[새싹 성동 2기] AWS 기초 - AWS 인프라 구성 요소(Region, AZ, Edge Location) | 접근 권한 관리(IAM)

Region 

: 특정 지리적 위치에 위치한 다수의 가용 영역(AZ)을 포함하는 데이터 센터 그룹

< Region 선택시, 고려사항 > 

1) 물리적인 위치와 거리

- 고객과의 거리(Proximity to your customer)

- 네트워크 지연 시간, AWS 서비스 간 대기 시간

 

2) 법적인 고려

- Compliance with data governance and legal requirement

 

3) Region 안에서 가능한 서비스를 고려

 

4) 가격정책(Pricing)

- tax, cost of maintanance (전력) 

 

 

AZ(Availability Zone)

: 하나 이상의 데이터 센터로 구성되어 있으며, 재해 복구를 위해 다른 AZ와 물리적으로 분리되어 독립적인 네트워크와 연결을 제공

 

 

특징 1) 독립적으로 운영 

- 물리적으로 분리된 데이터 센터로 구성 

- 전원 공급, 냉각, 네트워크 연결 등의 기반 시설이 독립적

 

=> 재난으로부터 보호하기 위한 고립(Isolation)

=> 고가용성과 신속한 복구를 목적

 

특징 2) 모든 트래픽을 암호화하는 정책을 기본으로 제공

 

Edge Location

: 사용자에게 더 가까운 위치에서 데이터를 제공하여 지연 시간(latency)을 줄이고, 데이터 전송 속도를 높이는 데 사용(네트워크 성능향상)

 

=> AWS CloudFront(Amazon Content Delievery Network:CDN) - 캐시된 콘텐츠를 사용자에게 빠르게 전송(영상 스트리밍)

 

(ex) Netflix, Youtube

 

 

IAM - AWS Identity and Access Management

: AWS 리소스에 대한 사용자 접근과 권한을 관리하는 서비스

 

** 각 사용자나 서비스가 필요한 최소 권한만 가질 수 있도록 설정** 

1) 최소 권한 원칙

- 필요 최소한의 권한만 부여하여 보안 위험을 최소화

 

2) 루트 계정 제한 사용

- AWS계정 생성 시, root계정이 default로 생성됨 => IAM 유저 생성 후 권한 부여, 이후 로그인은 IAM 유저로 로그인하는것을 권장

!! 루트 계정은 필요시에만(계정관리) !!

 

3) 강력한 인증

- 각 계정에는MFA(Multi-Factor Authentication)를 설정하고, 강력한 암호 정책을 적용해 보안을 강화

< IAM 구성요소 > 

(1) 사용자(users)

: 유저생성 후, default로 권한이 없음 => 권한 부여가 필요함

** Least privillege principle(최소권한부여)**

 

(2) 그룹(group)

: 그룹 단위로 권한(permission)을 부여 가능

=> 관리의 효율성 증가

 

(3) 역할(roles)

: 그룹과 유사한 기능이지만, 임시적인 권한 부여가 가능

=> 사용자가 아닌 특정 서비스에서 생성한 객체에 권한을 부여할 때 사용

 

(4) 정책(policy)

: aws 서비스와 리소스의 접근과 거부 권한을 정의한 사용자 권한 관리 문서 (document privillege)

-> JSON형식으로 기술  : 특정 작업(action)에 대한 허용(Allow) 또는 거부(Deny) 규칙을 포함하며, 사용자가 어떤 리소스에 어떤 작업을 수행할 수 있는지를 제어

 

- 정책의 종류 

(1) 자격 증명 기반 정책 (Identity-Based Policy)

: 사용자, 그룹, 역할에 적용되는 권한 설정

 

[ 관리형 정책 ]

• 여러 사용자나 그룹에 적용하고 독립적으로 연결할 수 있는 정책
• AWS 관리형 정책 - AWS가 제공하는 기본 정책
• 고객 관리형 정책 - 사용자가 직접 만든 정책으로 세부 조정 가능.

[ 인라인 정책 ]

• 단일 사용자, 그룹 또는 역할에 직접 추가하는 정책 (해당 사용자가 삭제되면 정책도 함께 삭제)
• 정책과 자격 증명을 정확히 1대 1 관계로 유지

 

(2) 리소스 기반 정책 (Only 인라인 정책)

: 특정 AWS 리소스에 연결되어 접근 권한을 제어(권한이 적용되는 조건을 설정)

 

 

(3) 권한경계 (Permissions Boundary)

: IAM 사용자나 역할에 대해 부여할 수 있는 최대 권한을 설정하는 데 사용

- 리소스 기반 정책에는 적용 X 

 

 

 

 

reference

https://www.techtarget.com/searchaws/definition/availability-zones

https://blog.awsfundamentals.com/aws-edge-locations

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_identity-vs-resource.html