AWS Identity and Access Management (IAM)를 통해 AWS 서비스와 리스소에 대한 엑세스를 관리할 수 있음.
설정 순서
- IAM Group
- IAM Role
- IAM Policy
권한 설정 예시
회사
root -> 사장
팀장 -> up권한
팀원 -> 최소한의 권한
권한을 설정해 역할에 맞는 데이터에 접근 가능하도록 해야 함.
Policy가 권한을 Role에게 주어 각 리소스 (EC2, RDS, S3) 접근 권한 설정함.
EC2
RDS
S3
AWS EC2 서버를 사용하기 위한 절차
- AMI (Amazon Machine Image)를 선택
AMI -> EC2 인스턴스를 시작하는데 필요한 정보를 이미지로 만들어 놓은 것을 의미.
인스턴스라는 가상머신 (가상서버)에 운영체제 등을 설치할 수 있게 구워 넣은 이미지라고 생각하면 됨. - 인스턴스 유형을 선택
인스턴스는 애플리케이션을 실행할 수 있는 가상 서버.
이러한 인스턴스에는 CPU, 메모리, 스토리지 및 네트워킹 용량의 다양한 조합이 있음.
이것을 사용하기 위한 요금유형을 선택하는 단계라고 생각하면 됨. - 인스턴스 세부 정보를 구성
기업의 경우, VPC,서브넷 등을 자세하게 설정.
VPC, 서브넷 등은 AWS 서비스들의 네트워크 환경을 구성하는 정도로만 이해 - 스토리지를 선택
스토리지는 하드디스크라고 부르는 서버의 디스크를 이야기함.
서버의 용량을 얼마나 정할지 선택하는 단계. - 보안 그룹을 설정
AWS의 보안 그룹은 방화벽을 의미 == '서버로 80포트 외에는 허용하지 않는다.' - EIP 할당하고 EC2주소를 연결
- EC2 서버에 접속
- 이외, AMI로 아마존 리눅스 1 (Amazon Linux AMI 1)로 서버를 생성했다면, 자바 기반의 웹 어플리케이션이라면, 꼭 해야 할 설정들
Java 8 설치
타임존 변경
호스트네임 변경
각 절차의 상세 정보 및 실행 과정에 대한 포스팅
AWS RDS
RDS (Relation Database Service)는 AWS에서 지원하는 클라우드기반 관계형 데이터베이스.
인프라 및 데이터베이스 업데이트를 관리해주는 것 뿐만 아니라 까다로운 관계형 데이터베이스의 설치, 운영 그리고 관리를 지원하는 서비스.
추가로 조정 가능한 용량을 지원하여 예상치 못한 양의 데이터가 쌓여도 비용만 추가로 내면 정상적으로 서비스가 가능.
Amazon RDS는 현재 MySQL, Oracle, SQL Server, PostgreSQL, MariaDB, Aurora(MySQL과 호환) 등의 데이터베이스 엔진을 지원.
특히, Amazon Aurora라는 자체 데이터베이스를 제공.
Amazon Aurora는 AWS에서 MySQL과 PostgreSQL을 클라우드 기반에 맞게 재구성한 데이터베이스.
AWS에서 직접 엔지니어링하고 있기 때문데 계속 발전하고 있음.
하지만 프리티어대상(무료)가 아니라서, 나중에 Amazon Aurora로 교체하기 용이한 MariaDB를 추천.
또한, MariaDB는 MySQL을 기반으로 만들어졌기 때문에 사용법이 비슷하며, 더 향상된 성능을 지원.
AWS RDS 데이터베이스를 사용하기 위한 절차
1. RDS 인스턴스를 생성
데이터베이스(DBMS) 를 선택하는 단계.
2. 상세 설정 및 데이터베이스 옵션을 설정
스토리지 유형, 할당된 스토리지 등을 설정하고, DB인스턴스 이름과 사용자 정보, 네트워크 및 보안을 설정.
3. RDS 운영환경에 맞는 파라미터 그룹을 설정
타임존 : Asia/Seoul
Character Set
Max Connection : 인스턴스 사양
4. 파라미터 그룹을 데이터베이스에 연결
5. IntelliJ (내 PC)에서 RDS에 접속
RDS 보안 그룹에 본인 PC의 IP주소를 추가.
RDS 보안 그룹에 EC2의 보안 그룹을 추가한다. -> EC2와 RDS 간의 접근을 가능하게 하기 위함.
IntelliJ에 Database 플러그인을 설치한 후, 세부 설정.
6. EC2에서 RDS에서의 접근을 확인
AWS RDS 환경 구축하기
이번 포스팅에서는 AWS RDS 인스턴스를 생성하여, IntelliJ 내 프로젝트와 연동하는 과정에 대해 알아보자. 사용할 DB는 mariaDB입니다. DB 선택 이유는 이전 포스팅에서 확인해주세요~ (이번 포스팅에��
shin-bugkiller.tistory.com
AWS S3
S3 (Simple Storage Service)는 아마존 웹 서비스에서 제공하는 API를 통한 인터넷 규모의 스토리지 웹 서비스.
AWS에서 제공하는 일종의 파일 서버.
파일 서버는 서비스 운영에서 어떤 파일을 저장하고, 저장된 파일을 필요한 사람에게 제공하는 역할.
S3에서는 파일이라는 표현이 아니라 객체라고 표현.
이미지 파일을 비롯한 정적 파일들을 관리하거나, 배포 파일들을 관리, 접근 권한 관리, 검색 등의 기능을 지원.
보통 이미지 업로드 구현에 S3를 많이 이용.
AWS S3의 특징
1. 많은 사용자가 접속을 해도 이를 감당하기 위해서 시스템적 작업을 하지 않아도 됨.
2. 저장할 수 있는 파일 수의 제한이 없음.
3. 단일 파일을 최소 1바이트에서 최대 5TB의 데이터를 저장하고 서비스 할 수 있음.
4. 파일에 인증을 붙여서 무단으로 엑세스 하지 못하도록 할 수 있음.
5. HTTP와 BitTorrent 프로토콜을 지원.
BitTorrent는 P2P방식의 배포방식.
다운로드를 요청한 각각의 컴퓨터가 클라이언트이면서 서버역할.
최초로 다운로드를 제공하게 되면, 그 다음부터는 클라이언트들이 서버 역할을 하게 되면서 역할을 분산.
-> 더 빠른 속도로 저렴하게 대용량 데이터를 사용자에게 제공.
6. REST, SOAP 인터페이스를 제공
REST: HTTP 프로토콜로 데이터를 전달하는 프레임워크 (Ref.🧐)
SOAP: XML기반의 메시지를 컴퓨터 네트워크 상에서 교환하는 프로토콜 (Ref.🧐)
7. 데이터를 여러 시설에서 중복으로 저장해 데이터의 손실이 발생할 경우 자동으로 복원
직접 하드디스크를 사용하는 것보다 훨씬 안전.
8. 버전관리 기능을 통해서 사용자에 의한 실수도 복원이 가능
9. 정보의 중요도에 따라서 보호 수준을 차등 할 수 있고, 이에 따라서 비용을 절감 (RSS)
예를 들면, 썸네일 : 썸네일은 이미지를 줄인 것으로, 원본 이미지가 존재.
원본 이미지는 스탠다드 방식으로 S3에 저장을 하고, 썸네일된 데이터는 보호수준을 낮춘 서비스인 RSS방식으로 서비스
따라서, 그 데이터를 사용자에게 제공하는 데 필요한 비용이 낮아지게 됨.
AWS Organizations는 계정을 만들고 SCP(서비스 제어 정책)을 사용해 조직 계정의 권한을 제어.
SCP와 IAM정책이 충돌하면 동시에 가진 권한들만 접근가능.
AWS Artifact : 필요에 다라 보안 및 규정을 제공 받을 수 있음.
AWS WAF : IP를 확인하고 승인된 곳인지 아닌지를 판별해 차단하거나 허용함.
DoS : 서비스 거부 공격 -> 해커가 대상에게 공격이 단일 소스로부터 발생
DDoS : 분산 서비스 거부 공격 -> 해커가 대상에게 공격이 여러 소스로부터 발생
AWS Shield : DDoS 공격으로부터 보호.
확실한 방어를 위해서는 Shield Advanced 대신 가격이 비쌈 -> 유료 서비스
Ammazon Inspector : 키워드 -> 취약성 관리
KMS : 전자 암호화 키 관리하는 서비스
사용자, 그룹 -> 자격 증명
특정 리스소 -> 리소스 권한
IAM 초기 설정
사용자 그룹 생성 권한 admin
사용자 생성 비밀번호 다음 로그인시 초기화 옵션 하지 않기.
사용자에 그룹 설정해주기
사용자 생성 완료
다시 MTF 디바이스 설정 admin 추가
access key 추가 root 키 추가