AWS Certified Solutions Architect - Associate 자료 정리 2차

1차 정리: https://hunstory.tistory.com/52

AWS Certified Solutions Architect - Associate 자료 정리 1차

2차 정리: https://hunstory.tistory.com/56

AWS Certified Solutions Architect - Associate 자료 정리 2차

오답 정리: https://citrine-tarsier-db8.notion.site/952807b1bf2a40e9911204aba709d09a?v=1a581fe77e9b4db0a0b79c7da5cfd76e&pvs=4

 

AutoScailing

기본 종료 정책은 네트워크 아키텍처가 가용 영역에 고르게 걸쳐 있도록 보장하도록 설계되었습니다. 기본 종료 정책에서 Auto Scaling 그룹의 동작은 다음과 같습니다.

1. 여러 가용 영역에 인스턴스가 있는 경우 인스턴스가 가장 많은 가용 영역과 축소로부터 보호되지 않는 인스턴스가 하나 이상 있는 가용 영역을 선택합니다. 이 인스턴스 수가 있는 가용 영역이 둘 이상인 경우 가용 영역을 선택합니다. 가장 오래된 시작 구성을 사용하는 인스턴스로.
2. 선택한 가용 영역에서 가장 오래된 시작 구성을 사용하는 비보호 인스턴스를 결정합니다. 그러한 인스턴스가 하나 있으면 종료하십시오.
3. 위 기준에 따라 종료할 인스턴스가 여러 개인 경우 다음 청구 시간에 가장 가까운 비보호 인스턴스를 결정합니다. (이는 EC2 인스턴스 사용을 극대화하고 Amazon EC2 사용 비용을 관리하는 데 도움이 됩니다.) 그러한 인스턴스가 하나 있으면 종료하십시오.
4. 다음 청구 시간에 가장 가까운 비보호 인스턴스가 둘 이상인 경우 이러한 인스턴스 중 하나를 무작위로 선택합니다.

VPC Endpoint

VPC 엔드포인트 를 사용하면 인터넷 게이트웨이, NAT 컴퓨터, VPN 연결 또는 AWS Direct Connect 연결 없이도 지원되는 AWS 및 AWS PrivateLink에서 제공하는 VPC 엔드포인트 서비스에 VPC를 비공개로 연결할 수 있습니다 . VPC의 인스턴스는 서비스의 리소스와 통신하기 위해 퍼블릭 IP 주소가 필요하지 않습니다. VPC와 다른 서비스 간의 트래픽은 Amazon 네트워크를 벗어나지 않습니다.

Transit Gateway는 단순히 중앙 허브를 통해 VPC와 온프레미스 네트워크를 연결

AWS Direct Connect가 주로 온프레미스에서 AWS로의 전용 네트워크 연결을 설정하는 데 사용

AWS VPN CloudHub가 주로 원격 사이트 간의 보안 통신을 제공하는 데 사용

Lambda@Edge

Lambda@Edge를 사용하면 Lambda 함수를 실행하여 CloudFront가 제공하는 콘텐츠를 사용자 지정하고 뷰어에 더 가까운 AWS 위치에서 함수를 실행할 수 있습니다. 이 함수는 서버를 프로비저닝하거나 관리하지 않고 CloudFront 이벤트에 대한 응답으로 실행됩니다. Lambda 함수를 사용하여 다음 지점에서 CloudFront 요청 및 응답을 변경할 수 있습니다.

• CloudFront가 뷰어로부터 요청을 받은 후(뷰어 요청)
• CloudFront에서 오리진으로 요청을 전달하기 전(오리진 요청)
• CloudFront가 오리진으로부터 응답을 받은 후(오리진 응답)
• CloudFront가 뷰어에게 응답을 전달하기 전(뷰어 응답)

IAM DB Authentication

AWS Identity and Access Management(IAM) 데이터베이스 인증을 사용하여 DB 인스턴스에 인증할 수 있습니다. IAM 데이터베이스 인증은 MySQL 및 PostgreSQL에서 작동합니다. 이 인증 방법을 사용하면 DB 인스턴스에 연결할 때 암호를 사용할 필요가 없습니다. 대신 인증 토큰을 사용합니다.

인증 토큰 은 Amazon RDS가 요청 시 생성 하는 고유한 문자열입니다. 인증 토큰은 AWS 서명 버전 4를 사용하여 생성됩니다. 각 토큰의 수명은 15분입니다. 인증은 IAM을 사용하여 외부에서 관리되므로 데이터베이스에 사용자 자격 증명을 저장할 필요가 없습니다

IAM DB Authentication은 다음과 같은 이점을 제공합니다.

1. 데이터베이스로 들어오고 나가는 네트워크 트래픽은 SSL(Secure Sockets Layer)을 사용하여 암호화됩니다.
2. 각 DB 인스턴스에서 개별적으로 액세스를 관리하는 대신 IAM을 사용하여 데이터베이스 리소스에 대한 액세스를 중앙에서 관리할 수 있습니다.
3. Amazon EC2에서 실행되는 애플리케이션의 경우 보안을 강화하기 위해 암호 대신 EC2 인스턴스에 특정한 프로필 자격 증명을 사용하여 데이터베이스에 액세스할 수 있습니다

AWS Database Migration Service(AWS DMS)

AWS Database Migration Service(AWS DMS) 는 관계형 데이터베이스, 데이터 웨어하우스, NoSQL 데이터베이스 및 기타 유형의 데이터 저장소를 쉽게 마이그레이션할 수 있는 클라우드 서비스입니다. AWS DMS를 사용하여 온프레미스 인스턴스 간에(AWS 클라우드 설정을 통해) 또는 클라우드와 온프레미스 설정의 조합 간에 데이터를 AWS 클라우드로 마이그레이션할 수 있습니다. AWS DMS를 사용하면 일회성 마이그레이션을 수행하고 지속적인 변경 사항을 복제하여 소스와 대상을 동기화할 수 있습니다.

지원되는 데이터베이스 소스에서 AWS DMS를 사용하여 데이터를 Amazon S3로 마이그레이션할 수 있습니다. AWS DMS 작업에서 Amazon S3를 대상으로 사용하는 경우 전체 로드 및 변경 데이터 캡처(CDC) 데이터는 기본적으로 쉼표로 구분된 값(.csv) 형식으로 기록됩니다.

쉼표로 구분된 값(.csv) 형식은 Amazon S3 대상 객체의 기본 스토리지 형식입니다. 더 압축된 스토리지와 더 빠른 쿼리를 위해 대신 Apache Parquet(.parquet)를 스토리지 형식으로 사용할 수 있습니다.

SSL(Secure Sockets Layer)을 사용하여 소스 및 대상 엔드포인트에 대한 연결을 암호화할 수 있습니다. 이렇게 하려면 AWS DMS Management Console 또는 AWS DMS API를 사용하여 인증서를 엔드포인트에 할당할 수 있습니다. AWS DMS 콘솔을 사용하여 인증서를 관리할 수도 있습니다.

모든 데이터베이스가 같은 방식으로 SSL을 사용하는 것은 아닙니다. Amazon Aurora MySQL-Compatible Edition은 클러스터 내 기본 인스턴스의 엔드포인트인 서버 이름을 SSL의 엔드포인트로 사용합니다. Amazon Redshift 엔드포인트는 이미 SSL 연결을 사용하고 있으며 AWS DMS에서 설정한 SSL 연결이 필요하지 않습니다.

 

AWS Proton

AWS Proton을 사용하면 향상된 효율성, 일관성 및 제어 기능으로 모든 서버리스 또는 컨테이너 기반 애플리케이션을 배포할 수 있습니다. 조직에 대한 인프라 표준 및 효과적인 지속적 배포 파이프라인을 정의할 수 있습니다. Proton은 인프라를 환경과 서비스로 나눕니다("코드로서의 인프라" 템플릿).

개발자는 AWS Proton이 서비스 인스턴스에서 애플리케이션을 배포하고 관리하는 서비스를 생성하는 데 사용하는 표준화된 서비스 템플릿을 선택합니다. AWS Proton 서비스는 일반적으로 여러 서비스 인스턴스와 파이프라인을 포함하는 서비스 템플릿의 인스턴스화입니다.

!https://media.tutorialsdojo.com/aws-proton-service-diagram.jpg

위의 다이어그램은 간단한 AWS Proton 워크플로의 높은 수준의 개요를 보여줍니다.

AWS Proton에서 관리자는 개발 팀과 애플리케이션에서 사용되는 표준 인프라를 정의합니다. 그러나 개발 팀은 Amazon Simple Queue Service(Amazon SQS) 대기열 또는 Amazon DynamoDB 테이블과 같은 특정 사용 사례에 대한 추가 리소스를 포함해야 할 수 있습니다. 이러한 애플리케이션별 리소스는 특히 초기 애플리케이션 개발 중에 자주 변경될 수 있습니다. 관리자가 작성한 템플릿에서 이러한 빈번한 변경 사항을 유지하는 것은 관리 및 확장이 어려울 수 있습니다. 관리자는 실질적인 관리자 추가 가치 없이 더 많은 템플릿을 유지해야 합니다. 애플리케이션 개발자가 애플리케이션용 템플릿을 작성할 수 있도록 허용하는 대안도 이상적이지 않습니다. 이는 AWS Fargate 작업과 같은 주요 아키텍처 구성 요소를 표준화하는 관리자의 능력을 없애기 때문입니다.

구성 요소를 사용하여 개발자는 관리자가 환경 및 서비스 템플릿에 정의한 것 이상으로 응용 프로그램에 보충 리소스를 추가할 수 있습니다. 그런 다음 개발자는 구성 요소를 서비스 인스턴스에 연결합니다. AWS Proton은 환경 및 서비스 인스턴스에 대한 리소스를 프로비저닝하는 것처럼 구성 요소에 의해 정의된 인프라 리소스를 프로비저닝합니다.

 

Amazon Rekognition

Amazon Rekognition은 기계 학습을 사용하여 이미지 및 비디오 조정 워크플로를 간소화하거나 자동화하는 데 도움이 될 수 있습니다. 완전 관리형 이미지 및 동영상 조정 API를 사용하여 과도한 노출, 암시, 폭력 및 기타 카테고리가 포함된 부적절하거나 원치 않거나 불쾌감을 주는 콘텐츠를 사전에 감지할 수 있습니다.

Amazon Rekognition은 기계 학습 경험이 없어도 S&P(표준 및 관행), 사용자 안전 또는 규정 준수 지침에 따라 세분화된 비즈니스 규칙을 쉽게 정의할 수 있도록 조정 관련 레이블의 계층적 분류를 반환합니다.

!https://media.tutorialsdojo.com/amazon-rekognition-sample.jpg

Amazon Virtual Private Cloud(Amazon VPC)를 사용하여 AWS 리소스를 호스팅하는 경우 VPC와 Amazon Rekognition 간에 프라이빗 연결을 설정할 수 있습니다. 이 연결을 사용하면 Amazon Rekognition이 퍼블릭 인터넷을 거치지 않고 VPC의 리소스와 통신할 수 있습니다.

VPC를 Amazon Rekognition에 연결하려면 Amazon Rekognition에 대한 인터페이스 VPC 엔드포인트를 정의합니다. 인터페이스 엔드포인트는 지원되는 AWS 서비스로 향하는 트래픽의 진입점 역할을 하는 프라이빗 IP 주소가 있는 탄력적 네트워크 인터페이스입니다. 엔드포인트는 Amazon Rekognition에 안정적이고 확장 가능한 연결을 제공하며 인터넷 게이트웨이, 네트워크 주소 변환(NAT) 인스턴스 또는 VPN 연결이 필요하지 않습니다.

이 시나리오에서는 이미지를 수동으로 스캔하고 불쾌감을 주는 이미지에 태그를 지정하는 대신 Amazon Rekognition을 사용하여 이미지를 자동으로 분석하는 것이 가장 좋습니다. 물론 이것은 추가 검토를 위해 플래그가 지정된 이미지를 검토해야 하므로 성배 솔루션은 아니지만 콘텐츠 조정 프로세스의 속도를 높이는 데 확실히 도움이 됩니다.

Amazon RDS

Amazon RDS 에서는 장애 조치가 자동으로 처리되므로 기본 데이터베이스 인스턴스가 중단되는 경우 관리자 개입 없이 가능한 한 빨리 데이터베이스 작업을 재개할 수 있습니다. 장애 조치 시 Amazon RDS는 DB 인스턴스에 대한 정식 이름 레코드(CNAME)를 뒤집어 대기 인스턴스를 가리키도록 하고, 대기 인스턴스는 새로운 기본 인스턴스로 승격됩니다

Amazon RDS는 다음과 같은 경우 자동으로 장애 조치를 수행합니다.

1. 기본 가용 영역의 가용성 손실.
2. 기본에 대한 네트워크 연결이 끊겼습니다.
3. 기본 컴퓨팅 장치 오류입니다.
4. 기본 스토리지 오류입니다.

Amazon EMR

Amazon EMR은 방대한 양의 데이터를 처리하고 분석하기 위해 AWS에서 Apache Hadoop 및 Apache Spark와 같은 빅 데이터 프레임워크 실행을 간소화하는 관리형 클러스터 플랫폼입니다. 이러한 프레임워크와 관련 오픈 소스 프로젝트(예: Apache Hive 및 Apache Pig)를 사용하여 분석 목적 및 비즈니스 인텔리전스 워크로드를 위해 데이터를 처리할 수 있습니다. 또한 Amazon EMR을 사용하여 다른 AWS 데이터 스토어 및 데이터베이스에서 많은 양의 데이터를 변환하고 이동할 수 있습니다.

Amazon Redshift는 가장 널리 사용되는 클라우드 데이터 웨어하우스입니다. 표준 SQL 및 기존 비즈니스 인텔리전스(BI) 도구를 사용하여 모든 데이터를 빠르고 간단하며 비용 효율적으로 분석할 수 있습니다. 이를 통해 정교한 쿼리 최적화, 고성능 스토리지의 열 형식 스토리지 및 대규모 병렬 쿼리 실행을 사용하여 테라바이트에서 페타바이트에 이르는 정형 및 반정형 데이터에 대해 복잡한 분석 쿼리를 실행할 수 있습니다.

!https://media.tutorialsdojo.com/AWS-EMR-Redshift-Services.png

시나리오의 핵심 문구는 데이터를 분석하기 위한 "빅데이터 처리 프레임워크"와 "다양한 비즈니스 인텔리전스 도구 및 표준 SQL 쿼리"입니다. 빅 데이터 처리 프레임워크를 활용하려면 Amazon EMR을 사용해야 합니다. 클러스터는 데이터 변환(ETL)을 수행하고 분석 및 비즈니스 인텔리전스 애플리케이션을 위해 처리된 데이터를 Amazon Redshift로 로드합니다.

 

Auto Scaling cooldown period

Auto Scaling에서 휴지 기간과 관련하여 다음 설명이 정확합니다.

이전 조정 활동이 적용되기 전에 Auto Scaling 그룹이 추가 EC2 인스턴스를 시작하거나 종료하지 않도록 합니다.

기본값은 300초입니다.

Amazon S3 버킷에서 호스팅되는 웹 사이트로 트래픽을 라우팅하기 위한 전제 조건

• 정적 웹 사이트를 호스팅하도록 구성된 S3 버킷입니다. 버킷의 이름은 도메인 또는 하위 도메인과 동일해야 합니다. 예를 들어 하위 도메인 portal.tutorialsdojo.com을 사용하려는 경우 버킷의 이름은 portal.tutorialsdojo.com이어야 합니다.
• 등록된 도메인 이름. Route 53을 도메인 등록 대행자로 사용하거나 다른 등록 대행자를 사용할 수 있습니다.
• 도메인의 DNS 서비스인 Route 53. Route 53을 사용하여 도메인 이름을 등록하면 Route 53이 도메인의 DNS 서비스로 자동 구성됩니다.

Subnet(Security Group, Network Access Control List)

먼저 두 서브넷 간의 통신을 허용하도록 네트워크 ACL을 올바르게 설정해야 합니다. 웹 서버가 데이터베이스 서버와 통신할 수 있도록 보안 그룹도 적절하게 구성해야 합니다.

!https://media.tutorialsdojo.com/SGNCL-latest.jpg

EBS

• 가용 영역에서 EBS 볼륨을 생성하면 단일 하드웨어 구성 요소의 장애로 인한 데이터 손실을 방지하기 위해 해당 영역 내에서 자동으로 복제됩니다.
• EBS 볼륨은 한 번에 하나의 EC2 인스턴스에만 연결할 수 있습니다.
• 볼륨을 생성한 후 동일한 가용 영역에 있는 모든 EC2 인스턴스에 연결할 수 있습니다.
• EBS 볼륨은 인스턴스 수명과 독립적으로 지속될 수 있는 인스턴스 외부 스토리지입니다. 인스턴스 생성 중에 EC2 인스턴스를 종료할 때 EBS 볼륨을 종료하지 않도록 지정할 수 있습니다.
• EBS 볼륨은 프로덕션 중에 라이브 구성 변경을 지원합니다. 즉, 서비스 중단 없이 볼륨 유형, 볼륨 크기 및 IOPS 용량을 수정할 수 있습니다.
• Amazon EBS 암호화는 256비트 고급 암호화 표준 알고리즘(AES-256)을 사용합니다.
• EBS 볼륨은 99.999% SLA를 제공합니다.

AWS Multi-Factor Authentication(MFA)

AWS Multi-Factor Authentication(MFA)은 사용자 이름과 암호 위에 추가 보호 계층을 추가하는 간단한 모범 사례입니다. MFA가 활성화된 상태에서 사용자가 AWS 웹 사이트에 로그인하면 사용자 이름과 암호(첫 번째 요소 - 사용자가 알고 있는 것)와 AWS MFA 디바이스의 인증 코드(두 번째 요소)를 입력하라는 메시지가 표시됩니다. — 그들이 가진 것). 이러한 여러 요소를 종합하면 AWS 계정 설정 및 리소스에 대한 보안이 강화됩니다. AWS 계정 및 계정에서 생성한 개별 IAM 사용자에 대해 MFA를 활성화할 수 있습니다. MFA를 사용하여 AWS 서비스 API에 대한 액세스를 제어할 수도 있습니다.

Amazon Data Lifecycle Manager(Amazon DLM)

Amazon Data Lifecycle Manager(Amazon DLM)를 사용하여 Amazon EBS 볼륨을 백업하기 위해 생성된 스냅샷의 생성, 보존 및 삭제를 자동화할 수 있습니다. 스냅샷 관리 자동화는 다음과 같은 이점을 제공합니다.

• 정기적인 백업 일정을 시행하여 귀중한 데이터를 보호하십시오.
• 감사자 또는 내부 규정 준수가 요구하는 대로 백업을 유지합니다.
• 오래된 백업을 삭제하여 스토리지 비용을 줄입니다.

Amazon CloudWatch Events 및 AWS CloudTrail의 모니터링 기능과 결합된 Amazon DLM은 추가 비용 없이 EBS 볼륨을 위한 완벽한 백업 솔루션을 제공합니다.

 

AWS Config

AWS Config 는 AWS 리소스의 구성을 평가, 감사 및 평가할 수 있는 서비스입니다. Config는 AWS 리소스 구성을 지속적으로 모니터링하고 기록하며 원하는 구성에 대해 기록된 구성 평가를 자동화할 수 있습니다. Config를 사용하면 AWS 리소스 간의 관계 및 구성 변경 사항을 검토하고, 자세한 리소스 구성 기록을 자세히 살펴보고, 내부 지침에 지정된 구성에 대한 전반적인 규정 준수 여부를 확인할 수 있습니다. 이를 통해 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결을 간소화할 수 있습니다.

!https://media.tutorialsdojo.com/product-page-diagram-Config_how-it-works.bd28728a9066c55d7ee69c0a655109001462e25b.png

AWS Config를 사용하여 AWS 리소스의 구성 설정을 평가할 수 있습니다. AWS Config 규칙을 생성하면 AWS 계정에서 이상적인 구성을 적용할 수 있습니다. 또한 리소스에 적용된 구성이 규칙의 조건을 위반하는지 확인합니다. AWS Config 대시보드는 규칙 및 리소스의 규정 준수 상태를 보여줍니다. 리소스가 원하는 구성을 준수하는지 확인하고 규정을 준수하지 않는 특정 리소스를 알아볼 수 있습니다.

 

Amazon Route 53

Amazon Route 53은 가용성과 확장성이 뛰어난 DNS(Domain Name System) 웹 서비스입니다. Route 53을 사용하여 도메인 등록, DNS 라우팅 및 상태 확인과 같은 세 가지 주요 기능을 조합하여 수행할 수 있습니다. 도메인에 대한 호스팅 영역(예: example.com)을 생성한 후 DNS(Domain Name System)에 해당 도메인에 대한 트래픽 라우팅 방법을 알려주는 레코드를 생성합니다.

예를 들어 DNS가 다음을 수행하도록 하는 레코드를 만들 수 있습니다.

• example.com에 대한 인터넷 트래픽을 데이터 센터에 있는 호스트의 IP 주소로 라우팅합니다.
• 해당 도메인(jose.rizal@tutorialsdojo.com)의 이메일을 메일 서버(mail.tutorialsdojo.com)로 라우팅합니다.
• operations.manila.tutorialsdojo.com이라는 하위 도메인에 대한 트래픽을 다른 호스트의 IP 주소로 라우팅합니다

Routing

1. Latency Routing(지연 시간 라우팅)을 사용 하면 Amazon Route 53이 가장 낮은 지연 시간을 제공하는 AWS 리전의 사용자 요청을 처리할 수 있습니다. 그러나 동일한 지역의 사용자에게 동일한 위치에서 서비스가 제공된다는 보장은 없습니다.
2. Geoproximity Routing(지리 근접 라우팅)을 사용 하면 Amazon Route 53이 사용자와 리소스의 지리적 위치를 기반으로 트래픽을 리소스로 라우팅할 수 있습니다. 선택적으로 bias 라고 하는 값을 지정하여 지정된 리소스에 더 많은 트래픽을 라우팅하거나 더 적게 라우팅하도록 선택할 수도 있습니다 . 바이어스 는 트래픽이 리소스로 라우팅되는 지리적 지역의 크기를 확장하거나 축소합니다.
3. Geolocation Routing(지리적 위치 라우팅)을 사용하면 사용자의 지리적 위치, 즉 DNS 쿼리가 시작된 위치를 기반으로 트래픽을 제공하는 리소스를 선택할 수 있습니다.
4. Weighted Routing(가중 라우팅)을 사용 하면 여러 리소스를 단일 도메인 이름(tutorialsdojo.com) 또는 하위 도메인 이름(subdomain.tutorialsdojo.com)과 연결하고 각 리소스로 라우팅되는 트래픽 양을 선택할 수 있습니다.

Type

!https://media.tutorialsdojo.com/S3-1024x585.jpg