Code&Data Insights
[새싹 성동 2기] AWS 기초 - AWS 인프라 구성 요소(Region, AZ, Edge Location) | 접근 권한 관리(IAM) 본문
[새싹 성동 2기] AWS 기초 - AWS 인프라 구성 요소(Region, AZ, Edge Location) | 접근 권한 관리(IAM)
paka_corn 2024. 10. 29. 13:59
Region
: 특정 지리적 위치에 위치한 다수의 가용 영역(AZ)을 포함하는 데이터 센터 그룹
< Region 선택시, 고려사항 >
1) 물리적인 위치와 거리
- 고객과의 거리(Proximity to your customer)
- 네트워크 지연 시간, AWS 서비스 간 대기 시간
2) 법적인 고려
- Compliance with data governance and legal requirement
3) Region 안에서 가능한 서비스를 고려
4) 가격정책(Pricing)
- tax, cost of maintanance (전력)
AZ(Availability Zone)
: 하나 이상의 데이터 센터로 구성되어 있으며, 재해 복구를 위해 다른 AZ와 물리적으로 분리되어 독립적인 네트워크와 연결을 제공
특징 1) 독립적으로 운영
- 물리적으로 분리된 데이터 센터로 구성
- 전원 공급, 냉각, 네트워크 연결 등의 기반 시설이 독립적
=> 재난으로부터 보호하기 위한 고립(Isolation)
=> 고가용성과 신속한 복구를 목적
특징 2) 모든 트래픽을 암호화하는 정책을 기본으로 제공
Edge Location
: 사용자에게 더 가까운 위치에서 데이터를 제공하여 지연 시간(latency)을 줄이고, 데이터 전송 속도를 높이는 데 사용(네트워크 성능향상)
=> AWS CloudFront(Amazon Content Delievery Network:CDN) - 캐시된 콘텐츠를 사용자에게 빠르게 전송(영상 스트리밍)
(ex) Netflix, Youtube
IAM - AWS Identity and Access Management
: AWS 리소스에 대한 사용자 접근과 권한을 관리하는 서비스
** 각 사용자나 서비스가 필요한 최소 권한만 가질 수 있도록 설정**
1) 최소 권한 원칙
- 필요 최소한의 권한만 부여하여 보안 위험을 최소화
2) 루트 계정 제한 사용
- AWS계정 생성 시, root계정이 default로 생성됨 => IAM 유저 생성 후 권한 부여, 이후 로그인은 IAM 유저로 로그인하는것을 권장
!! 루트 계정은 필요시에만(계정관리) !!
3) 강력한 인증
- 각 계정에는MFA(Multi-Factor Authentication)를 설정하고, 강력한 암호 정책을 적용해 보안을 강화
< IAM 구성요소 >
(1) 사용자(users)
: 유저생성 후, default로 권한이 없음 => 권한 부여가 필요함
** Least privillege principle(최소권한부여)**
(2) 그룹(group)
: 그룹 단위로 권한(permission)을 부여 가능
=> 관리의 효율성 증가
(3) 역할(roles)
: 그룹과 유사한 기능이지만, 임시적인 권한 부여가 가능
=> 사용자가 아닌 특정 서비스에서 생성한 객체에 권한을 부여할 때 사용
(4) 정책(policy)
: aws 서비스와 리소스의 접근과 거부 권한을 정의한 사용자 권한 관리 문서 (document privillege)
-> JSON형식으로 기술 : 특정 작업(action)에 대한 허용(Allow) 또는 거부(Deny) 규칙을 포함하며, 사용자가 어떤 리소스에 어떤 작업을 수행할 수 있는지를 제어
- 정책의 종류
(1) 자격 증명 기반 정책 (Identity-Based Policy)
: 사용자, 그룹, 역할에 적용되는 권한 설정
[ 관리형 정책 ]
- 여러 사용자나 그룹에 적용하고 독립적으로 연결할 수 있는 정책
- AWS 관리형 정책 - AWS가 제공하는 기본 정책
- 고객 관리형 정책 - 사용자가 직접 만든 정책으로 세부 조정 가능.
[ 인라인 정책 ]
- 단일 사용자, 그룹 또는 역할에 직접 추가하는 정책 (해당 사용자가 삭제되면 정책도 함께 삭제)
- 정책과 자격 증명을 정확히 1대 1 관계로 유지
(2) 리소스 기반 정책 (Only 인라인 정책)
: 특정 AWS 리소스에 연결되어 접근 권한을 제어(권한이 적용되는 조건을 설정)
(3) 권한경계 (Permissions Boundary)
: IAM 사용자나 역할에 대해 부여할 수 있는 최대 권한을 설정하는 데 사용
- 리소스 기반 정책에는 적용 X
reference
https://www.techtarget.com/searchaws/definition/availability-zones
https://blog.awsfundamentals.com/aws-edge-locations
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_identity-vs-resource.html
'Cyber Security > [새싹+SK쉴더스] 생성형 AI 활용 클라우드&보안 전문가 과정' 카테고리의 다른 글
[새싹 성동 2기] Module Project 1 (24.11.08)- Review & Insight (0) | 2024.11.09 |
---|---|
[새싹 성동 2기] AWS 기초 - VPC, EC2, Load Balancing, S3, RDS (0) | 2024.11.02 |
[새싹 성동 2기] 클라우드 기초 - 가상화와 클라우드 | 클라우드 컴퓨팅 모델 | 클라우드 컴퓨팅의 장점과 단점 (13) | 2024.10.27 |
[새싹 성동 2기] 네트워크 기초 - WAN | IP 주소 | ARP | 라우터(Layer 3) (0) | 2024.10.25 |
[새싹 성동 2기] 네트워크 기초 - LAN | MAC주소 | 프레임 | 스위치 (Layer 2) | VLAN | Trunk | Ether Channel (0) | 2024.10.22 |