AWS 자격증 Cloud Practitioner 스터디 - 1

Cloud Practitioner 는 Foundational 자격증이다. 그래서 많은 사람들이 스킵하다.

다들 스킵하는데 스터디라 하기 민망하지만 일단 ㄱ

 

s1-2 aws 계정 생성

- 이메일로 회원과정을 해보니, 루트유저와 일반유저를 구분한다. 난 1명이니깐 같은 이메일로 했고 예전에 쓰던 계정을 활성화 시켰다.

- AWS Builder ID -> 최근에는 계정만들 때 이걸로 유도하나 보다.

- IAM 은 회사에서 사용하고, 나는 걍 이메일.

 

s3-7,8 클라우드 개념

Client-Server, IP필요

 

원래 아는건데, 라우터가 '데이터 패킷' 을 보낸다고 하고 Switch가 IP end-user 한테 보낸다는게 인상깊다.

맨날 용어 섞여쓰다가 클라우드에서 정리해줘서 다시 기록해본다.

 

 클라우드에서는 on-demand 키워득 중요하다고 한다. You get it when you need it.

하이브리드 클라우드도 있네 0_0

 

Multi-tenancy 가 장점이래서 검색해봄. 구조 개념적인 용어였음.

https://www.redhat.com/ko/topics/cloud-computing/what-is-multitenancy#:~:text=%EB%A9%80%ED%8B%B0%ED%85%8C%EB%84%8C%EC%8B%9C%EB%8A%94%20%EB%8B%A8%EC%9D%BC,%ED%85%8C%EB%84%8C%ED%8A%B8%20%EC%95%84%ED%82%A4%ED%85%8D%EC%B2%98%EC%9D%98%20%EC%98%88%EC%9E%85%EB%8B%88%EB%8B%A4.

멀티테넌시(Multitenancy)란? 개념, 장단점 및 비교 분석

 

 

렌트를 하는건데. -> 규모의 경제가 기본적으로 필요한 것 같다는 생각을 한다..

aws처럼

 

s3-9 Cloud type

On-premises: 온 프로미스는 직접다해야해. 

 

 

IaaS: 인프라는 관리안해 (및에 이미지 참고) (AWS Amazon EC2, GCP)

PaaS: 미들웨어랑 운영체제도 관리안해 앱이랑 데이터만 신경써 (AWS Elastic Beanstalk,GCP Google App Engine)

SaaS:  걍 서비스 쓰듯 써 (AWS Rekognition for Machine Learning), Gmail, Dropbox

비용은,  Compute, Storage, Data transfer 이 3가지 타입으로 구분해서 비용정책이 이뤄짐

 

s3-10 개요

- 리전: 존(가용영역)들의 모음 (us-east-3 리전에 us-east-3a 존, us-east-3b존, us-east-3c존)

- 각 존에는 실제 물리적인 데이터센터들이 2개정도 씩 있음 (근데 다른 존들의 데이터 센터와 연결되어 있어서 서비스가 다운될 가능성 적음)

- 리전마다 요금이 달라짐!, 국가마다 다른 특성도 있음(프랑스)

- Edge Locations 이란게 개념적으로 중요

 

s3-11 콘솔 둘러보기

- 서울은 ap-northeast-2 리전이네, 가까운걸 선택해야 지연시간이 줄어들겠지.. 당근. ;

Route53 서비스들어왔는데 우상단에 Global이다. 어디 리전과 관계없이 다 사용가능한 서비스란 뜻.

Seoul EC2랑 Canada EC2랑 리소스나 서비스가 다름.

어떤 리전에서 어떤 서비스가 가능한지 보려면 아래 링크 참고 

https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/

리전별 AWS 서비스 - AWS

공동책임 모델

- 무엇이 사용자 책임이고, 무엇이 AWS 책임일까 

---

[s4  IAM 소개: 사용자, 그룹, 정책]

IAM = Identity and Access Management , Global service

AWS 계정을 만들때 했음.. JSON으로도 관리하고, 걍 Google workspace  '그룹 및 권한 탭' 이라 생각하고 끝.

딱 필요한 권한만 줘야함 / IAM도 Global 서비스 / 루트 계정을 사용하는 건 바람직 하지 않다고 함. (필요하면 쓰고)

내가 지금  root 사용자인지 확인하려면, 우상단에 Account ID 만 나오면 루트아이디임 

[실습] 만들고, 왼쪽브라우저는 루트사용자로 로그인 / 오른쪽 시크릿 브라우저는 IAM 유저로 로그인해서 띄워보기

 

tip. Account ID가 루트계정의 Account ID니깐 다 적기 귀찮 -> Alias 만들어두면 편함 (우리회사에서도 이렇게 쓰고 있었음)

 

[s4 1617 IAM 정책]

정책을 그룹에만 적용 + inline 정책이란게 있군

두 그룹에 속해서 , 두 그룹의 정책을 모두 상속받을 수 있음

정책은 JSON 형식으로 한다고함(실습할 때 봐야겠다. Client UI가 있을 것 같은데..)

JSON 형식에는 Sid, Effect, Principal, Action, Resource 들이 중요함.

Sid = Statement ID / Effect = Allow or Deny, / Action = API / Resource = 적용대상

[실습]  정책 만들어봄, 그룹과 유저에 추가해봄, JSON 확인함

s4 1819IAM MFA (Multi Factor Authentication)

사용자와 그룹을 만들어봄

사용자와 그룹을 보호하자! 1) 패스워드 폴리시 설정 2) 방어 정책 설정 MFA

MFA = password you know + security device you own(Virtual MFA device = 스마트 인증 앱, U2F = 물리적USB, OTP같은거 )

[실습] 

비밀번호 정책만들어보기 + root 계정에 MFA 적용해보기

생각) 예전부터 App이 생성되고 가상의 OTP 원리가 궁금했는. Virtual Device 라고 하니깐 이해가 잘 되는 것 같다.

 

[s4 20 CLI로 Access 하기]

- AWS Console

- AWS Command Line Interface (CLI) ----> 이거 두개가 Access Key로 보호가 됨

- AWS SDK ----> 이거 두개가 Access Key로 보호가 됨 

 

Access Key -> 동료와 공유 금지

 

CLI를 사용하는 이유는 뭘까? 리소스를 관리하는 스크립트로 자동화할 수 있기 때문이다. (설치링크)-파이썬

SDK를 이용해 내 프로그램에 SDK 심어서 리소스 관리도 가능. 

[실습] aws cli 로 access key(iam-users-credentials-create accesskey) 사용해서 접속해봄

명령어

aws configure 

aws iam list-users -> 권한 없으면 아무것도 안뜸 (루트에서 컨트롤하고 cli에서 해봄)

 

s4 25. CloudShell (ㅇㅇ) 파일 업로드, 다운로드 때 유용함

[s4 2627 IAM Role] AWS  Entity에 권한부여하는 방법.

ec2를 만든다고 하면,ec2 가 다른 aws 에 다른 정보에 접근할 때 IAM Role을 만들어서 EC2와 합쳐서 권한을 부여함

[실습] IAM Roles - 생성해봄 - IAM Roles에서

 

 

[s4 2829 IAM 보안 Security Tools]

- IAM Credentials Report (account-level)
- IAM Access Advisor (user-level)

이렇게 두개 있다는데 뭔지 모르겠음

[실습]

Credential Repot 들어가서 엑셀 파일 다운 -> 계정정보와 메타데이터들 파일에 있음 (유저들의 비번변경 히스토리 등)

IAM Access Advisor -> users-jinwoo- 최근 방문 서비스 확인 (이름 Last Accessed 로 바뀐듯) (사용자 접근권한 분석 시 굳)

 

[s4 303132 best practice 및 정리]

계정 설정할 때만 루트 계정 쓰기

그룹레벨에서 권한 관리하기

Roles는 서비스에 할당

공동책임 모델 시험 자주나옴