[AWS] 클라우드, AWS, IAM

클라우드

• 인터넷을 통해 액세스할 수 있는 서버와 이러한 서버에서 작동하는 소프트웨어와 데이터베이스를 의미한다.
• 즉 광대한 네트워크를 통하여 접근할 수 있는 가상화된 서버와 서버에서 작동하는 프로그램과 데이터베이스를 제공하는 IT 환경을 의미하며, 클라우드(Cloud)라는 단어가 말해주듯, 인터넷 통신망 어딘가에서 구름에 싸여 보이지 않는 컴퓨팅 자원(CPU, 메모리, 디스크 등) 을 인터넷으로 쉽게 이용할 수 있다.
• 쉽게 말하면 수많은 컴퓨터가 분산화되어있는데 하드웨어나 소프트웨어등이 준비되어 있지 않아도 인터넷에 연결된 단말기만 있으면 어디에서든 데이터 센터에 접속해 데이터를 관리하고 설치된 소프트웨어를 이용할 수 있는 서비스이다.
•  AWS, 마이크로소프트 애저(Azure), 구글 클라우드 플랫폼(Google Cloud Platform)은 클라우드 컴퓨팅을 제공하는 서비스이다.

 

컴퓨팅

컴퓨팅은 컴퓨터 기술 자원을 개발 및 사용하는 모든 활동을 가리킨다. 원래 컴퓨팅이라는 단어는 '계산'이라는 뜻이었고, 컴퓨터는 계산하는 사람이나 기계를 지칭한다. 

 

클라우드 컴퓨팅

클라우드 컴퓨팅은 사용자의 직접적인 활발한 관리 없이 특히, 데이터 스토리지와 컴퓨팅 파워와 같은 컴퓨터 시스템 리소스를 필요시 인터넷을 통해 제공하고 사용한 만큼만 비용을 지불하는것을 말한다.

 

 

클라우드 컴퓨팅의 종류

 

 

IaaS	PasS	SaaS
-  Infrastructure as a Service - 인프라만 제공 - OS를 직접 설치하고 필요한 소프트웨어를 개발해서 사용 - 즉 가상의 컴퓨터를 하나 임대하는 것과 비슷함 - 예: AWS EC2 - 예시: 주방만 빌려주는 것과 비슷	- Platform as a Service - 인프라 + OS + 기타 프로그램 실행에 필요한 부분(런타임) - 바로 코드만 올려서 돌릴 수 있도록 구성 - 예: Firebase, Google App Engine - 예시: 주방, 요리재료, 주방기기	- Software as a Service - 인프라 + OS + 필요한 소프트웨어가 제공됨 - 완성된 서비스를 제공 - 다른 세팅없이 서비스만 이용 - 예: Gmail, Slack, Google Docs - 예시: 주방, 레시피,요리재료, 주방기기

 

 

클라우드 컴퓨팅 배포 모델

 애플리케이션을 배포할 수 있는 클라우드 환경을 나타낸다.

 

 

퍼블릿 클라우드(공개형)

• 클라우드 서비스 제공 업체가 인프라를 소유하고 있고, 인터넷을 통해 일반적인 기업이나 개인에게 클라우드 인프라 서비스를 제공한다
• 퍼블릭 클라우드 기반 애플리케이션은 모든 구성 요소가 클라우드에 배포된다 → 애플리케이션의 모든 부분이 클라우드에서 실행된다 -> 사용자는 가상화된 컴퓨팅, 리소스에 서비스로 바로 액세스한다
• 다만 모두에게 개방된 서비스다 보니, 온프레미스 인프라에 비해 보안이 취약할 수 있다
• 특징
  
  • 모든 부분이 클라우드에서 실행
  • 낮은 비용
  • 높은 확장성

 

하이브리드 클라우드(혼합형)

• 하이브리드 배포 모델에서는 기존 인프라와 애플리케이션을 클라우드 기반 리소스에 연결하는 방식으로 배포된다 : 인프라는 클라우드에 존재하지 않고 자사의 물리적 시설에 위치함
• 퍼블릭 클라우드와 프라이빗 클라우드의 기능과 이점을 모두 활용 가능
  • 애플리케이션을 안전한 환경에서 호스팅하는 동시에(인프라는 자사의 물리적 시설에 있으니까) 퍼블릭 클라우드의 비용 절감 효과를 누릴 수 있다
  • 자사의 중요한 정보는 프라이빗 클라우드로 운용하고 서비스 이용은 퍼블릭 클라우드로 이용하는 경우가 많다
• 이 하이브리드 모델의 가장 일반적인 배포 방법은 클라우드와 기존 온프레미스 사이에 배포하는 것이다 : 이렇게 하면 클라우드 리소스를 내부 시스템에 연결하는 동시에 구현 환경이 확장된다
• 특징
  • 폐쇄형에서 공개형으로 전환하는 과도기에 사용
  • 혹은 폐쇄형의 백업으로 사용

 

프라이빗 클라우드(폐쇄형)

• 프라이빗 클라우드는 특정 조직을 위해 별도의 클라우드망을 클라우드 전문 회사에서 구축해 제공하는 방식으로 필요에 따라 인프라 증설을 쉽게 할수 있다. 
• 퍼블릭 클라우드 배포 모델과 정반대로, 단일 고객을 위한 일대일 환경이다 -> 다른 사람과 하드웨어를 공유할 필요가 없다.
• 가상화 및 리소스 관리 도구를 사용하여 온프레미스에 리소스를 배포하는 것을 프라이빗 클라우드라고 부른다.
• 이 방법은 클라우드 컴퓨팅이 가진 많은 장점을 제공하지는 않지만, 전용 리소스를 제공하는 온프레미스 기능이 필요할 때 적절하다.
• 대부분의 경우 프라이빗 클라우드 배포 모델은 리소스 활용도를 높이기 위해 애플리케이션 관리 및 가상화 기술을 사용한다는 점에서 레거시 IT 인프라와 같다.
• 특징
  • 높은 수준의 커스터마이징 가능
  • 초기 비용이 비쌈
  • 유지보수 비용이 비쌈
  • 높은 보안

 

💡 온프레미스 (On-premise)

사용자가 물리적인 공간에 서버를 구축하는 전통적인 방법

 

💡 레거시 시스템

레거시 시스템은 낡은 기술이나 방법론, 컴퓨터 시스템, 소프트웨어 등을 말한다. 이는 현대까지도 남아 쓰이는 기술을 부르는 말일 수도 있지만, 더 이상 쓰이지 않더라도 현대의 기술에 영향을 주는 경우도 포함한다.

 

 

---

 

AWS(Amazon Web Service) 

• 아마존이 제공하는 클라우드 서비스
• 전 세계적으로 분포한 데이터 센터에서 200개가 넘는 완벽한 기능의 서비스를 제공하는, 세계적으로 가장 포괄적이며, 널리 채택되고 있는 클라우드 플랫폼

AWS는 여러 리전과 리전 안의 2개 이상의 가용영역, 엣지 로케이션으로 구성

• 리전
  • AWS의 모든 서비스가 존재하는 지리적 위치
  • 각 리전에는 고유의 코드가 부여됨
  • 예시
    • 서울 리전은 ap-northeast-2
    • 미국 동부(버니지아 북부) 리전은 us-east-1
      
  • 리전별로 가능한 서비스가 다름
    
• 가용영역(Availability Zone)
  • 실제 데이터가 존재하는 데이터 센터
  • AZ(가용 영역)는 AWS 리전의 중복 전력, 네트워킹 및 연결이 제공되는 하나 이상의 개별 데이터 센터로 구성
    • 즉 리전이 동일해도 다른 가용 영역에 AWS 서비스를 각각 배치했다면 물리적으로는 복수의 데이터센터를 사용하는 것
  • 하나의 리전안에 두개 이상의 가용영역이 있으며 하나 이상의 데이터센터로 구성
  • 리전간의 연결은 매우 빠른 전용 네트워크로 연결
  • 반드시 물리적으로 일정거리(몇 KM 이상) 떨어져 있음
    
    • 다만 모든 AZ는 서로 100km 이내의 거리에 위치
      
    • 여러 재해에 대한 대비 및 보안
  • 각 계정별로 AZ의 코드와 실제 위치는 다름
    
    • 예: 계정 Test1의 AZ-A의 계정 Test2의 AZ-A와 다른 위치(랜덤)
    • 보안 및 한 AZ로 몰림을 방지하기 위함
      
• 엣지 로케이션
  • AWS의 CloudFront(CDN)등의 여러 서비스들을 가장 빠른 속도로 제공(캐싱)하기 위한 거점
  • 전 세계에 여러 장소에 흩어져 있음
• AWS의 서비스는 글로벌 서비스와 리전 서비스로 구분
  • 글로벌 서비스: 데이터 및 서비스를 전 세계의 모든 인프라가 공유
    • CloudFront  : 최종 사용자에게 짧은 지연 시간과 빠른 데이터 전송 속도로 콘텐츠를 배포하는 웹 서비스
    • IAM
    • Route53
    • WAF
  • 지역 서비스: 특정 리전을 기반으로 데이터 및 서비스를 제공
    • 대부분의 서비스
      
      
• S3
  • 보안성, 안정성 및 확장성을 갖춘 객체 스토리지
  • 전 세계에서 동일하게 사용할수 있으나 데이터 자체는 리전에 종속: 리전서비스
• AWS의 모든 리소스는 ARN이 부여됨
  • ARN(Amazon Resource Name) : AWS의 모든 리소스의 고유 아이디

 

 

AWS의 서비스: 165개 이상의 서비스 제공

• AWS에는 서비스가 165개 이상 있다.
• AWS는 목적에 따라 다양한 서비스를 제공한다.

 

웹 서버를 구축하고 싶을 때	모바일 시스템을 구축하고 싶을 떄
서버(EC2) 서버 OS(AMI) IP 주소(Elastic IP) 스토리지(S3) 도메인(Route 53) DB 서버(RDS)	애플리케이션 서버(EC2) DB 서버(RDS) 통지 시스템(SNS) 스토리지(S3) IP 주소(Elastic IP) 인증 서버(Cognito)
콘텐츠를 배포하고 싶을 때	IoT를 구축하고 싶을 때
서버(EC2) 캐시 서버(CloudFront) IP 주소(Elastic IP) 도메인(Route 53)	API 서버(IoT Core) DB 서버(DynamoDB/RDS) 분석 도구(ElasticSearch)
머신 러닝을 개발하고 싶을 때	로봇을 만들고 싶을 때
머신 러닝 모델(Machine Learning, SageMaker) 이미지 동영상 인식(Rekognition) 음성 인식(Transcribe, Lex)	로봇 프레임워크(RoboMaker)

 

AWS 중에서도 특히 대표적인 서비스 몇가지

Amazon EC2	Amazon S3
Amazon Elastic Compute Cloud는 컴퓨팅 용량을 제공하는 서비스이다. 한마디로 말하면 서버, OS, 소프트웨어 등을 세트로 사용할 수 있다. 다양한 사양이 준비되어 있고 자유롭게 소프트웨어를 설치하고 시스템을 구축할 수 있으며 이미 세팅된 서버를 사용하는 것도 가능하다. 성능은 가변적이며 일시 정지 중에는 언제든 성능을 높이거나 낮출 수 있다.	Amazon Simple Storage Service는 오브젝트 스토리지 서비스이다. 웹 서버 및 파일 서버용 파일을 보관하는 장소(스토리지)로 사용할 수 있다. S3는 강력하고 다양한 기능이 있어 장애 및 에러에 강할 뿐만 아니라 강력한 관리 기능이나 다른 서비스와 연동하는 기능도 갖추고 있다. 파일 크기는 최대 5TB이며, 전체 용량의 제한은 없다.
Amazon VPN	Amazon RDS
Amazon VPN은 AWS 계정 전용의 가상 네트워크이다. 네트워크 및 서브넷의 범위, 라우팅 테이블 및 네트워크 게이트웨이 등을 설정하고, 가상 네트워크 환경을 구성한다.	Amazon RDS는 관계형 데이터베이스의 대표라고 할 수 있는 6종류(Amazon Aurora, PostgreSQL, MySQL, MariaDB, Oracle Database, SQL Server)를 클라우드에서 이용할 수 있는 서비스이다.
Amazon Route 53	Elastic IP 주소
Amazon Route 53는 DNS(도메인 네입 서버)이다. 웹 서버에 필수인 DNS 기능을 제공한다.	Elastic IP 주소는 서버에 필수인 정적 공인 IP 주소를 제공한다. EC2 및 ELB와 조합하여 사용한다.
Amazon Managed Blockchain	Amazon SageMaker
Amazon Managed Blockchain은 블록체인 네트워크를 생성, 관리할 수 있는 도구이다. 데이터 위조 및 변조를 확인하는 기반으로 이용할 수 있다.	Amazon SageMaker는 머신 러닝 모델을 구축, 트레이닝, 배포할 수 있다. 머신 러닝에서 자주 사용되는 주피터 노트북(Jupyter Notebook)을 클라우드로 제공한다.
AWS Cloud9	Amazon GameLift
AWS Cloud9은 웹 브라우저로 조작이 가능한 통합 개발 도구이다. 각종 언어에 대응하고 컴퓨터에 개발 도구를 설치하지 않고 시스템을 개발할 수 있다.	Amazon GameLift는 게임 호스팅 서비스이다. 멀티플레이어 대전 등 실시간 데이터 통신을 짧은 대기 시간으로 제공한다.

 

 

AWS 계정 생성

 

• AWS 계정을 처음 생성하면 루트 유저와 기본 리소스(기본 VPC)등이 생성됨
• AWS계정 아이디가 부여됨(숫자)

 

---

IAM (AWS Identity and Access Management)

사용자 및 그룹을 만들어서 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 아마존 웹 서비스이다.  IAM 를 사용하면 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할수 있다. AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할수 있다.

 

IAM 소개 

• AWS 어카운트 관리 및 리소스/사용자/서비스의 권한 제어
  • 서비스 사용을 위한 인증 정보 부여
• 사용자의 생성 및 관리 및 계정의 보안
  • 사용자의 패스워드 정책 관리(일정 시간마다 패스워드 변경)
• 다른 계정과의 리소스 공유 
  •  Identity Federation(Facebook 로그인, 구글 로그인 등)
• 계정에 별명 부여 가능 -> 로그인 주소 생성가능 
•  IAM은 글로벌 서비스(Region 별 서비스 아님)

 

IAM 구성

 

• 사용자
  • 실제 AWS를 사용하는 사람 혹은 어플리케이션을 의미
• 그룹
  • 사용자의 집합
  • 그룹에 속한 사용자는 그룹에 부여된 권한을 행사
• 정책
  • 사용자의 그룹, 역할이 무엇을 할 수 있는지에 관한 문서
  • JSON 형식으로 정의
• 역할
  • AWS 리소스에 부여하여 AWS리소스가 무엇을 할 수 있는지를 정의
  • 혹은 다른 사용자가 역할을 부여 받아 사용
  • 다른 자격에 대해서 신뢰관계를 구축 가능
  • 역할을 바꾸어 가며 서비스를 사용 가능

 

 

 AWS 사용자의 종류

• 루트 사용자 : 결제 관리를 포함한 계정의 모든 권한을 가지고 있음
  • 관리 목적 이외에 다른 용도로 사용하지 않는것을 권장
  • 탈취 되었을때 복구가 매우 어려움 -> MFA 를 설정하는 것을 권장
  • MFA(Multi-factor authentication): 일회용 패스워드를 생성하여 로그인

 

• IAM 사용자: IAM을 통해 생성해서 사용하는 사용자
  • 한 사람 혹은 하나의 어플리케이션을 의미
  • 설정 시 콘솔 로그인 권한 부여 가능
  • 만들때 주어진 아이디로 로그인
  • 설정 시 AWS 서비스를 이용할수 있음
    • Access Key : 아이디 개념
    • Secret Access Key : 패스워드 개념, 한번 발급받으면 다시는 볼수없음.
  • AdminAccess를 부여하더라도 루트 사용자로 별도의 설정을 하지 않으면 Billing 기능을 사용할 수 없음

 

 

IAM 자격 증명 보고서

 

• 계정의 모든 사용자의 암호, 액세스 키, MFA 장치등의 증명 상태를 나열하는 보고서를 생성하고 다운로드 가능
• 4시간에 한번씩 생성 가능
• AWS 콘솔, CLI, API에서 생성 요청 및 다운로드 가능
• 포함 되는 정보

암호	엑세스키	기타
- 암호의 활성화 여부 - 마지막으로 사용된 시간 - 마지막으로 변경된 시간 - 언제 변경되어야 하는지	- 엑세스키 활성화 여부 - 마지막으로 사용된 시간 - 마지막으로 변경된 시간 - 어떤 서비스에 마지막으로 사용되었는지	- MFA 사용 여부 - 사용자 생성 시간

 

 

IAM 모범 사용 사례

 

• 루트 사용자는 사용하지 않기
• 불필요한 사용자는 만들지 않기
• 가능하면 그룹과 정책을 사욯하기
• 최소한의 권한만을 허용하는 습관을 들이기(Principle of least privilege)
• MFA를 활성화 하기
• AccessKey 대신 역할을 활용하기
• IAM 자격 증명 보고서(Credential Report)활용하기

 

 

 

 

 

 

 

 

 

참고

https://slog2.tistory.com/33

https://www.youtube.com/watch?v=tvwDDM-Y-qE&list=PLfth0bK2MgIan-SzGpHIbfnCnjj583K2m&index=4 

https://computasha.github.io/AWS-ACF-3/