한줄요약:
클라우드 보안 - AWS 클라우드는 종량제(Pay-as-you-go) 기반으로 컴퓨팅 자원을 온디맨드로 제공하며, **AWS의 인프라(리전/AZ)**는 시스템의 가용성을 보장합니다. 보안은 공동 책임 모델 하에 관리되며, IAM 서비스는 **정책(Policy)**과 사용자/역할을 통해 접근 권한을 세밀하게 제어하는 핵심적인 서비스입니다.
오늘 공부한 내용:
1. AWS 기초 지식 및 클라우드 컴퓨팅 개요
A. 클라우드 컴퓨팅 정의 및 특징
클라우드 컴퓨팅은 편의성, 온디맨드(On-demand) 방식으로 구성 가능한 컴퓨팅 자원(서버, 스토리지, 네트워크 등)의 공유 풀에 접근하여 사용하는 모델입니다.
주요 특징 (NIST 정의):
On-demand self-service: 서비스 제공자 도움 없이 고객이 필요에 따라 자원 프로비저닝.
Broad network access: 표준 메커니즘을 통해 광범위한 네트워크 접근 가능.
Resource pooling (Multi-Tenant): 컴퓨팅 자원을 여러 소비자에게 공유(풀링)하여 동적으로 할당/재할당.
Rapid elasticity: 자원을 무한한 용량처럼 빠르게 확장/축소 가능 (Scale-out/Scale-in).
Measured service (Pay-as-you-go): 자원 사용을 측정하여 사용한 만큼만 지불 (종량제).
온프레미스 vs 클라우드:
온프레미스: 기업이 IT 인프라를 자체 소유/관리/운영하며 초기 투자 비용이 높습니다.
클라우드: 클라우드 업체가 인프라를 소유/운영하며, 고객은 자원을 이용하고 매월 사용료를 지불합니다 (초기 투자 비용 없음).
B. 클라우드 서비스 모델
모델,관리 범위 (고객),예시
IaaS (Infrastructure as a Service),"운영체제, 애플리케이션 등","AWS EC2, VPC, S3 (하드웨어 및 OS만 AWS 관리)"
PaaS (Platform as a Service),"애플리케이션, 데이터","AWS RDS, Elastic Beanstalk (OS, 미들웨어까지 AWS 관리)"
SaaS (Software as a Service),사용만,"Microsoft Office 365, Google Apps (모든 것을 AWS/벤더 관리)"
C. 클라우드 배포 모델
Private Cloud: 단일 조직이 독점적으로 사용 (조직 내부 또는 외부에 위치).
Public Cloud: 일반 사용자들이 공개적으로 사용 가능 (AWS, Azure, GCP 등).
Hybrid Cloud: 2개 이상의 클라우드 인프라(Private + Public 등)를 상호 연동하여 사용.
D. AWS를 이해하기 위한 특징 (6가지)
공동 책임 모델 (Shared Responsibility Model): AWS와 사용자 간의 책임 영역을 분리합니다.
AWS 책임: "클라우드의 보안" (인프라, 리전/AZ, 엣지 로케이션 등).
사용자 책임: "클라우드에서의 보안" (OS 설정, 데이터 암호화, IAM 관리 등).
글로벌 시스템 구축 가능 (AWS 글로벌 인프라):
리전 (Region): 서로 격리되고 독립적인 물리적 위치 (예: us-east-1). 리전 간 선택은 지연 시간, 법적 문제, 비용 등을 고려합니다.
가용 영역 (Availability Zone, AZ): 리전 내에서 물리적/네트워크적으로 격리된 데이터센터의 집합. 여러 AZ에 자원을 분산하여 고가용성을 확보합니다.
엣지 로케이션 (Edge Location): CloudFront와 같은 CDN 서비스를 위한 캐싱 거점.
종량제 요금: 사용한 만큼만 지불 (Pay-as-you-go).
유연한 자원 변경: 서버의 자원(CPU, 메모리)과 수(Scale-out/in)를 쉽게 변경.
장애를 예상한 설계: 여러 AZ에 분산 배치하여 복원력 강화.
Well-Architected Framework: 안전성, 성능, 안정성, 비용 효율성, 운영 우수성, 지속 가능성을 위한 설계 모범 사례 제공.
E. 서버리스 (Serverless)
고객이 서버를 관리할 필요가 없으며, 서비스가 이용될 때만 서버가 가동되고 완료되면 종료되어 사용 시간만큼만 요금이 발생합니다 (예: AWS Lambda)
2. AWS 서비스 사용 시작하기
A. AWS 계정 및 로그인
루트 사용자: 계정 생성 시 존재하며, 모든 권한을 가집니다. 일상적인 작업에는 사용하지 않고 IAM 사용자를 생성하여 사용하도록 권고됩니다.
IAM 사용자: 계정 ID, 사용자 이름, 패스워드를 사용하여 로그인하며, 부여된 권한 범위 내에서만 작업 가능합니다.
B. AWS 서비스 접근 방법
관리 콘솔 (GUI): 웹 브라우저를 통한 그래픽 사용자 인터페이스.
CLI (Command Line Interface): OS에 맞는 AWS CLI 도구를 설치하고 Access Key를 사용하여 인증.
SDK (Software Development Kit): 프로그램을 이용한 서비스 조작을 위해 각 개발 언어에 맞는 SDK를 설치하고 Access Key를 사용하여 인증.
C. AWS 비용 관리 도구
Cost Explorer: 비용 및 사용량 데이터를 시각화 및 분석.
Cost Anomaly Detection: 평소 패턴에서 벗어난 비정상적 비용 급증/감소를 자동 감지하고 알림.
Budgets: 예산 목표를 설정하고 임계값 초과 시 알림 설정.
RI/SP (예약 인스턴스/절감형 플랜): 선결제를 통해 비용을 최적화.
3. AWS IAM 서비스 (Identity and Access Management)
A. IAM 서비스란
AWS 서비스와 리소스에 대한 액세스를 관리하고 액세스 제어 분석을 수행하는 서비스입니다.
Identity Management (인증): 사용자/그룹/역할 생성 및 관리.
Access Management (권한 부여): 리소스에 대한 접근 권한 제어.
B. IAM 사용자 및 그룹
IAM 사용자: AWS 계정 내 개별 사용자. 고유한 자격 증명(콘솔 암호 또는 Access Key)을 소유하며, 부여된 권한 범위 내에서 작업합니다.
IAM 그룹: 여러 IAM 사용자에게 동일한 권한을 일괄적으로 부여하기 위해 사용. 사용자는 여러 그룹의 멤버가 될 수 있습니다.
C. IAM 정책 (Policy)
어떤 서비스 기능에 어떤 조작을 할 수 있는지 정의하는 JSON 형식의 문서입니다.
구성 요소:
Effect: Allow (허용) 또는 Deny (거부).
Action: 서비스 특정 작업 (예: s3:ListBucket).
Resource: 권한을 적용할 리소스 이름 (ARN 형식).
정책 유형:
관리형 정책: AWS 관리형 정책 (AWS 제공)과 고객 관리형 정책 (고객 직접 생성, 재사용 가능).
인라인 정책: 특정 IAM 사용자/그룹/역할에 1:1로 연결되는 정책.
자격 증명 기반 정책 (Identity-based): 사용자/그룹/역할에 연결되어 권한을 부여.
리소스 기반 정책 (Resource-based): AWS 리소스에 연결되어, 보안 주체(Principal)에게 권한을 부여 (예: S3 버킷 정책).
정책 평가 우선순위: **명시적 거부(Deny)**가 **명시적 허용(Allow)**보다 항상 우선합니다.
