수행됩니다 (서버 측 암호화)
• 키 관리: 키 자체는 고객이 관리하며, AWS는 암호화/복호화 요청 시에만 키를 받고 즉시 폐기하므로 AWS 클라우드에 키를 저장하지 않습니다
• 데이터 상태: 데이터가 저장 상태일 때의 보안을 담당합니다

 
S3 전송 가속 (Transfer Acceleration)

• 개념: Amazon S3 버킷과의 대용량 파일 전송 속도를 가속하는 기능입니다
• 작동 방식: 데이터를 S3 버킷으로 직접 보내는 대신, 사용자와 가장 가까운 CloudFront 엣지 로케이션으로 전송합니다
• 성능 향상: 엣지 로케이션에서 S3까지는 AWS 백본 네트워크를 통해 데이터가 이동하므로, 공용 인터넷을 사용할 때보다 속도가 훨씬 빠르고 안정적입니다
• 최대 속도: 콘텐츠 전송 속도를 최대 50%~500%까지 향상시킬 수 있어, 대규모 객체를 장거리 전송할 때 특히 유용합니다
• 활성화: 버킷 수준에서 이 기능을 활성화하여 사용할 수 있습니다

 
 
A. S3 거버넌스 모드 (Governance Mode)
보호 수준: 객체를 삭제하거나 덮어쓰지 못하도록 보호합니다

• • 핵심 차이: 특수 권한(IAM s3:BypassGovernanceRetention 권한)이 있는 사용자는 이 잠금을 무시하고 보존 기간을 변경하거나 객체를 삭제할 수 있습니다
  • 용도: 대부분의 사용자에 의한 실수 삭제를 방지하되, 신뢰할 수 있는 관리자는 객체를 관리해야 할 때 사용합니다

 
B.  S3 규정 준수 모드 (Compliance Mode)
보호 수준: 객체를 삭제하거나 덮어쓰지 못하도록 보호합니다

• • 핵심 차이: 보존 기간이 만료될 때까지 아무도 객체를 덮어쓰거나 삭제할 수 없습니다 여기에는 루트(Root) 사용자도 포함됩니다
  • 용도: 데이터가 절대 변경되어서는 안 된다는 엄격한 법적 또는 규제 요건을 충족해야 할 때 사용합니다

 
 
★ ★  Amazon S3 스토리지 클래스 (종합)
SAA 시험에 필요한 S3 스토리지 클래스의 모든 핵심 개념을 합쳐서 정리한 목록입니다
 
1. S3 Standard (스탠다드)

• 용도: 자주 액세스하는(Frequent Access) 데이터를 위한 기본 클래스입니다
• 특징: 밀리초 단위의 빠른 액세스, 높은 처리량을 제공합니다
• 가용성: 3개 이상의 AZ에 데이터를 복제하여 저장합니다

2. S3 Intelligent-Tiering (인텔리전트 티어링)

• 용도: 액세스 패턴을 알 수 없거나 예측하기 어려운 경우 사용하는 "자동화" 클래스입니다
• 특징: AWS가 자동으로 객체의 액세스 빈도를 모니터링하여 Standard(자주 사용)와 Standard-IA(가끔 사용) 계층 간에 데이터를 이동시켜 비용을 최적화합니다
• SAA 키워드: "액세스 패턴을 모른다", "비용을 자동으로 최적화"

3. S3 Standard-IA (Infrequent Access)

• 용도: 자주 사용하지 않지만 필요할 때 즉시 검색해야 하는 데이터(예: 월간 백업, 로그)를 저렴하게 저장합니다
• 특징: 저장 비용은 Standard보다 저렴하지만, 데이터를 꺼낼 때(검색) 추가 요금이 발생합니다
• 가용성: 3개 이상의 AZ에 데이터를 복제합니다
• 최소 보관: 30일

4. S3 One Zone-IA

• 용도: Standard-IA와 동일하게 자주 사용하지 않는 데이터용이지만, 원본을 다시 만들 수 있는 데이터(예: 썸네일, 복제본)에 적합합니다
• 특징: 데이터가 단일 AZ에만 저장됩니다
• 가용성: AZ 장애 시 데이터가 유실될 수 있습니다 (내구성이 낮음)
• 최소 보관: 30일

5. S3 Glacier Instant Retrieval (글래시어 즉시 검색)

• 용도: 아카이브 데이터(장기 보관)지만, 1년에 몇 번(예: 분기별 감사) 즉시 액세스해야 할 때 사용합니다
• 특징: Standard-IA보다 저장 비용이 더 저렴하지만, Standard와 동일한 밀리초 단위의 즉시 검색을 제공합니다
• 최소 보관: 90일

6. S3 Glacier Flexible Retrieval (글래시어 유연한 검색)

• 용도: 표준 아카이빙(장기 보관)을 위한 클래스입니다 (구 'S3 Glacier')
• 특징: 검색 속도를 선택할 수 있습니다
  • Expedited (신속): 1~5분
  • Standard (표준): 3~5시간
  • Bulk (대량): 5~12시간
• 최소 보관: 90일

7. S3 Glacier Deep Archive (딥 아카이브)

• 용도: 1년에 1~2번 액세스할까 말까 한 데이터(예: 7~10년 보관용 규제 문서)를 가장 저렴한 비용으로 장기 보관합니다
• 특징: 검색에 기본 12시간 최대 48시
• 최소 보관: 180일7

 
AWS Storage Gateway

• 개념: 온프레미스(자체 데이터 센터) 환경과 AWS 클라우드 스토리지(S3 등)를 연결하는 하이브리드 게이트웨이입니다
• 핵심:
  • 용도: 온프레미스 데이터를 S3로 쉽게 백업하거나 , 자주 쓰는 데이터를 온프레미스에 캐시하고 원본은 S3에 저장하는 용도로  사용됩니다
  • 유형: File Gateway( SMB 또는 NFS 중 하나만 선택 / S3를 파일 공유처럼), Volume Gateway(S3를 iSCSI 볼륨처럼 + 저지연 액세스 = 캐시), Tape Gateway(S3를 가상 테이프처럼) 등이 있습니다
  • 코드 수정 불필요!

 
재해 복구(DR) 전략
1. 복구 목표 (RTO & RPO)
DR 전략의 품질은 복구 시간 목표(RTO)와 복구 시점 목표(RPO)라는 두 가지 목표로 평가됩니다

• RTO (Recovery Time Objective): 서비스가 다운된 후 얼마나 빨리 복구되어야 하는가 (시간) (용량 확보가 RTO의 핵심입니다)
• RPO (Recovery Point Objective): 장애가 발생했을 때 얼마만큼의 데이터 손실을 허용할 수 있는가 (손실 데이터량/시간) (복제 빈도가 RPO의 핵심입니다)

 
2. 네 가지 DR 전략 (RTO/RPO 순)
DR 전략은 RTO/RPO 요구 사항의 엄격함에 따라 네 가지로 나뉘며, 비용과 복잡성이 증가합니다

전략 (빠른 순)

RTO/RPO

설명

 
3. 용량 확보 및 비용 옵션
RTO를 달성하기 위해 컴퓨팅 용량을 어떻게 미리 확보할 것인가에 대한 선택입니다

• 용량 예약 (Capacity Reservation): EC2 용량 사용을 보장합니다 (RTO 달성에 가장 중요)
• 예약 인스턴스 (Reserved Instances, RI): 비용 할인을 제공하지만, 용량 사용을 보장하지 않습니다.
• Savings Plans: 비용 할인만 제공하며, 용량 사용을 보장하지 않습니다

 
4. 복제 및 데이터 동기화
RPO를 달성하기 위해 데이터를 어떻게 DR 리전으로 옮길 것인가에 대한 선택입니다

• 동기식 복제 (Synchronous): 데이터가 양쪽 리전에 동시에 기록되므로 데이터 손실이 0에 가까움 (RPO 거의 0) (주로 Aurora Multi-Master, 짧은 거리에서 사용)
• 비동기식 복제 (Asynchronous): 원본에 기록된 후 DR 리전으로 복제되므로 약간의 지연과 데이터 손실 가능성이 있음 (RDS 읽기 복제본, S3 CRR)
• 백업/스냅샷: 데이터를 주기적으로 복사하여 저장소에 보관 (RPO가 길어짐)

데이터베이스

 
3. Database
★ ★  Amazon Aurora / RDB

• 개념: AWS가 클라우드에 최적화하여 자체 개발한 고성능 관계형 데이터베이스(RDB)입니다
• 핵심:
  • 호환성: MySQL 및 PostgreSQL과 완벽하게 호환됩니다
  • 성능 및 가용성: 표준 MySQL/PostgreSQL보다 훨씬 빠르고, 3개의 AZ에 걸쳐 6개의 데이터 복제본을 저장하여 내결함성이 매우 뛰어납니다
  • 특징: 스토리지 자동 확장(최대 128TB), 읽기 전용 복제본 최대 15개, Writer/Reader 엔드포인트 분리 등이 특징입니다
  • 백업: 자동 복구 지원, 스냅샷은 5분간격으로 보관
  • Amazon Aurora 글로벌 데이터베이스: 단일 Aurora DB를 여러 AWS 리전에 걸쳐 배포하는 기능입니다 1개의 기본(Primary) 리전은 읽기/쓰기를 담당하고, 최대 5개의 보조(Secondary) 리전은 읽기 전용으로 작동하며 , 1초 미만의 데이터 지연(RPO)과 1분 미만의 복구 시간(RTO)을 제공하여 글로벌 재해 복구(DR) 및 빠른 로컬 읽기에 최적화되어 있습니다 최고 수준의 DR 솔루션

 
★ Amazon Aurora Serverless / RDB 

• 개념: Aurora를 서버리스(Serverless)로 사용하는 버전입니다
• 핵심: DB 용량(ACU)을 미리 프로비저닝하는 대신, 실제 사용량에 따라 자동으로 확장/축소됩니다 사용량이 예측 불가능하거나 간헐적인 워크로드(예: 개발/테스트)에 적합합니다
• 사용량 예측 불가 할 때

 
★ ★ Amazon RDS (Relational Database Service) / RDB

• 개념: AWS에서 제공하는 표준 관리형 관계형 데이터베이스(RDB) 서비스입니다
• 핵심:
  • 엔진 지원: MySQL, PostgreSQL, Oracle, SQL Server, MariaDB 등 다양한 DB 엔진을 지원합니다
  • 특징: OS 패치, 백업, 장애 조치 등 복잡한 DB 관리 작업을 AWS가 대신 처리해줍니다 SSH 접속은 불가능합니다
  • 고가용성: 다중 AZ(Multi-AZ) 옵션을 통해 장애 시 자동으로 다른 AZ의 예비(Standby) 인스턴스로 장애 조치(Failover)됩니다
  • 기존 DB Primary, 복제본 Standby
  • failover는 Primary(장애) → Stanby(Primary로 변경)
  • 표준 Multi-AZ (고가용성): 1개의 Primary(마스터)와 1개의 Standby(예비 복제본)*로 구성
  • Multi-AZ DB Cluster:  Primary 하나에 Replica 두 개
  • 읽기 복제본:  15개까지 읽기 복제본을 원하는 AZ나 리전에 자유롭게 배치
  • 백업:기본 7일 - 최대 35일, 35일 이상은 S3에 저장 권장, 긴 백업은 AWS Backup 권장
  • RDS 프록시(Proxy): 애플리케이션과 데이터베이스 사이에 위치하는 관리형 연결 풀러(Connection Pooler)로 DB 장애 조치(Failover)가 발생했을 때, 애플리케이션의 연결을 유지하면서 트래픽을 새로 승격된 DB 인스턴스로 신속하게 자동 전환하여 다운타임을 낮춤
  • 스토리지 자동 확장(Storage Auto Scaling) 기능으로 다운타임 없이 확장 가

 
1. 저장 데이터 암호화 (Encryption at Rest)

• 개념: 데이터베이스가 디스크에 저장될 때 데이터를 암호화합니다
• 작동 방식: AWS KMS(Key Management Service)를 사용하여 DB 인스턴스, 스냅샷, 백업 등의 데이터를 암호화합니다

 
2. 전송 중 암호화 (Encryption in Transit)

• 개념: 애플리케이션(EC2)과 RDS 데이터베이스 간에 이동하는 데이터를 암호화합니다
• 작동 방식 (SSL/TLS): AWS에서 제공하는 루트 인증서를 다운로드하여, 애플리케이션이 DB 인스턴스에 연결할 때 이 인증서를 사용해야 합니다 RDS는 인스턴스를 생성할 때 이 인증서를 DB에 자동으로 설치합니다

 
Amazon DocumentDB (with MongoDB Compatibility) / NoSQL - Document

• 개념: AWS가 MongoDB와 호환되도록 만든 NoSQL 문서(Document) 데이터베이스 서비스입니다
• 핵심: 기존 MongoDB 애플리케이션 코드를 거의 변경 없이 DocumentDB로 마이그레이션할 수 있습니다 JSON과 유사한 문서 구조를 저장하는 데 특화되어 있습니다
• Json, xml 같은 반정형을 데이터로 사용

 
Amazon Neptune / NoSQL - Graph

• 개념: 그래프(Graph) 데이터를 위한 완전 관리형 데이터베이스 서비스입니다
• 핵심: 소셜 네트워크의 친구 관계, 사기 탐지(Fraud Detection)의 복잡한 연결 패턴 등, 데이터 간의 관계를 저장하고 쿼리하는 데 특화되어 있습니다
• SNS에서 주로 사용
• Neptune Streams: 데이터베이스의 모든 변경 사항(삽입, 업데이트, 삭제)을 실시간으로 캡처하는 기능

 
★ ★ Amazon DynamoDB / NoSQL - key_value

• 개념: AWS의 대표적인 서버리스 NoSQL Key-Value 데이터베이스입니다
• 핵심:
  • 성능: 어떤 규모에서든 10밀리초 미만(한 자릿수 밀리초)의 매우 빠른 응답 속도를 제공합니다
  • 서버리스: 테이블 용량을 관리할 필요 없이(온디맨드 모드) 사용한 만큼만 비용을 지불합니다
  • 용도: 대규모 트래픽이 발생하는 웹사이트의 세션 데이터 저장, 장바구니, 리더보드 등에 적합합니다
• DAX (DynamoDB Accelerator): DynamoDB를 위한 인메모리 캐시입니다 응답 시간을 마이크로초 단위로 줄여주어 읽기 집약적인 작업의 성능을 극대화합니다
• 보통 람다랑 연계
• 사용량 예측 가능하면 프로바이저드, 예측 불가는 온디맨드
• 지정 시점 복구 (PITR): DynamoDB의 PITR 기능은 최대 35일 동안 테이블 데이터를 지속적으로 백업하며, 사용자는 지난 35일 이내의 어떤 시점(최근 5분 전까지)으로든 테이블을 복원할 수 있습니다
• Amazon Athena Federated Query: Athena에서 S3뿐만 아니라 다른 데이터 소스(RDS, DynamoDB 등)에 저장된 데이터도 표준 SQL을 사용하여 쿼리하고 분석할 수 있도록 확장하는 기능입니다 이 기능은 데이터 복사 없이 AWS Lambda 함수를 통해 다양한 소스에 연결하여 데이터를 검색, 기본 프로비저닝된 용량이나 운영 워크로드에 영향을 미치지 않도록 격리

 
Amazon Athena (가시성 및 분석)

• 개념: 표준 SQL을 사용하여 Amazon S3에 있는 데이터를 쿼리할 수 있는 서버리스 대화형 쿼리 서비스입니다
• 운영 효율성: 인프라(클러스터, EC2 등)를 프로비저닝하거나 관리할 필요가 없어, 운영 오버헤드가 최소화됩니다
• 데이터 형식: CSV, JSON, ORC, Avro, Parquet 등 다양한 형식의 데이터를 지원합니다
• 통합: AWS Glue Data Catalog와 통합되어 S3 데이터의 스키마를 활용합니다 Amazon QuickSight와 통합하여 보고서 및 대시보드를 생성할 수 있습니다
• 연합 쿼리 (Federated Query): Athena는 S3뿐만 아니라 데이터 원본 커넥터를 실행하는 AWS Lambda 함수를 통해 모든 온프레미스 데이터베이스 또는 다른 AWS 데이터 소스(예: DynamoDB, RDS)를 쿼리하고 조인할 수 있습니다
• 결과 저장: 연합 쿼리의 결과는 다시 S3 버킷에 저장됩니다
• Amazon Athena는 AWS Glue Data Catalog를 사용하여 Amazon S3 버킷에 저장된 데이터를 분석하는 것이 주 역할이지만, 연합 쿼리(Federated Query) 기능을 통해 다른 데이터 소스도 활용할 수 있습니다

 
★ ★ Amazon ElastiCache / NoSQL - key_value

• 개념: Redis 또는 Memcached를 지원하는 AWS의 관리형 인메모리 캐시 서비스입니다
• 핵심: DB에서 자주 조회되는 쿼리 결과나 사용자 세션 데이터를 메모리에 캐시하여, DB 부하를 줄이고 애플리케이션 응답 속도를 향상시킵니다
• 인스턴스 내리면 메모리 날라감
• 고가용성: Redis는 자동 장애 조치(Failover) 및 읽기 전용 복제본을 제공하며, 다중 AZ(Multi-AZ) 기능을 지원하여 노드 장애 시에도 데이터 손실을 최소화하고 서비스를 유지합니다

 
ElastiCache for Memcached (A)와 Redis (B)의 차이

특징

ElastiCache for Memcached (A)

ElastiCache for Redis (B)

 
 
Amazon Keyspaces (for Apache Cassandra)  / NoSQL - Wide_Column 

• 개념: Apache Cassandra와 호환되는 서버리스 NoSQL 데이터베이스 서비스입니다
• 핵심: Cassandra의 인프라를 직접 관리할 필요 없이 Cassandra의 쿼리 언어(CQL)와 API를 그대로 사용할 수 있습니다

 
Amazon QLDB (Quantum Ledger Database)

• 개념: 변경 불가능한(Immutable) 트랜잭션 로그(저널)를 제공하는 관리형 원장 데이터베이스입니다
• 핵심: "누가 무엇을 언제 변경했는지"에 대한 모든 이력을 암호화 방식으로 검증할 수 있습니다 금융 거래, 공급망 이력 추적 등 데이터의 무결성과 투명한 이력 관리가 중요할 때 사용됩니다
• 변경 이력이 중요한 상황에 사용

★ Amazon Redshift

• 개념: 각각의 데이터 소스를 창고처럼 저장소에 저장하여 데이터를 분석
• 핵심: S3, RDS 데이터도 분석 가
• 데이터 보호를 위해 클라이언트 측 및 서버 측 암호화(KMS 키 사용)를 모두 지원
• Redshift Serverless를 사용하면 분석 워크로드를 위해 상시 실행되는 클러스터 없이 필요할 때만 인스턴스를 사용하고 유휴 상태에서는 비용을 절감
• 재해 복구를 위해 스냅샷을 생성하고, 이 스냅샷을 다른 리전에 복사하여 새로운 클러스터(보조 복제본)를 생성 가능

 

네트워크와 전송

 
4. Network (기본 네트워크)
Region & AZ (Availability Zone)

• Region (리전): 서울, 도쿄와 같이 AWS가 물리적 데이터 센터를 운영하는 넓은 지리적 영역입니다
• AZ (가용 영역): 리전(Region) 내에 존재하는 하나 이상의 독립된 데이터 센터입니다 각 AZ는 독립된 전원, 냉각, 네트워크를 갖추고 있어, 하나의 AZ가 재해로 중단되어도 다른 AZ는 영향을 받지 않습니다 (고가용성 확보의 핵심)

 
Routing Table (라우팅 테이블)

• 개념: 서브넷에서 발생하는 네트워크 트래픽이 어디로 가야 하는지 알려주는 규칙(경로)의 집합입니다
• 핵심: 예를 들어, 0000/0 (모든 트래픽)을 인터넷 게이트웨이(IGW)로 향하게 설정하면 해당 서브넷은 '퍼블릭 서브넷'이 됩니다

 
★ ★    VPC (Virtual Private Cloud)

• 개념: 사용자의 AWS 계정 전용으로 격리된 가상의 사설 네트워크입니다 AWS 인프라의 기본이 되는 네트워크 경계입니다
• CIDR: VPC가 사용할 IP 주소 범위를 정의합니다 (예: 10000/16)
• IPv6/IPv4: VPC에서 사용할 IP 주소 프로토콜 버전입니다
• VPC 피어링은 CIDR 블록이 겹치지 않도록 해야함

 
★ ★ 리소스의 VPC 위치 분석

리소스

일반적인 위치

VPC 내부/외부

요구되는 연결 방법

 
 
★  ┣ VPC Endpoint

• Gateway Endpoint 개념: PC 리소스가 동일 리전 내의 S3 또는 DynamoDB에 프라이빗하게 연결되도록 라우팅 테이블을 수정
• Gateway Endpoint 종류: S3(FREE), DynamoDB
• Interface Endpoint 개념: AWS PrivateLink기술을 사용하여 서브넷에 ENI(사설 IP)를 생성합니다 이를 통해 EC2가 대부분의 AWS 서비스(KMS, SQS, Kinesis 등) 또는 다른 VPC의 서비스(주로NLB뒤의 EC2)에 프라이빗하게 연결됩니다 "다른 리전"이 필수 조건은 아니며, ELB보다는 NLB(Network Load Balancer)가 이 방식(VPC Endpoint Service)을 지원
• Interface Endpoint 종료: S3, CloudWatch, SNS, System manager, Kinesis, KMS, ELB

 

Amazon Kinesis Data Streams (KDS)

• 개념: 대규모 실시간 데이터를 수집, 저장 및 처리하기 위한 서비스입니다
• 구조: 데이터는 파티션 키를 사용하여 샤드(Shard)로 분할되며, 샤드 내에서 수신 순서가 보장됩니다
• 활용: 웹 클릭 스트림, IoT 데이터 등 지속적으로 발생하는 데이터에 사용되며, 무한한 확장성을 제공합니다
• 소비자: AWS Lambda, Kinesis Data Firehose 등을 통해 샤드에서 직접 데이터를 읽습니다
• 보존 기간: 데이터 레코드는 기본 24시간 동안 액세스 가능합니다

 

 

Amazon Kinesis Data Firehose (KDF)

• 개념: 실시간 데이터를 캡쳐 및 변환하여 지정된 대상으로 수집, 전송(Delivery)하는 서비스입니다
• 전송 대상: Amazon S3, Amazon Redshift, Amazon OpenSearch Service, CloudWatch Logs 구독뿐만 아니라 Splunk 같은 외부 서비스도 포함됩니다
• 변환: 전송 전에 AWS Lambda를 사용하여 데이터 형식 변환 및 압축 등을 수행할 수 있습니다
• 운영: 인프라 관리 없이 데이터 전송 파이프라인을 구축할 수 있어 운영 오버헤드가 최소화됩니다
• 작동 방식: 데이터를 배치(Batch) 처리하여 전송합니다

 

 

Amazon Kinesis Data Analytics (KDA)

• 개념: 실시간 스트리밍 데이터를 처리하고 분석할 수 있는 서버리스 서비스입니다
• 언어 지원: SQL 언어 또는 Apache Flink를 사용하여 데이터를 즉시 분석할 수 있습니다
• 활용: 실시간 이상 감지, 시계열 분석, 실시간 대시보드 구축 등에 활용됩니다
• 결과 라우팅: 분석 후 결과 데이터를 다시 Data Streams나 Firehose 같은 다른 AWS 서비스로 보낼 수 있습니다.
• 도구: Studio Notebook을 통해 대화형으로 스트림 데이터를 쿼리하고 분석할 수 있습니다

 

Amazon OpenSearch Service

Amazon OpenSearch Service는 대규모 데이터에 대한 검색, 분석, 로깅 및 애플리케이션 모니터링을 쉽게 수행할 수 있도록 지원하는 완전 관리형 서비스입니다

• 개념: Elasticsearch의 후속 버전인 OpenSearch와 레거시 Elasticsearch의 최신 버전을 지원하는 클러스터 관리 서비스입니다
• 핵심 기능: 데이터베이스의 기본 키나 인덱스로만 데이터를 처리하는 DynamoDB와 달리, 부분적으로 일치하는 필드를 포함하여 모든 필드에 대한 빠른 검색 기능을 제공합니다
• 주요 용도: 애플리케이션에 검색 기능을 추가하거나, CloudWatch Logs, Kinesis Data Firehose 등에서 수집한 로그 데이터를 분석하는 데 사용됩니다
• 관리형 서비스: 클러스터를 프로비저닝하고 관리해야 하지만, AWS가 클러스터의 운영을 관리해 줍니다

 

 

 
┣ Subnet (서브넷)

• VPC의 IP 주소(CIDR) 범위를 더 작게 나눈 하위 네트워크입니다 서브넷은 하나의 AZ에만 속합니다
• Public Subnet (퍼블릭 서브넷): 라우팅 테이블이 인터넷 게이트웨이(IGW)로의 경로를 가진 서브넷입니다 이 서브넷의 리소스는 인터넷과 직접 통신할 수 있습니다
• Private Subnet (프라이빗 서브넷): IGW로의 경로가 없는 서브넷입니다 이 서브넷의 리소스는 인터넷에서 직접 접근할 수 없습니다 (예: DB 서버)

★  ┣ Gateway (게이트웨이)

• Internet Gateway (IGW): VPC와 인터넷 간의 통신을 가능하게 하는 게이트웨이입니다
  • VPC 내에 연결
  • Public subnet의 Routing table에 인터넷 게이트웨이가 연결 되어있어야 함
• NAT Gateway: 프라이빗 서브넷에 있는 리소스(예: EC2)가 인터넷으로 아웃바운드(Outbound) 통신을 할 수 있게 해주는 관리형 서비스입니다 (예: 외부 패치 다운로드) 인터넷에서 먼저 연결을 시작(인바운드)할 수는 없습니다
  • NAT는 Public subnet에 설치하고 Private subnet이 NAT를 통해 인터넷 연결

┣ NACL (Network ACL)

• 개념: 서브넷(Subnet) 수준에서 트래픽을 제어하는 가상 방화벽입니다
• 핵심: Stateless(상태 비저장) 방식입니다 즉, 들어오는(Inbound) 트래픽을 허용해도, 나가는(Outbound) 트래픽을 별도로 허용하지 않으면 응답이 나갈 수 없습니다
• 우선순위 규칙이 적용되므로 규칙 순서가 중요

 
 
Network Security (네트워크 보안)
★  ┣ Security Group (보안 그룹)

• 개념: EC2 인스턴스 수준에서 트래픽을 제어하는 가상 방화벽입니다
• 핵심: Stateful(상태 저장) 방식입니다 즉, 인바운드 트래픽을 허용하면 해당 응답 트래픽은 아웃바운드 규칙과 상관없이 자동으로 허용됩니다
• 기본으로는 모든 인바운드 차단, 아웃바운드는 허용

┣ EIP/ENI

• EIP = 고정된 퍼블릭 IP
• ENI =
  • 예시 
    1. 웹서버 IP: 1001100
    2. EC2-A 고장 → ENI를 EC2-B로 이동
    3. 여전히 1001100으로 접속 가능

 
★  ┣ AWS WAF (Web Application Firewall)

• 개념: L7(웹 애플리케이션 계층)을 보호하는 방화벽입니다
• 핵심: SQL 인젝션, XSS(Cross-Site Scripting) 등 일반적인 웹 공격을 차단합니다 ALB, CloudFront, API Gateway의 엔드포인트에 Web ACL을 연결하여 사용합니다 

 
★  ┣ AWS Shield

• 개념: DDoS(분산 서비스 거부) 공격으로부터 AWS 리소스를 보호하는 관리형 서비스입니다
• 핵심: Standard(무료, 기본 보호)와 Advanced(유료, L7 보호, WAF 통합, 비용 보호)가 있습니다

 
★  VPN (가상 사설망)

• AWS Client VPN: 개인 사용자(예: 재택근무자)가 자신의 PC에서 AWS VPC나 온프레미스 네트워크에 안전하게 접속할 수 있도록 하는 VPN 서비스입니다 임시 연결
• AWS Site-to-Site VPN: 온프레미스(본사) 데이터 센터와 AWS VPC 간을 인터넷을 통해 암호화된 터널(IPsec)로 연결합니다 지속적 연결 제공
• 인터넷 속도를 많이 탐, 저비용

 
 
Private Connectivity (전용 연결)
★  AWS Direct Connect

• 개념: 온프레미스 데이터 센터와 AWS 간을 전용 사설 물리적 회선(광케이블)으로 연결하는 서비스입니다
• 핵심: 인터넷을 거치지 않으므로, VPN보다 훨씬 안정적이고 빠르며 일관된 지연 시간을 제공합니다
• 암호화 없음

★  AWS Transit Gateway

• 개념: 수십, 수백 개의 VPC와 온프레미스 네트워크를 중앙 허브(Hub)에 연결하여 네트워크 관리를 단순화하는 라우팅 허브입니다
• 핵심: VPC 간 '메시(Mesh)' 형태의 복잡한 피어링 대신, '허브 앤 스포크(Hub-and-Spoke)' 모델을 구현합니다
• 5000개 까지 VPC 연결 가능

AWS PrivateLink

• 개념: VPC 엔드포인트(VPC Endpoint)를 사용하여 S3, DynamoDB 같은 AWS 서비스나 다른 계정의 서비스에 인터넷을 거치지 않고 프라이빗하게 액세스하는 기술입니다
• 핵심: 트래픽이 AWS 내부망으로만 한정되어 보안성이 매우 높습니다

 
 
Content Delivery (콘텐츠 전송)
★  ★  Amazon CloudFront

• 개념: AWS의 CDN(콘텐츠 전송 네트워크) 서비스입니다
• 핵심: 전 세계 엣지 로케이션(Edge Location)에 웹 콘텐츠(이미지, 동영상 등)를 캐시(Cache)하여, 사용자에게 가장 가까운 곳에서 콘텐츠를 제공합니다 이를 통해 지연 시간을 줄이고(속도 향상) 원본 서버(Origin)의 부하를 감소시킵니다
• 출처는 대부분 S3, ELB, EC2
• CloudFront 배포에 AWS WAF를 연결하는 방식으로 보안 조치 자체적으로는 못함
• CloudFront의 지리적 제한 기능: 블락 목록, 허용 목록 설정

 
AWS Amplify

• 웹 및 모바일 애플리케이션의 백엔드(인증, 데이터, 스토리지 등)를 구축하고 배포하는 프로세스를 단순화하는 프론트엔드 개발자를 위한 완전 관리형 플랫폼입니다 개발자가 프론트엔드 코드에 집중할 수 있도록, 클라우드 리소스 생성 및 연결을 자동화하는 도구 모음, 라이브러리 및 UI 구성 요소를 제공합니다

 
★  ★  Amazon Route 53

• 개념: AWS의 관리형 DNS(도메인 이름 시스템) 서비스입니다
• 핵심: google.com 같은 도메인 이름을 IP 주소로 변환해 주며, 다양한 라우팅 정책을 제공합니다
  • Latency Based Routing: 사용자에게 가장 낮은 지연 시간(가장 빠른 응답)을 보이는 리전으로 라우팅합니다
  • Weighted Round Robin: 80%는 A 리전, 20%는 B 리전처럼 지정된 가중치(비율)에 따라 트래픽을 분산합니다
  • DNS Failover: 헬스 체크(Health Check)를 통해 주(Primary) 엔드포인트가 비정상이면, 예비(Secondary) 엔드포인트로 자동 전환합니다
  • Geo Routing (Geolocation): 사용자의 지리적 위치(국가, 대륙)를 기반으로 트래픽을 라우팅합니다 (예: 한국 사용자는 서울 리전, 유럽 사용자는 프랑크푸르트 리전)
  • Geo-proximity Routing (지리적 근접): 사용자와 리소스의 지리적 위치를 기반으로 라우팅하되, 선택적으로 트래픽을 지정된 리소스로 이동시킬 수 있습니다
    
  • Route 53 Resolver: VPC와 온프레미스 네트워크가 서로의 사설 도메인 이름을 확인할 수 있도록 인바운드(Inbound)및아웃바운드(Outbound) 엔드포인트를 제공
  • 액티브-패시브 장애 조치: 가장 기본적인 DR(재해 복구) 구성입니다 트래픽을 받는 주(Primary) 엔드포인트와 대기 상태로 유지되는 예비(Secondary) 엔드포인트를 정의합니다 비정상으로 판단될 때, 자동으로 트래픽을 Secondary 엔드포인트로 전환
  • 다중값 응답 라우팅: 여러 개의 정상 엔드포인트 IP 주소를 반환하여 클라이언트가 그중 하나를 무작위로 선택하도록 하는 정책입니다 실패하면, Route 53은 해당 엔드포인트를 DNS 응답에서 제외

 
★  ★  AWS Global Accelerator

• 개념: AWS의 글로벌 네트워크를 활용하여 사용자의 애플리케이션(ALB, NLB, EC2)까지의 네트워크 경로를 최적화하는 서비스입니다
• 핵심:
  • 고정 IP: 두 개의 고정 Anycast IP를 전역 진입점으로 제공합니다
  • CloudFront와의 차이: CloudFront는 콘텐츠를 캐시(Cache)하지만, Global Accelerator는 캐시하지 않고 동적 트래픽(API, 게임 등)의 경로(Path)를 최적화합니다
  • AWS Shield Advanced와 연동하여 DDoS(분산 서비스 거부) 공격
• Global Accelerator는 다음 세 가지 프로토콜을 사용하여 엔드포인트의 상태를 점검: TCP, HTTP, HTTPS

 
 
Load Balancing (로드 밸런싱)
ELB (Elastic Load Balancing)

• 개념: 들어오는 트래픽을 여러 대상(예: EC2 인스턴스)에 자동으로 분산시켜 고가용성과 확장성을 제공합니다

★ ★    ┣ ALB (Application Load Balancing)

• 개념: L7(애플리케이션 계층)에서 작동합니다
• 핵심: HTTP/HTTPS 트래픽에 특화되어 있으며, URL 경로(/images), 호스트 이름 등 콘텐츠 기반 라우팅이 가능합니다 마이크로서비스 아키텍처에 적합합니다
• Site-to-Site VPN 또는 Direct Connect로 연결되어 있다면 퍼블릭이 아닌 내부 애플리케이션 로드 밸런서로 사용, 연결된 사용자는 이미 프라이빗 네트워크 내부에 있으므로, 이 사설 IP에 직접 접근
• CloudWatch 메트릭(예: TargetResponseTime, RequestCount)을 활용하여 트래픽을 분산할 때 사용하는 주요 알고리즘
  • 라운드 로빈 (Round Robin): 요청을 대상 그룹 내의 대상(EC2 인스턴스)에 순차적으로 분배합니다 (ALB의 기본값)
  • 가장 덜 처리된 요청 (Least Outstanding Requests): 현재 활성 요청 수가 가장 적은 대상으로 새로운 요청을 보냅니다 이는 과부하 상태의 인스턴스를 회피하여 성능 문제를 해결할 때 사용됩니다
• ALB 액세스 로깅: 들어오고 나가는 모든 요청에 대한 상세 정보를 기록합니다 이 로그는 S3 버킷에 자동으로 저장되며, 비정상적인 트래픽 패턴(예: 특정 IP 주소, 요청 경로, 응답 코드 등)을 파악하는 데 가장 필요한 원본 데이터입니다
• 세션 선호도 (Sticky Sessions): Application Load Balancer (ALB)는 쿠키 기반의 세션 선호도(Sticky Session) 기능을 대상 그룹 수준에서 지원

 
★ ★    ┗ NLB (Network Load Balancing)

• 개념: L4(전송 계층)에서 작동합니다
• 핵심: TCP/UDP 트래픽에 특화되어 있으며, 초고성능과 매우 낮은 지연 시간이 특징입니다 클라이언트의 원본 IP를 보존할 수 있습니다
• Site-to-Site VPN 또는 Direct Connect로 연결되어 있다면 퍼블릭이 아닌 내부 네트워크 로드 밸런서로 사용, 연결된 사용자는 이미 프라이빗 네트워크 내부에 있으므로, 이 사설 IP에 직접 접근
• NLB는 로드 밸런서 유형 중 유일하게 가용 영역(AZ)별로 EIP(Elastic IP 주소)를 연결하여 고정된 공인 IP 주소를 제공할 수 있음

 
┗ GWLB(게이트웨이 로드 밸런서)

• 개념: 보안 어플라이언스( 방화벽, 침입 방지 시스템 (IPS), 딥 패킷 검사 시스템 (DPI) 등)를 배포 확장하기 위해 특별히 설계된 서비스입니다 트래픽을 보안 장비로 투명하게 전달하고 다시 돌려받아, 중앙 집중식 네트워크 보안 검사를 쉽게 구현할 수 있게 해줍니다
• 작동계층: Layer 3

 

보안과 키 관리

 
4. Security (보안)
★  AWS Firewall Manager

• 개념: 중앙 관리형 방화벽 서비스입니다
• 핵심: AWS Organizations와 연동하여, 조직 내 모든 계정의 WAF 규칙, AWS Shield Advanced 보호, VPC 보안 그룹 등을 중앙에서 일관되게 구성하고 관리합니다

 
 
★  AWS GuardDuty

• 개념: 지능형 위협 탐지 서비스입니다 (마인드맵 힌트: "Intelligent Threat Detection")
• 핵심: 머신 러닝을 사용해 VPC Flow Logs, CloudTrail 로그, DNS 로그를 지속적으로 모니터링하여 악의적인 활동(예: 비트코인 채굴, 비정상적인 API 호출)을 탐지하고 경고합니다

 
 
★  Amazon Inspector

• 개념: 자동화된 취약점 관리 서비스입니다 (마인드맵 힌트: "Automated vulnerability management")
• 핵심: EC2 인스턴스 및 ECR의 컨테이너 이미지를 스캔하여 소프트웨어 취약점(CVE)이나 의도하지 않은 네트워크 노출을 찾아냅니다

 
 
★  Amazon Macie

• 개념: 민감 데이터 검색 및 보호 서비스입니다 (마인드맵 힌트: "Discover and protect your sensitive data")
• 핵심: Amazon S3에 저장된 데이터를 대상으로 머신 러닝을 사용해 민감 데이터(PII)(예: 신용카드 번호, 주민등록번호)를 식별하고 분류하며, 데이터 보안 태세를 모니터링합니다

 
 
Identity (자격 증명)
★  ★  AWS Identity and Access Management (IAM)

• 개념: AWS 리소스에 대한 액세스를 안전하게 제어하는 핵심 서비스입니다
• 핵심: "누가(Principal)" "무엇을(Resource)" "어떻게(Action)" 할 수 있는지 정책(Policy)을 통해 정의합니다
  • User: AWS와 상호 작용하는 사람 또는 애플리케이션입니다
  • Group: 동일한 권한을 공유하는 User의 집합입니다 (그룹 자체에 권한을 부여)
  • Role: 특정 권한을 가진 임시 자격 증명입니다 EC2 인스턴스 같은 AWS 서비스나 다른 계정의 사용자가 이 Role을 "수임(Assume)"하여 권한을 얻습니다
  • 암호화된 EBS 볼륨만 생성하는 정책

 
 
★  AWS IAM Identity Center (AWS Single Sign-On / SSO)

• 개념: 중앙 집중식 단일 로그인 서비스입니다
• 핵심: 한 번의 로그인으로 AWS Organizations 내의 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 액세스를 관리합니다 온프레미스 Active Directory 등 외부 자격 증명과 연동할 수 있습니다
• SSO in Organizations = AWS IAM Identity Center
• AWS Control Tower: AWS 모범 사례(Best Practice)에 기반하여, 안전하고 규정을 준수하는 다중 계정 AWS 환경(랜딩 존) 가장 쉽고 빠르게 설정하고 관리해주는 서비스입니다 사전 제어는 CloudFormation 스택이 리소스를 생성하거나 업데이트하기 전에 템플릿을 검사하고 문제시 배포 차단
• AWS SCP(서비스 제어 정책): AWS Organizations에서 중앙 관리 계정이 조직 내 다른 계정들이 사용할 수 있는 권한의 최대 한도를 설정하여, 특정 서비스나 API 작업의 사용을 차단하는 데 사용하는 정책입니다

 
 
AWS Organizations

• 개념: 사용자가 소유한 여러 AWS 계정을 중앙에서 관리할 수 있도록 통합하고 거버넌스 및 비용 관리를 간소화하는 서비스입니다
• 중앙 집중식 관리: 여러 AWS 계정을 하나의 계층 구조(조직 단위, OU)로 통합하여 정책, 보안, 비용을 일괄적으로 관리할 수 있습니다
• 통합 결제 (Consolidated Billing): 조직 내 모든 계정의 AWS 사용량을 하나의 청구서로 통합하여 관리 계정에서 처리하며, 볼륨 할인 혜택을 누릴 수 있습니다
• 서비스 제어 정책 (SCP): 조직 단위(OU)나 개별 계정에 최대 권한 경계를 설정하는 정책을 적용하여, 해당 계정 사용자가 사용할 수 있는 AWS 서비스 및 API 작업을 제한할 수 있습니다
• 계층적 구조 (OU): 조직 단위를 생성하여 계정을 기능, 환경(예: 개발, 운영), 또는 규정 요구 사항에 따라 그룹화하고 세분화된 정책을 상속하여 적용할 수 있습니다
• API 활성화: 모든 AWS 고객에게 무료로 제공되며, 필요에 따라 모든 기능이 활성화된 상태(All Features) 또는 통합 결제만 사용하는 상태로 구성할 수 있습니다

 

 
★  AWS Cognito

• 개념: 웹 및 모바일 앱을 위한 사용자 인증/인가 서비스입니다
• 핵심:
  • User Pools: 앱 사용자의 가입(Sign-up) 및 로그인(Sign-in) 기능을 제공하는 사용자 디렉터리입니다 다중 요소 인증(MFA)을 통해 위험 기반 적응형 인증 기능을 활성화, 인증 담당
  • Identity Pools: Google, Facebook, Apple 등 소셜 로그인(마인드맵의 "SNS Login"은 "Social Login"의 오타로 보임) 사용자나 익명 사용자에게 임시 토큰 AWS 자격 증명을 발급해 줍니다

 
1. 거버넌스 및 환경 구축 (상위 계층)

서비스

핵심 개념

관리 대상

직관적 구분

 
 
2. 접근 및 자격 증명 관리

서비스

핵심 개념

관리 대상

직관적 구분

 
 
3. 리소스 제공 및 감사/규정 준수

서비스

핵심 개념

관리 대상

직관적 구분

 
 
Key Management (키 관리)
 
★ ★ ★ ★  간단한 차이점 요약

• Parameter Store: 모든 종류의 구성 데이터를 저장하는 중앙 창고입니다 (자주 접근하는 일반 설정)
• Secrets Manager: 비밀번호의 자동 교체와 최고 수준의 보안 수명 주기 관리에 특화된 서비스입니다
• AppConfig: 애플리케이션 설정을 실시간으로 배포하고 안전하게 변경하는 데 중점을 둡니다
• Cognito: 사람(사용자)이 로그인하는 인증 및 권한 부여에 사용됩니다

 
★ ★ ★  AWS KMS (Key Management Service)

• 개념: AWS KMS는 관리형 암호화 키 생성 및 제어 서비스이며, EBS, S3, RDS 등 대부분의 AWS 서비스와 통합되어 데이터 암호화를 쉽게 구현해주는 다중 테넌트(공유) 서비스입니다 SAA 시험의 표준 암호화 솔루션입니다
• 기술적 특징 및 작동 방식
• 키 제어 및 관리 주체: KMS 키는 누가 키 순환 및 정책을 제어하느냐에 따라 다음 세 가지로 구분됩니다:
  • • AWS 관리형 키 (AWS Managed Key):
      • 제어 주체: AWS가 생성하고 관리합니다
      • 키 순환: AWS가 약 3년 주기로 자동 순환을 수행하며, 사용자는 제어할 수 없습니다.
    • 고객 관리형 키 (Customer Managed Key, CMK):
      • 제어 주체: 사용자가 생성 및 관리합니다
      • 키 순환: 사용자가 자동 키 순환(1년 주기)을 활성화하거나 비활성화하여 순환을 제어할 수 있습니다 (시험에서 "순환 제어" 요구 시 필수 선택)
    • 가져온 키 자료 (Imported Key Material):
      • 제어 주체: 사용자가 외부에서 키 자료를 가져와 KMS에서 사용합니다
      • 키 순환: 자동 순환을 지원하지 않으며, 수동으로 키 자료를 교체해야 합니다
• 보안 및 접근 제어
  • 키 정책 (Key Policy): KMS 키에는 키 정책이 존재하며, 이는 누가 이 키를 사용(암호화/복호화)할 수 있는지 접근 권한을 명시적으로 제어합니다
  • 유휴 데이터 암호화: KMS는 EBS, S3, RDS 등 AWS 서비스에 저장된 유휴 데이터(Data at rest)를 암호화하는 데 주로 사용됩니다

 
★  ★  AWS Secrets Manager

• 개념: 보안 암호(Secret) 관리 서비스입니다 (마인드맵 힌트: "Database credentials")
• 핵심: 데이터베이스 자격 증명, API 키 등을 안전하게 저장하고, 특히 자동으로 비밀번호를 교체(Rotation)해주는 기능을 제공합니다

 
★ ★ 데이터 상태별 암호화 방식 비교

암호화 유형

암호화 주체

목적 (데이터 상태)

키 제어 여부

시험 키워드

 
 
★ ★ KMS 및 보안/설정 관리 서비스 비교

서비스

핵심 역할

시험 핵심 특징 및 구분점

 
 
★  ★  AWS Certificate Manager (ACM)

• 개념: SSL/TLS 인증서를 쉽게 프로비저닝하고 관리하는 서비스입니다
• 핵심: 무료 공인 SSL/TLS 인증서를 발급하고 자동 갱신해줍니다 이 인증서는 ELB(로드 밸런서) 및 CloudFront와 통합되어 사용됩니다

★  ★ AWS Directory Service

• 개념: 관리형 Microsoft Active Directory(AD) 서비스입니다 (마인드맵 힌트: "AWS Managed Microsoft AD")
• 핵심: AWS 클라우드에서 완전 관리형 AD를 제공하거나(Managed AD), 온프레미스의 AD를 AWS에 연결(AD Connector)할 수 있게 해줍니다

 
AWS CloudHSM

• 개념: 전용 하드웨어 보안 모듈(HSM) 서비스입니다 (마인드맵 힌트: "Hardware Security Module")
• 핵심: FIPS 140-2 레벨 3을 준수하는 단일 테넌트(고객 전용) 물리적 하드웨어 장치를 제공합니다 규정 준수 요건상 키를 공유 인프라에 둘 수 없을 때 사용하며, 키에 대한 완전한 제어권을 가집니다

 
Compliance (규정 준수)
★  AWS Resource Access Manager (RAM)

• 개념: AWS 리소스 공유 서비스입니다
• 핵심:  AWS RAM은 VPC 접두사 목록(Prefix List), Transit Gateway, 서브넷 등과 같은 AWS 리소스를 AWS Organizations 내의 다른 계정 또는 조직 단위(OU)와 공유하는 데 사용되는 서비스

 
AWS Artifact

• 개념: AWS 규정 준수 보고서 포털입니다
• 핵심: AWS의 보안 및 규정 준수 보고서(예: SOC, PCI, ISO 인증)를 다운로드하여 감사 담당자에게 제공할 때 사용합니다

 
 
AWS Audit Manager

• 개념: 지속적인 감사(Audit) 자동화 서비스입니다
• 핵심: PCI, HIPAA 등 특정 규정 준수 표준에 대해 AWS 리소스 사용 현황을 자동으로 평가하고 감사에 필요한 증거를 수집하여 보고서를 생성해줍니다

 
 
Amazon Detective

• 개념: 보안 사고 조사 및 시각화 서비스입니다 (마인드맵 힌트: "Security Investigation Visualization")
• 핵심: GuardDuty, CloudTrail, VPC Flow Logs 등 여러 소스의 로그 데이터를 수집하고 머신 러닝을 통해 그래프(시각화)를 생성합니다 이를 통해 보안 문제의 근본 원인을 더 빠르고 쉽게 조사할 수 있습니다

 
AWS Database Migration Service (DMS)
개념: 온프레미스 데이터베이스를 AWS로 마이그레이션하거나 , AWS 내의 데이터베이스 간(예: Oracle에서 Aurora로) 마이그레이션을 돕는 서비스입니다 
 
특징:

• 최소 가동 중지: "가동 중지 시간 없이" 데이터베이스를 마이그레이션할 수 있습니다
• 지속적인 복제: 마이그레이션 중 발생하는 "진행 중인 복제를 실시간으로 처리"할 수 있어 , 원본 DB를 계속 운영하면서 동기화가 가능합니다
• 변경 데이터 캡처 (Change Data Capture, CDC): 데이터베이스에서 데이터 변경 사항 (삽입, 업데이트, 삭제)이 발생할 때마다 해당 변경 내용을 실시간으로 감지하여 캡처하고 복제하는 기술

AWS Lake Formation

• 개념: 데이터 레이크(Data Lake)를 빠르고 쉽게 구축하고 관리할 수 있게 해주는 서비스입니다 (데이터 레이크: 분석을 위해 모든 데이터를 한곳에 모아두는 중앙 저장소 )
• 데이터 필터: 특정 IAM 사용자나 역할에 대해 읽기를 허용할 행(조건)과 읽기를 허용할 열(컬럼)을 정의하여 민감한 정보에 대한 접근을 통제

 
 
특징:

• 자동화: 데이터 수집, 정제, 카탈로깅 같은 복잡한 수작업을 자동화합니다
• 중앙 집중식 보안: 가장 큰 특징으로, S3에 저장된 데이터에 대해 중앙 집중화된 권한 관리를 제공합니다
• 세분화된 제어: 테이블, 열(Column), 행(Row) 수준의 세분화된 액세스 제어가 가능하며 , 태그 기반 제어도 지원합니다
• Glue 기반: AWS Glue의 기능을 기반으로 구축되었습니다

 
Amazon Security Lake
개념: AWS 환경, 온프레미스, 서드파티 소스로부터 발생하는 모든 보안 데이터(로그)를 중앙 집중화하여 사용자 계정 내의 전용 S3 데이터 레이크에 저장하는 서비스입니다
 
특징:

• 자동 수집: AWS CloudTrail, VPC Flow Logs, GuardDuty 등 다양한 소스의 로그를 자동으로 수집합니다
• 표준화 (OCSF): 모든 로그 데이터를 OCSF(Open Cybersecurity Schema Framework)라는 개방형 표준 형식으로 자동 변환하여, Athena나 다른 SIEM 도구로 분석하기 쉽게 만듭니다
• 데이터 소유: 데이터 레이크가 사용자 계정에 생성되므로, 데이터에 대한 완전한 소유권과 제어권을 가집니다

 
AWS Glue DataBrew
코딩 없이 데이터를 시각적으로 정리하고 정규화하는 데이터 준비 도구입니다 분석가가 250개 이상의 변환 기능을 클릭하여 사용하며, 정리 단계를 '레시피'로 저장해 재사용합니다
 
AWS Glue Studio
ETL 작업을 시각적인 GUI(드래그 앤 드롭)로 설계하고 모니터링하는 서비스입니다 사용자가 설계한 파이프라인을 기반으로 Spark 코드를 자동으로 생성하여 실행합니다


AWS Glue

• 개념: AWS Glue는 데이터 레이크 및 분석 워크로드에 사용할 데이터를 쉽게 준비하고 로드할 수 있도록 돕는 완전 서버리스 ETL(추출, 변환, 로드) 서비스입니다
• 서버리스 ETL: ETL 작업을 실행하는 데 필요한 인프라(서버)를 관리할 필요가 없습니다
• 통합: Amazon S3, Amazon RDS, Amazon DynamoDB, 온프레미스 JDBC 데이터베이스 등 다양한 데이터 소스를 지원합니다
• 데이터 준비: 데이터 분석을 위해 데이터를 정리하고 변환하는 데 유용합니다
• Data Catalog: 모든 AWS 계정에서 메타데이터를 저장하는 중앙 집중식 리포지토리인 AWS Glue Data Catalog를 사용합니다

 
AWS Glue 크롤러

• 개념: AWS Glue 크롤러는 데이터 소스(예: Amazon S3 버킷)를 스캔하여 데이터의 스키마(Schema)와 메타데이터를 자동으로 추론하고 발견하는 AWS Glue의 구성 요소입니다
• 자동 스키마 발견: 데이터의 형식, 테이블, 열 이름, 데이터 형식 등의 메타데이터를 자동으로 식별합니다
• Data Catalog 등록: 발견된 메타데이터를 AWS Glue Data Catalog에 테이블 정의로 기록하고 저장합니다
• 통합 분석: 크롤러가 등록한 메타데이터는 Amazon Athena, Amazon Redshift Spectrum, Amazon EMR 등 다른 AWS 분석 서비스에서 S3 데이터를 쿼리할 때 백그라운드에서 활용됩니다 (이를 통해 사용자는 S3의 원시 데이터를 SQL로 바로 분석할 수 있게 됩니다)
• 서버리스: 크롤러를 실행하는 데 필요한 컴퓨팅 리소스를 관리할 필요가 없습니다

Amazon EMR (Elastic MapReduce)
Hadoop, Spark, Hive 등과 같은 빅 데이터 프레임워크를 사용하여 대량의 데이터를 병렬로 분석하고 처리하는 데 특화된 서비스입니다 이는 수천 개의 항목을 병렬로 처리하는 데 매우 적합
 
EMR Serverless
Spark, Hive 같은 빅데이터 작업을 EC2 클러스터 관리 없이 서버리스로 실행하는 서비스입니다 작업 실행에 필요한 리소스만 자동으로 할당하고 사용한 만큼만 비용을 지불합니다
 
Amazon Textract
PDF나 이미지 같은 문서에서 텍스트, 필기, 표 데이터를 추출하는 OCR 서비스입니다 단순 텍스트 외에 송장이나 신청서 양식의 구조(키-값)까지 인식하여 추출합니다
 
Amazon Comprehend
텍스트의 의미를 분석하여 정서(감정), 핵심 문구, 개체(이름, 장소)를 찾아내는 자연어 처리(NLP) 서비스입니다 Textract가 뽑아낸 텍스트가 긍정적인지 부정적인지, 무엇에 대한 내용인지 분석합니다
 
Amazon Rekognition
딥러닝을 사용하여 이미지(정지 영상)를 분석하는 서비스입니다 이미지 속의 객체, 장면, 얼굴(감정 포함), 유명인, 텍스트 등을 식별하고 콘텐츠가 부적절한지 감지합니다
 
Amazon Rekognition Video
저장된 영상이나 실시간 비디오 스트림을 분석하는 서비스입니다 비디오 속에서 객체, 장면, 얼굴, 텍스트, 부적절한 콘텐츠 등을 감지할 수 있습니다
 
Amazon SageMaker:  AWS에서 기계 학습(ML) 모델을 신속하게 구축, 학습(교육), 배포할 수 있도록 지원하는 완전 관리형 서비스 / SageMaker 저축 플랜은 Amazon SageMaker 사용량에 대한 할인을 제공
 
SageMaker Autopilot
Amazon SageMaker의 기능 중 하나로, 머신 러닝(ML) 모델 구축 과정을 자동화합니다 테이블 형태의 데이터(CSV 등)만 제공하면, 코딩 없이도 자동으로 데이터를 처리하고 최적의 모델을 찾아 배포합니다
 
Amazon Forecast
기계 학습(ML)을 사용하여 과거 데이터를 기반으로 비즈니스 지표(예: 제품 수요, 웹 트래픽)의 미래 예측 완전 관리형 서비스
 
Amazon Timestream
IoT 기기나 애플리케이션 로그처럼 시간에 따라 발생하는 시계열 데이터를 대규모로 수집, 저장, 쿼리하는 서버리스 데이터베이스 서비스입니다
 
AWS Data Pipeline
온프레미스 데이터 소스나 AWS 서비스 간에 데이터를 처리하고 정해진 간격으로 이동시키는(ETL) 웹 서비스입니다
 
AWS Migration Hub
AWS로의 마이그레이션 진행 상황을 한곳에서 추적하고 관리하는 중앙 대시보드입니다
 
AWS Schema Conversion Tool (AWS SCT)
원본 데이터베이스 스키마를 대상 데이터베이스와 호환되는 형식으로 자동 변환해 주는 도구입니다
 
AWS Trusted Advisor
AWS 계정의 리소스 구성을 스캔하여 비용 절감, 성능 향상, 보안 강화에 대한 모범 사례 권장 사항을 제공하는 서비스입니다
 
AWS Application Discovery Service
온프레미스 서버의 구성, 사용량, 종속성 데이터를 수집하여 AWS 마이그레이션 계획 수립을 돕는 서비스입니다
 
AWS CloudFormation
코드를 사용하여 AWS 리소스(인프라)를 템플릿으로 정의하고, 이를 자동적이고 반복적으로 배포 및 관리하는 서비
 
AWS Snowball
페타바이트급의 대용량 데이터를 AWS로 오프라인 전송하거나 엣지 컴퓨팅을 위해 사용하는 물리적 스토리지/컴퓨팅 장치입니다
 
AWS Snowmobile 
엑사바이트급의 초대규모 데이터를 AWS로 전송하기 위해 컨테이너 트럭에 실어 이동하는 거대한 데이터 마이그레이션 디바이스
 
AWS DataSync

• 온프레미스 스토리지(NFS/SMB)와 AWS 스토리지(S3, EFS 등) 간의 온라인 데이터 전송을 자동화하고 가속화하는 관리형 마이그레이션 서비스입니다
• 데이터 전송의 안전성과 무결성을 자동으로 검증
• 엔드 투 엔드(End-to-End) 전송: DataSync는 온프레미스 에이전트와 AWS 스토리지 서비스 사이의 전체 전송 경로를 관리하며, 에이전트가 데이터를 전송하기 전에 암호화합니다

 
AWS Config

• AWS 리소스의 구성을 추적, 감사하고 시간의 흐름에 따른 구성 변경 사항을 기록하는 완전 관리형 서비스입니다 "restricted-ssh"라는 사전 구축된(관리형) 규칙이 있습니다
• EBS 볼륨이 암호화되었는지 자동으로 확인하는 encrypted-volumes와 같은 관리형 규칙(Managed Rules) 규정을 준수하지 않는 볼륨에 "규정 비준수(Non-compliant)" 상태 (플래그)를 표시

 

AWS Service Catalog

조직에서 승인된 AWS 서비스 및 IT 서비스의 중앙 집중식 카탈로그를 생성, 관리 및 배포할 수 있는 서비스입니다 이를 통해 사용자는 필요한 솔루션을 빠르고 일관된 방식으로 찾고 프로비저닝할 수 있습니다

 

 

Amazon VPC Lattice
마이크로서비스 아키텍처 환경에서 서비스 간의 연결, 보안, 모니터링을 단순화하는 완전 관리형 애플리케이션 네트워킹 서비스
 
LDAP (Lightweight Directory Access Protocol)
네트워크를 통해 디렉터리 서비스(사용자, 그룹, 장치 등 계층적 정보)에 접근하고 질의하기 위한 표준 프로토콜입니다
 
SAML (Security Assertion Markup Language)
웹 기반 환경에서 사용자 인증 및 권한 부여 정보를 교환하기 위한 XML 기반의 개방형 표준입니다(SSO의 기반 기술)
 
Session Manager
SSH 키를 사용하지 않고도 프라이빗 서브넷에 있는 EC2 인스턴스에 안전한 터미널 세션을 제공하며, 개발자는 마치 SSH로 접속한 것처럼 명령어를 실행
 
AWS Budgets

• 개념: AWS 서비스 사용량, 비용, 또는 예산 적용 범위와 사용률에 대한 목표 금액이나 비율을 설정하고 모니터링하는 완전 관리형 서비스입니다
• 목표 설정: 월별, 분기별, 연간 등 다양한 기간에 대해 비용 또는 사용량 예산을 생성할 수 있습니다
• 알림 기능: 실제 지출이 설정한 임계값(Threshold, 예: 예산의 60%나 80%)에 도달하거나 초과할 때 자동으로 알림을 전송합니다
• Savings Plans 지원: Compute Savings Plans나 예약 인스턴스(RI)의 사용률(Utilization) 및 적용 범위(Coverage)를 모니터링하여 최적의 활용을 돕습니다
• 자동 조치: 예산 임계값을 초과할 경우, 자동으로 특정 IAM 정책을 적용하거나 리소스를 중지하는 등의 자동 조치를 취할 수 있습니다

 
AWS Billing and Cost Management (결제 및 비용 관리)

• 개념: AWS 계정의 지출을 모니터링, 분석 및 제어하는 도구 모음입니다 이는 AWS 사용에 대한 청구 및 지불을 관리하는 기본 콘솔입니다
• 비용 모니터링 및 분석: AWS Cost Explorer를 통해 과거 및 현재 비용을 분석하고 예측하며, AWS Budgets를 설정하여 예산 초과 시 알림을 받을 수 있습니다
• 이상 감지: AWS 비용 이상 감지(Cost Anomaly Detection) 기능을 사용하여 예상치 못한 급격한 지출 상승(비정상 지출)이 발생했을 때 자동으로 알림을 받을 수 있습니다
• 비용 할당: 비용 할당 태그를 사용하여 리소스를 프로젝트나 부서별로 분류하고, 지출에 대한 책임 소재를 명확히 합니다
• 조직 관리: AWS Organizations와 통합되어 통합 결제 및 여러 계정의 지출을 중앙에서 관리합니다

 
Cost 관련 (3대 도구 구분)
1. AWS Cost Explorer (분석 및 예측)

• 목적: 과거 및 현재의 비용 패턴을 분석하고 미래 비용을 예측하는 데 사용됩니다
• 핵심 기능:
  • 과거 데이터 접근: 최대 12개월 이상의 비용 데이터를 세부적으로 분석
  • 비용 예측: 향후 최대 12개월의 비용을 예측
  • API 지원: 외부 대시보드와 통합을 위해 API를 제공합니다

2. AWS Budgets (예산 설정 및 경고)

• 목적: 특정 비용이나 사용량에 대한 예산을 설정하고, 임계값(Threshold) 초과 시 알림을 받는 데 사용됩니다
• 핵심 기능:
  • 경고: 실제 비용이 예산의 60%나 80% 등에 도달했을 때 이해관계자에게 알림
  • Savings Plan 모니터링: Savings Plan의 사용률(Utilization) 및 적용 범위(Coverage) 모니터링

3. AWS Cost Anomaly Detection (이상 징후 감지)

• 목적: 예측 불가능한 급격한 비용 상승(비정상 지출)을 실시간으로 감지하고 알리는 데 사용됩니다
• 핵심 기능:
  • 패턴 학습: 과거 비용 지출 패턴을 ML로 학습하여 정상 범위를 벗어난 이상 징후를 식별

 
VoIP(Voice over Internet Protocol)
음성 데이터를 인터넷 프로토콜(IP) 기반의 네트워크를 통해 디지털 패킷 형태로 전송하여 음성 통화를 가능하게 하는 기술 및 서비스입니다
 
Amazon Lex
음성 및 텍스트를 사용하여 애플리케이션에 지능형 대화형 인터페이스(Conversational Interfaces)를 구축하도록 돕는 AWS 서비스입니다
 
AWS Systems Manager

• 개념: AWS 클라우드 및 온프레미스(사내) 환경에서 운영 통찰력을 얻고 관리를 자동화하는 데 도움을 주는 관리형 서비스 모음
• Session Manager (세션 관리): SSH 키나 배스천 호스트 없이 대화형 원격 셸을 통해 EC2 인스턴스에 안전하게 액세스하고 관리할 수 있습니다
• Parameter Store (파라미터 저장소): 구성 데이터 및 자격 증명(비밀번호, DB 문자열 등)을 안전하게 저장하고 관리하는 중앙 집중식 저장소 역할을 합니다
• Run Command (명령 실행): 다수의 EC2 인스턴스나 온프레미스 서버에 원격으로 스크립트나 명령을 실행할 수 있도록 지원합니다 (예: 소프트웨어 설치, 윈도우 업데이트 설정)
• Patch Manager (패치 관리): EC2 인스턴스에 대한 OS 및 소프트웨어 패치 프로세스를 자동화하고 관리합니다
• 자동화 (Automation): 일반적인 유지 관리 및 배포 작업을 자동화하는 데 사용되는 런북(Runbook)을 제공합니다

 
App Runner
웹 애플리케이션 및 API를 컨테이너화하여 클라우드에 쉽게 구축, 배포 및 실행할 수 있도록 돕는 완전 관리형 서비스입니다 개발자는 인프라나 컨테이너 오케스트레이션에 신경 쓸 필요 없이 코드를 제공하면 됩니다
 
App2Container (A2C)
기존 Microsoft .NET 및 Java 애플리케이션을 Docker 컨테이너 이미지로 자동 분석, 패키징하고 AWS로 마이그레이션하는 과정을 돕는 명령줄 도구(CLI Tool)입니다 이는 기존 온프레미스 애플리케이션을 리프트 앤 시프트(Lift and Shift) 방식으로 컨테이너 환경으로 옮길 때 사용됩니다