AWS를 공부하면서 알게된 S3 Encryption for Objects와 Security에 대하여 간단하게 정리하겠습니다. 이미 아시는분은 참고만 해주시면 감사드리겠습니다. # SSE-S3 amazon s3에 객체를 업로드 [HTTP, HTTPS 이용함] -> “x-amz-server-side-encryption": "AES256" 헤더를 추가함 -> amazon s3는 이 헤더를 통해 고유의 s3관리 데이터키를 사용해야 한다는 사실을 인식함 -> s3관리데이터키와 객체를 사용하여 암호화가 이루어짐 -> 객체는 암호화되어 amazon s3 버킷에 저장이 됨 즉 amzon s3에서 데이터키를 전부 소유, 관리함. # SSE-KMS 원리는 SSE-S3 와 같지만 KMS에서 처리 및 관리하는 키를 사용한 암..

AWS 역할은 사용자, AWS Services, EC2인스턴스처럼 “나는 누구인가?를 정의하는 주체에 의해서 ”임무를 받다“되도록 설계되어있습니다. 반면에 인스턴스 프로파일은 ”나는 누구인가?“를 정의합니다. IAM사용자가 사람을 의미하는 것처럼 인스턴스 프로파일은 EC2인스턴스를 나타냅니다. 그리고 EC2인스턴스 프로파일에 있는 사용 권한은 단지 역할을 맡을 수 있는 권할일 뿐이기 때문에 따라서 EC2인스턴스는 EC2인스턴스 프로파일에서 실행되며 인스턴스가”누구“인지 정의합니다. 그 다음 IAM역할을”추정“하여 궁극적으로 모든 것이 수렴된 권한을 제공하게됩니다. https://medium.com/devops-dudes/the-difference-between-an-aws-role-and-an-insta..

# SSD 볼륨 유형 gp3 gp2 io2Block Express ‡ io2 io1 내구성 99.8%~99.9% 내구성(연간 장애율 0.1%~0.2%) 99.8%~99.9% 내구성(연간 장애율 0.1%~0.2%) 99.999% 내구성(연간 장애율 0.001%) 99.999% 내구성(연간 장애율 0.001%) 99.8%~99.9% 내구성(연간 장애율 0.1%~0.2%) 사용 사례 트랜잭션 워크로드 가상 데스크톱 중간 규모의 단일 인스턴스 데이터베이스 짧은 대기 시간 대화형 애플리케이션 부트 볼륨 개발 및 테스트 환경 다음이 필요한 워크로드: 밀리초 미만의 지연 시간 지속적인 IOPS 성능 64,000 IOPS 이상 또는 1,000Mib/s 이상의 처리량 지속적인 IOPS 성능 또는 16,000 IOPS 이..

# CIDR ip 범위. # VPC vpc는 가상 사설 클라우드로 ipv4와 ipv6용으로 작동함. # Subents CIDR가 정의된 az에 연결되고 public subnet과 private subnet이 있음. # Internet Gateway 공용서브넷을 구축하려면 internet gateway를 연결하여 public subnet에서 internet gateway로 경로를 만들면 됨. 활성화되면 ipv4와 ipv6에 인터넷 액세스를 제공함. # Route Tables 대체 gateway이나 vpc피어링 연결이나 vpc end point로 향하는 라우트를 갖도록 편집되고 vpc내부에서 흐르도록 돕는 기능임. # Bastion Host 공용 ec2인스턴스로 ssh를 수행하고 private subnet ..

# Kinesis data streams 데이터를 규모에 맞게 수집하게 해주는 일종의 스트리밍 서비스입니다. 한번 데이터가 Kinesis에 삽입이 되면은 데이터를 지울수가 없습니다. 실시간으로 수집이 가능하며 같은 파티션키를 가진 데이터끼리 같은 샤드로 공유가 됩니다. Provisioned mode와 On-demand mode 총 2가지의 모드가 존재하는데 Provisoned mode는 말그대로 사용자가 직접 샤드의 수를 선택하여 프로비전해야되고 On-demand는 굳이 사용자가 프로비전을 할 필요가 없고 기본값으로 프로비전된 값을 이용하면 됩니다. # Kinesis data firehose 사용자가 직접 데이터를 목적지로 불러올 수 있으며 목적지로는 크게 partner, aws, customom 총 3..

# S3 객체스토리지 & 서버리스고 용량을 미리 브로비저닝 할 필요가 없다. 많은 데이터베이스 서비스와 긴밀하게 통합이 가능하다. # EFS 오직 리눅스 인스턴스용의 네트워크 파일시스템이다. 모든 EC2 인스턴스에서 동시에 접근이 가능하고 가용 영역 전반에 걸쳐서 공유가 된다. # Glacier 객체 아카이브를 위한 곳이다. 객체를 오랫동안 저장하고 싶고 회수할 일은 매우 드물 때 이용되는 스토리지이다. # FSx for windows windows 서버를 위한 네트워크 파일시스템이다. #Fsx for Lustre 리눅스 + 클러스터의 합성어로 고성능 컴퓨닝이 가능한 리눅스 파일 시스템이다. HPC가 실행되고 IOPS가 높으며 용량도 크다. 백엔드에서 S3와 통합된다. # EBS volumes 네트워크 ..