자격 증명을 위해 aws configure 명령을 통해서
IAM의 Access Key, Secret Access Key 등을 입력하는 건 권장하지 않음
1. 장기 키(Static Key) 노출 위험
키가 로컬 디스크 ~/.aws/credentials에 저장되어서
노트북 분실·멀웨어·로그/스크립트 유출·깃에 실수로 커밋 등으로 유출되면 장기간 악용될 수 있음
EC2 내부에 aws configure로 키를 저장해두면: 그 인스턴스에 SSH/RDP/SSM/Instance Connect로 OS 접근 가능한 사람은 cat ~/.aws/credentials로 바로 읽을 수 있음
2. 로테이션/폐기 번거로움
사람이 쓰는 장기 키는 주기적 교체가 귀찮고, 여러 장비에 퍼지면 정리/폐기 난이도↑ (Credential sprawl)
3. MFA/세션 보안이 약함
장기 키는 기본적으로 MFA가 강제되지 않음. 탈취되면 바로 API 호출 가능
반면 임시 자격증명(STS) 는 만료시간이 있어 피해를 줄임
이를 대신해 IAM Role(역할)을 사용할 수 있다
지금은 실행중인 인스턴스에 IAM Role이 비어있다
Actions > Security > Modify IAM role로 진입
aws iam list-users 명령어가 정상 실행되는 이유는 DemoRoleForEC2라는 Role에 IAMReadOnlyAccess 권한이 있기 때문이다
EC2 인스턴스 구매 옵션
1) 온디맨드(On-Demand)
-
과금: 초/시간 단위로 사용한 만큼만!
-
장점: 최대로 유연(즉시 생성/종료, 약정 없음)
-
단점: 장기 사용 시 단가가 가장 비쌈
-
적합: 개발/테스트, 트래픽 예측 어려운 초반 운영 / 연속적인 단기 워크로드
-
과금 단위
-
초 단위(최소 60초): Linux, Windows(및 Windows + SQL 버전들), 주요 리눅스 배포판들(예: Amazon Linux, Ubuntu, RHEL 등)
-
시간당 과금: 그 외 OS 타입
-
2) 세이빙스 플랜(Savings Plans)
-
개념: “시간당 일정 금액(ex: 시간당 $0.50) 커밋(1년/3년)”을 약속하면 그 범위 내 사용에 할인 요금 적용
-
종류
-
Compute Savings Plans: 가장 유연. 리전 내 모든 인스턴스 패밀리/사이즈/OS/테넌시 및 Fargate/Lambda까지 할인
-
EC2 Instance Savings Plans: 특정 패밀리(예:m7i) 기준으로 할인(리전 내 사이즈/OS 변경은 허용)
-
-
지불 방식: All Upfront / Partial / No Upfront (선결제 클수록 할인↑).
-
장점: 예약 인스턴스보다 변경 유연성↑, 할인폭 큼
-
단점: 커밋 금액 미사용분도 비용 발생
-
적합: 상시 안정적 사용량이 있고, 인스턴스 다양성/이동이 잦을 때
-
❓실제 사용이 커밋보다 많으면??(예: $0.80)
- $0.50 구간은 SP 할인, 초과 $0.30은 온디맨드 요율로 과금
3) 예약 인스턴스(Reserved Instances)
-
개념: 특정 조건(리전·플랫폼·패밀리 등)에 1년/3년 약정으로 할인
-
종류
-
Standard Reserved Instances: 예측 가능한 장기 워크로드(1년/3년 상시 가동) 에 쓰는 옵션/ 할인 최대(약정 조건 변경 거의 불가)
-
Convertible Reserved Instances: 조건 변경 가능(동등/상위 가치로 교환), 할인은 Standard보다 낮음
-
-
영역
- Regional RI: 리전 단위 할인(자동 적용)
- Zonal RI: 특정 AZ 고정 + 용량 보장(Capacity Reservation 포함).
-
지불 방식: All(전체 선결제)/Partial(부분 선결제)/No Upfront(선결제 x)
-
장점: 예측 가능한 장기 워크로드에 높은 할인
-
단점: 유연성 낮음, 초과/미달 사용 시 최적화 필요
-
적합: 고정적으로 켜져 있는 백엔드, DB 등
💡 마켓 플레이스에서 사고 팔 수 있다..!
4) 스팟 인스턴스(Spot)
-
개념: 미사용 EC2 용량을 최대 90% 저렴하게 사용, 중단(회수) 가능성 존재
-
특징: 회수 전 2분 알림, 중단 시 종료/정지/하이버네이트 동작 선택 가능(유형/지원에 따라) / 단기 워크로드에 적합
-
장점: 대폭 저렴
-
단점: 언제든 회수 가능, 상태 저장/세션형 서비스엔 부적합
-
적합: 배치/ETL, 데이터 분석, 이미지 처리, 컨테이너 워커, 분산 빌드/테스트
-
팁: 다중 인스턴스 패밀리+AZ 혼합, “용량-최적” 할당전략, 체크포인트/재시도 설계.
5) 전용 호스트(Dedicated Host)
-
개념: 물리적 서버 전체를 예약 / 물리 서버 자체를 소유한 듯 배정받아 라이선스·배치까지 세밀 제어
-
과금 : 호스트 단위 과금(on-demand(초/시간당 과금) / reserved(1 또는 3년))
-
장점:
- BYOL((Bring Your Own License)(Windows/SQL Server/Oracle 등) 소켓/코어 기반 라이선스 규칙을 지키기 쉬움
- 감사/규제에 필요한 서버 식별·배치 제어 가능
- 인스턴스 배치/고정성을 세밀하게 관리.
-
단점:
- 비용 높고 유연성 낮음(호스트 고정 비용)
- 호스트 용량 계획 필요(과소/과대 배치 리스크)
6) 전용 인스턴스(Dedicated Host/Instances)
-
개념:
- 단일 테넌트 하드웨어에서 가상 인스턴스를 쓰는 방식
- 다른 고객의 인스턴스가 같은 물리 서버에 같이 올라오지 않도록 보장하지만, 그 물리 서버(호스트)에 대한 식별·제어권은 없음. 과금도 인스턴스 단위
-
장점:
- 설정이 비교적 간단(테넌시를 Dedicated로 지정)
- 물리적 격리가 필요하지만 서버 소켓/코어 단위 라이선스 관리가 필요 없을 때 적합
7) 온디맨드 용량 예약(ODCR, On-Demand Capacity Reservations)
-
개념: 특정 AZ/타입 용량을 미리 확보(비용은 인스턴스를 켜든 안 켜든 온디맨드 요율)
시간 약정이 없어서 할인도 없다..!
-
조합: 세이빙스 플랜 또는 RI와 결합하면 예약된 용량에도 할인율 적용 가능
-
적합: 이벤트/출시일 등 용량 보장이 중요한 경우
인스턴스 실행 여부와 상관없이 과금
