[AWS] 기초

클라우드 컴퓨팅 모델

IaaS (Infrastructure as a Service)

• Computing(cpu + RAM) 까지만 제공한다. (인프라만 제공)
• OS를 직접 설치하고 필요한 소프트웨어를 개발해서 사용한다.
• ex) AWS EC2
  

PaaS (Platform as a Service)

• 인프라 + OS + 프로그램 실행에 필요한 기타 요소 (Runtime) 제공한다.
• 소스코드만 올려서 돌릴 수 있다.
• ex) Firebase
  

SaaS (Software as a Service)

• 서비스 자체를 제공한다.
• ex) Slack, Github ... etc
  

AWS region + Availability zone

aws 클라우드 서버의 물리적 위치이다. 한국에도 있다.

• 고려할 사항 : 지연 속도, 법률(서비스 제공 관련), 사용 가능한 AWS 서비스 종류

Availability zone(AZ)은 하나의 데이터 센터이다. 반드시 일정 거리 이상 떨어져 있고, 각종 재해에 대한 대비, 보안이 되어 있다.

한국의 Region은 서울에 있고, AZ는 총 4개가 있다.

각 계정별 AZ 코드의 실제 위치는 다르다.
ex) A의 AZ-A와 B의 AZ-A
둘은 코드는 같지만, 물리적으로 다른 AZ일 수 있다. 보안 및 한 AZ로 트래픽이 몰리는 것을 방지하기 위함이다. 보통 어떤 설정을 할 때, next를 연타하는 사람들이 많은데, 그러다보면 AZ-A에 몰릴 수 있음.

aws는 지역에 따라 서비스를 클로벌 서비스와 region 서비스로 분류하고 있다.

• global : 데이터 및 서비스를 전 세계 모든 인프라가 공유한다.
  CloudFront, IAM, Route53, WAF
• Region : 특정 region을 기반으로 데이터 및 서비스를 제공한다.
  대부분 서비스, S3

ARN (Amazon Resource Name)

AWS의 모든 리소스의 고유 식별자이다.

arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id

참고 : https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference-arns.html


아래와 같이 경로에 와일드카드를 사용해 다수의 리소스를 지정할 수 있다.

"Resource":"arn:aws:iam::123456789012:user/*"
"Resource":"arn:aws:iam::123456789012:group/*"

AWS 계정 유저

Root 유저

• 생성한 계정의 모든 권한이 있다. (Billing 포함)
• 생성 시 만든 이메일로 로그인한다.
• 관리용으로만 이용한다. (계정 설정, 빌링..)
• AWS API 호출이 불가하다.
• 사용을 자제하는게 좋다. MFA를 꼭 설정해야 한다.

IAM 유저

• 한 사람 or 하나의 어플리케이션을 의미한다.
• 설정 시 콘솔 로그인 권한을 부여 가능하다. (어플리케이션은 부여할 필요 X)
• 생성시 만들어진 아이디로 로그인한다.
• 기본 권한이 따로 없어, 따로 권한을 부여해야 한다.
• AWS API를 호출 가능하다. 이때 AccessKey(아이디), Secret Access Key(비밀번호)가 필요하다.
• AWS 관리를 제외한 모든 작업은 IAM User를 만들어 사용한다.
• Billing 기능을 사용할 수 없다.

IAM

AWS Identity and Access Management
AWS 서비스와 리소스에 대한 엑세스를 안전하게 관리할 수 있다. 또한, AWS 사용자 및 그룹을 만들고 관리하며 AWS 라소스에 대한 엑세스를 허용/거부할 수 있다.

IAM 모범 사용 사례