AWS를 사용하기 위한 도구

☁️ AWS의 사용법과 계정

- 자신에게 최적의 상태가 되도록 관리한다.

- 사용한 만큼 지불/ 사용하지 않으면서 불필요하게 확보하지 않음. / 필요한 서비스를 조합해서 사용.

- 여러 프로젝트에서 같은 계정을 사용하면 비용이 모호해지고 관리도 복잡해짐. >> AWS 계정을 구분하여 사용.

> root 사용자 : AWS 계정의 모든 조작이 가능한 관리자 권한 소유

> IAM 서비스만 사용하는 사용자를 별도로 관리.

 

 

📋 관리 콘솔과 대시보드

- 관리 콘솔 : 웹 브라우저에서 AWS 서비스를 관리하는 화면. 서비스별로 고유화면(대시보드)이 있음.

• AWS 계정 관리
• 서비스 이용
• 서비스 설정
• 문서 참조
• 모바일 장치에서 관리
• 청구서 확인

- 관리 콘솔은 지역을 대표하는 리전 단위로 조작. 같은 EC2 서비스라도 리전이 다르면 다른 것으로 간주됨.

- AWS CLI(Command Line Interface) : 로컬의 명령어 단말기 혹은 서버에서 명령어나 스크립트로 AWS 서비스를 빠르게 수행하기 위한 명령줄 환경.

• ex) i-12345678이라는 이름의 EC2 인스턴스 시작 : $ aws ec2 start-instances --instance-ids i-12345678
• ex2) S3 패키지의 목록을 표시 : $ aws s3 ls

 

🪖 AWS IAM과 접근 권한

- IAM(Identity and Access Management)

: 사용자의 접근 권한을 관리하는 인증 기능. (AWS 계정은 계약을 관리하는 계정인데 반해, IAM은 각 서비스에 대한 접속을 관리하는 기능) 

• IAM User: 사람에 대해 부여하는 IAM
• IAM Role: 서비스나 프로그램 등에 부여하는 IAM

- IAM 사용자, IAM 역할 두 가지 모두에 필요한 최소한의 기능 부여/ 필요한 사람에게만 전달하여 운영.

• 다단계 인증 : 1단계 인증인 암호 외에 두 번 이상의 인증 수행
• 다요소 인증 : ID와 암호 뿐 아니라 전용 하드웨어 또는 생체 인증을 사용하는 등 다른 종류의 인증을 사용하는 것.

 

** IAM 구성 요소

1)  사용자(Users) : 실제 AWS 기능과 자원을 이용하는 사람/어플리케이션

2)  그룹 (Groups) : 다수의 사용자를 모아놓은 개념. (하나의 사용자는 최대 10개 그룹에 속할 수 있음)

3)  역할 (Roles) : 리소스에 대한 액세스 권한이 없는 사용자나 서비스에게 일시적으로 권한을 위임하는 것.

- User의 임시 권한 필요 시

- 서비스가 서비스를 액세스 할 때

- 자격 증명 연동

• 역할에 부여하는 정책 : 권한 정책 / 신뢰 정책

4) 정책 (Policy) : 실행자(사용자, 그룹, 역할)가 무엇에 대해 어떤 조작을 허가할지 여부를 설정하는 기능

• 자격 기반 정책 : 실행자가 '어떤 일을 할 수 있는가'의 형태로 설정
• 리소스 기반 정책 : 조작 대상(서버 및 폴더 등)에 대해 '무엇을 허가할 것인가'의 형태로 설정

• IAM 정책은 JSON 파일로 구성되어 있음.

- Statement : 설정 값. Effect나 대상 등을 기술
- Sid : 정책 문서에 부여된 임의의 식별자
- Effect : 허용(allow), 거부(deny)
- Action : 허가 혹은 거부하는 서비스 특정 작업
- NotAction : 지정된 동작 목록을 제외한 모든 것을 명시적으로 대조
- Resource : 작업 대상 리소스 이름
- NotResource : 지정된 리소스 목록 제외 모든 것을 명시적으로 대조
- Condition : 정책을 실행하는 타이밍 조건

ex) 

 

👀 Amazon CloudWatch

: AWS 서비스의 리소스 모니터링과 관리를 담당하는 서비스.

- CPU 사용률, 볼륨의 읽기 쓰기 횟수나 바이트 수, 네트워크 송수신 패킷 수 등 감시.

- 감시하고 있는 항목이 임계 값을 넘을 경우에 어떤 작업을 하도록 설정 가능. 

- Logs를 통해 각종 로그도 기록 가능.

• 지표
• 경보(알람)
• Logs
• Event

- Amazon CloudTrail : AWS 모든 이벤트 로그. Who, When, What (누가 어떤 리소스에 접근했는지도 기록가능)