AWS 기본 개념

AWS 글로벌 인프라

리전(region)

• 데이터 센터를 클러스터링하는 물리적 위치
• 한 개의 AWS 리전은 두 개 이상의 가용 영역(Availability Zone: AZ)으로 구성
• 대부분의 AWS 서비스는 리전을 선택해서 시작

 

세계 각지에 리전이 존재하면 생기는 장점

- 세계 각지의 사용자가 이용하는 글로벌 시스템을 구축할 수 있어 통신 지연을 줄일 수 있음
- 법적 요구 사항으로 특정 국가에 시스템을 구축해야 하는 경우 특정 리전을 사용해 요건을 충족시킬 수 있음
- 특정 리전에서 시스템을 사용할 수 없게 된다고 해도 다른 리전에서 시스템을 가동할 수 있음

 

가용 영역(Availability Zone)

• 하나 이상의 개별 데이터 센터
• 한 개의 리전은 두 개 이상의 가용 영역으로 구성
• 가용 영역끼리는 물리적으로 떨어져 있고, 고속 네트워크로 연결됨

 

엣지 로케이션(Edge Location)

• 콘텐츠를 캐싱해 사용자에게 더 짧은 지연 시간으로 콘텐츠를 전송
• 전세계 300개 이상의 엣지 로케이션이 존재

---

AWS IAM

• AWS 서비스 및 리소스에 대한 액세스와 ID를 안전하게 관리
• 사용자, 그룹, 역할, 정책으로 구성됨
• 리전에 속하는 서비스가 아닌 글로벌 서비스

보안 강화를 위한 IAM 보안 모범 사례

- 루트 계정(AWS 회원 가입 시 만들어지는 계정)은 최초 사용자 계정 생성 이후 가능하면 사용하지 말 것
- 사용자 계정으로 서비스를 사용하고, 사용자는 필요한 최소한의 권한만 부여 (최소 권한의 원칙)
- 루트 계정과 개별 사용자 계정에 강력한 암호 정책과 멀티팩터 인증(MFA) 적용

사용자(user)

• AWS의 기능과 자원을 이용하는 객체
• 사람 또는 애플리케이션

 

사용자 그룹(user group)

• 여러 사용자에게 공통으로 권한을 부여하기 위해서 만든 개념
• 여러 사용자에게 일관된 권한 정책을 쉽게 적용하는 것이 가능함

 

권한

• AWS의 서비스나 자원에 어떤 작업을 할 수 있는지의 여부를 명시한 규칙

 

정책(policy)

• 권한의 모음으로 사용자, 사용자 그룹, 역할에 적용이 가능함
• JSON 형식의 문서로 구성됨
• 사용자, 사용자 그룹, 역할에 권한을 직접 적용할 수 있고, 정책을 생성한 후 적용해야 함

 

정책을 정의하는 방법

• 작업(Action): 사용자가 허용하는 AWS 서비스 작업
• 리소스(Resource): 해당 작업을 수행할 수 있는 AWS 리소스
• 효과(Effect): 액세스를 허용할지, 거부할지 여부를 설정
• 조건(Condition): 정책이 적용되기 위해 필요한 조건

{						
		"Version": "2012-10-17", 
		"Statement": [				
			{ 
				"Resource": "*", 
				"Action": "*", 
				"Effect": "Allow"
			}
		]
	}

 

역할(role)

• 어떤 행위를 하는 객체에게 여러 정책을 적용한다는 점에서는 사용자와 비슷하지만, 객체가 사용자가 아닌 서비스나 다른 AWS 계정의 사용자라는 차이가 있음
• 사용자가 아닌 특정 서비스에서 생성한 객체와 권한을 부여하는 것에 사용