[AWS SAA] 기타 서비스 1

성민개발로그·2024년 2월 26일
AWS 기타서비스AWS-SAA
0

AWS

목록 보기
5/5
post-thumbnail

AWS SAA 자격증 준비 과정에서 개인적으로 헷갈렸던 부분들에 대해 집중적으로 정리한 기타 서비스 내용입니다. 개인적인 학습 목적으로 만들어졌기 때문에, 모든 범위를 완벽하게 커버하지는 못할 수 있습니다.

AWS Config

AWS Config는 AWS 계정에 있는 AWS 리소스의 구성을 자세히 보여 줍니다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다.

  • AWS Config에서 기록하게 할 리소스 유형을 지정하여 리소스 구성 측정 및 감사 평가 한다.
  • 요청 시 구성 스냅샷 및 구성 기록을 수신하도록 Amazon S3 버킷을 설정합니다.
  • 구성 스트림 알림을 보내도록 Amazon SNS를 설정합니다.
  • AWS Config에 Amazon S3 버킷 및 Amazon SNS 주제에 액세스하는 데 필요한 권한을 부여합니다.

결론:
AWS 리소스 구성을 측정, 감사 및 평사할 수 있는 서비스입니다. 리소스 구성을 지속적으로 모니터링 및 기록하고 원하는 구성을 기준으로 자동으로 평가해주는 서비스.

AWS CloudTrail

AWS CloudTrail은 AWS 계정의 운영 및 위험 감사, 거버넌스 및 규정 준수를 활성화하는 데 도움이 되는 AWS 서비스입니다. 사용자, 역할 또는 AWS 서비스가 수행하는 작업은 CloudTrail에 이벤트로 기록됩니다. 이벤트에는 AWS Management Console, AWS Command Line Interface 및 AWS SDK, API에서 수행되는 작업들이 포함됩니다.

CloudTrail은 AWS 계정에서 생성 시 활성화되어 있으며, 수동 설정이 필요하지 않습니다. 활동이 AWS 계정에서 이루어지면 해당 활동이 CloudTrail 이벤트에 기록됩니다.

  • 이전에 구성된 리소스를 추적하여 변경 사항을 추적할 수 있다.
  • 기본 옵션으로 로그 파일은 S3에 SSE-S3 암호화로 암호화되어 저장됩니다. 추가적으로 SSE-KMS를 사용할지를 결정할 수 있습니다.

AWS CloudWatch

Amazon CloudWatch는 Amazon Web Services(AWS)에서 제공하는 모니터링 및 관찰성 서비스입니다. 이 서비스는 AWS 리소스와 AWS에서 실행되는 애플리케이션을 실시간으로 모니터링할 수 있도록 설계되었습니다. CloudWatch를 사용하면 컴퓨팅, 데이터베이스, 메시징 큐 등 다양한 AWS 리소스에서 발생하는 메트릭을 수집, 추적 및 알람 설정할 수 있습니다. 또한, 로그 파일을 수집 및 분석하고, 특정 이벤트에 대한 자동화된 작업을 실행할 수 있습니다.

주요 기능

  • 메트릭 수집 및 모니터링: CPU 사용률, 네트워크 트래픽, 디스크 I/O 작업 등의 시스템 수준 메트릭을 수집하고 모니터링할 수 있습니다.
  • 로그 파일 모니터링: 애플리케이션 로그, 시스템 로그 등을 CloudWatch 로그로 전송하고 실시간으로 데이터를 분석할 수 있습니다.
  • 알람: 메트릭이 사전에 정의된 임계값을 초과하거나 특정 조건을 충족하는 경우 SMS, 이메일, Lambda 함수 등을 통해 알림을 받을 수 있습니다.
  • 이벤트: AWS 리소스의 상태 변경과 같은 이벤트에 대응하여 자동화된 작업을 실행할 수 있습니다.

AWS Cognito

사용자 인증 관리, 소셜 서비스 자격 증명 연동 및 모바일, 웹 애플리케이션 데이터 동기화를 지원하는 서비스입니다.
이 서비스는 주로 두 가지 주요 구성 요소를 제공합니다: 사용자 풀(User Pools)자격 증명 풀(Identity Pools, 또는 연합된 자격 증명 풀). 이 두 구성 요소는 모두 사용자 관리 및 인증을 위해 사용되지만, 각각의 목적과 기능에는 차이가 있습니다.

사용자 풀 (User Pools)

  • 목적: 사용자 풀은 애플리케이션 사용자들을 관리하고, 로그인 기능을 직접적으로 제공하는 완전 관리형 사용자 디렉토리입니다.
  • 기능: 사용자 가입, 로그인, 비밀번호 재설정, 사용자 프로필 관리 등 사용자 관리 기능을 제공합니다. 또한, 이메일 및 SMS를 통한 사용자 검증(예: 이메일 확인, MFA)도 지원합니다.
  • 사용 사례: 웹 또는 모바일 애플리케이션에 사용자 인증 기능을 추가할 때 주로 사용됩니다.

자격 증명 풀 (Identity Pools)

  • 목적: 자격 증명 풀은 사용자에게 AWS 리소스에 대한 임시 AWS 자격 증명을 제공하여, 사용자가 AWS 서비스를 직접 호출할 수 있도록 지원합니다.
  • 기능: 사용자 풀, 소셜 로그인(예: Google, Facebook, Amazon), SAML 기반의 자격 증명 공급자 등 다양한 출처의 인증 정보를 기반으로 AWS 자격 증명을 발급합니다. 발급된 자격 증명을 사용하여 사용자는 설정된 권한 정책에 따라 AWS 리소스에 접근할 수 있습니다.
  • 사용 사례: 사용자가 AWS 서비스(예: Amazon S3 버킷에 파일 업로드, DynamoDB 테이블 읽기 등)에 직접 접근할 필요가 있는 애플리케이션에 사용됩니다.

결론:

  • 주요 기능: 사용자 풀은 애플리케이션 내의 사용자 인증 및 관리에 초점을 맞추고 있으며, 자격 증명 풀은 인증된 사용자에게 AWS 리소스에 대한 접근 권한을 제공하는 것에 중점을 둡니다.
  • 인증 방법: 사용자 풀은 직접적인 사용자 인증을 처리하고, 자격 증명 풀은 다양한 인증 출처로부터 인증 받은 사용자에게 AWS 자격 증명을 부여합니다.
  • 사용 사례: 사용자 풀은 사용자 가입 및 로그인 프로세스를 관리하는 데 사용되고, 자격 증명 풀은 사용자가 AWS 리소스에 접근할 수 있도록 하는 데 사용됩니다.

AWS Key Management Service(KMS), AWS Secret Manager, AWS Certificate Manager(ACM)

AWS에서 제공하는 이 세 가지 서비스는 모두 보안과 관련된 기능을 제공하지만, 사용 목적과 기능면에서 서로 다릅니다. 여기 각각에 대한 간략한 설명과 차이점을 정리하겠습니다.

AWS Key Management Service (AWS KMS)

  • 기능: AWS KMS는 암호화 키 관리를 중앙에서 수행할 수 있는 서비스입니다. 이 서비스를 사용하여 데이터 키를 생성, 관리 및 회전할 수 있으며, 데이터를 암호화하고 해독하는 데 사용됩니다.
  • 사용 사례: 데이터베이스 파일, 객체 스토리지에 저장된 파일, 미사용 데이터(저장 시 암호화) 및 전송 중인 데이터를 암호화하는 데 사용됩니다.
  • 주요 기능: 암호화 키의 생성, 관리, 회전, 사용 정책 설정 및 키 사용 로깅.

AWS Secrets Manager

  • 기능: AWS Secrets Manager는 애플리케이션에서 사용하는 (예: 데이터베이스 비밀번호, 자격증명, API 키 등)을 안전하게 저장하고 관리하는 데 사용되는 서비스입니다.
  • 사용 사례: 데이터베이스 비밀번호, OAuth 토큰, API 키 등의 애플리케이션 비밀을 안전하게 관리하고 자동으로 회전시키기 위해 사용됩니다.
  • 주요 기능: 비밀의 안전한 저장, 자동 회전, 액세스 관리 및 비밀의 사용 로깅.

AWS Certificate Manager (ACM)

  • 기능: ACM은 SSL/TLS 인증서를 관리하는 서비스입니다. 이를 통해 사용자는 HTTPS를 사용하는 웹 사이트 및 애플리케이션을 위한 인증서를 쉽게 프로비저닝, 관리 및 배포할 수 있습니다.
  • 사용 사례: 웹 사이트 및 애플리케이션에 SSL/TLS 보안을 추가하고 클라이언트와 서버 간의 안전한 데이터 전송을 보장하기 위해 사용됩니다.
  • 주요 기능: SSL/TLS 인증서의 프로비저닝, 관리, 자동 갱신.

    차이점 요약:

    • KMS: 암호화 키 관리 및 데이터 암호화/해독에 초점.
    • Secrets Manager: 애플리케이션 비밀(비밀번호, 키) 관리 및 자동 회전에 초점.
    • ACM: SSL/TLS 인증서의 생명 주기 관리(프로비저닝, 갱신)에 초점.

AWS GuardDuty, AWS Inspector 차이

AWS GuardDuty

  • 위협 탐지 중심: GuardDuty는 주로 네트워크 트래픽과 계정 활동에 대한 지속적인 모니터링을 통해 비정상적인 행위, 비정상적인 로그인 시도, 비정상적인 API 호출 패턴, 악의적인 IP 주소로부터의 트래픽 등을 식별합니다. 이는 외부 또는 내부로부터 오는 위협과 공격 시도를 실시간으로 탐지하는 데 초점을 맞춥니다.
  • 패시브 보안: GuardDuty는 설치나 에이전트 없이 AWS 환경에서 발생하는 이벤트를 분석합니다. 사용자의 개입 없이도 자동으로 위협 탐지를 수행하고, 해당 사항을 알립니다.

    AWS Inspector

  • 취약점 관리 중심: Inspector는 AWS 리소스의 구성과 관련된 취약점을 평가하고, 해당 취약점을 해결하기 위한 권장 사항을 제공합니다. 예를 들어, EC2 인스턴스의 운영 체제에 적용되지 않은 패치, 잘못 구성된 네트워크 액세스 규칙, 보안 그룹 설정의 문제 등을 분석합니다.
  • 액티브 보안 평가: Inspector를 사용하기 위해서는 평가 대상의 EC2 인스턴스에 에이전트를 설치하고, 평가를 실행할 규칙 세트를 선택해야 합니다. 사용자는 평가를 시작하고, 결과를 검토하여 취약점을 해결하는 데 필요한 조치를 취해야 합니다.

핵심 차이:

  • 목적: GuardDuty는 위협 탐지와 실시간 보안 모니터링에, Inspector는 취약점 관리와 시스템의 보안 상태 평가에 중점을 둡니다.
  • 작동 방식: GuardDuty는 사용자의 개입 없이 AWS 환경에서 자동으로 이루어지는 패시브 보안 분석을 제공하는 반면, Inspector는 사용자가 직접 평가를 구성하고 실행하여 액티브한 보안 평가를 수행합니다.
  • 대상: GuardDuty는 네트워크 트래픽과 계정 활동에 대한 분석을 통해 위협을 탐지하는 반면, Inspector는 서버의 취약점과 구성 문제를 중점적으로 평가합니다.

결론:
GuardDuty는 "외부와 내부로부터 오는 위협을 실시간으로 탐지"하는 데 초점을 맞추고, Inspector는 "시스템의 취약점을 평가하고 개선 권장사항을 제공"하는 데 중점을 둡니다. 이 두 서비스는 함께 사용될 때 AWS 환경의 보안을 종합적으로 강화할 수 있습니다.

AWS Security Hub

AWS Security Hub는 GuardDuty , Inspector, Macie 등을 포함한 다양한 서비스에서 보안 결과를 집계하고 우선순위를 지정하는 중앙 보안 관리 서비스다.

profile
성민개발로그
이전 포스트

NGINX + HTTPS 적용하기(우분투)

0개의 댓글