클라우드 컴퓨팅 2

이전 포스트 정답 목록:

1. O
2. X
3. X
4. O
5. O
6. X
7. X
8. X
9. O
10. X
11. IaaS
12. SaaS
13. Private Cloud
14. Hybrid Cloud
15. 커뮤니티 클라우드
16. AWS, Azure, GCP
17. SaaS
18. PaaS
19. EC2
20. IAM 도구 사용
21. 운영체제(OS), 미들웨어
22. EC2, 데이터 송신 요금
23. Saving Plans
24. 온디맨드 요금보다 낮음
25. 물리적 데이터 센터
26. 최소 3개
27. 5ms 이하의 네트워크 지연
28. 실시간 게임, 저장소 시뮬레이션
29. 5G 네트워크
30. Wavelength Zone
31. Outposts
32. 엣지 로케이션
33. O
34. O
35. O
36. X
37. O
38. IaaS
39. AWS
40. PaaS
41. Saving Plans
42. 프라이빗 클라우드
43. Hybrid Cloud
44. 커뮤니티 클라우드
45. 높은 대역폭, 낮은 지연 시간
46. SaaS
47. 데이터 유출 위험
48. CloudFront
49. 중복 전력, 네트워킹
50. TradeLens

================================================================================

 

1. AWS IAM

• AWS 서비스 및 리소스에 대한 엑세스를 안전하게 제어할 수 있는 웹 서비스
• 사용자, 그룹, 역할, 정책으로 구성
• 글로벌 서비스로 분류가 됨

2. IAM 대시보드 구조

• MFA추가를 통해서 멀티팩트인증을 할 수 있다.

3. 사용자

 1) 정의

• AWS의 기능과 자원을 이용하는 객체
• 사람 / 애플리케이션

 2) 사용자 식별방법

• 사용자  생성 시 지정한 이름
• 사용자의 고유 식별자
• ARN(Amazone Resource Name)
  • arn:aws:service:region:account-id:resource 구조로 나타냄
    • anr : 모든 ARN의 시작부분
    • aws : AWS를 나타내는 고정값
    • service : 리소스를 제공하는 AWS 서비스 (예 : Amazon S3 버킷, AWS Lambda 함수, Amazon RDS 데이터베이스 등)
    • region : 리소스가 위치한 AWS 지역(선택적이며, 서비스마다 다름)
    • account-id : AWS 계정 ID
    • resource : 서비스별로 리소스를 고유하게 식별하는 정보

4. 사용자 추가

1.  사용자 이름을 지정한다
2. AWS Management Console에 대한 사용자 엑세스 권한을 제공을 하면 AWS 콘솔에 접근할 권한이 생긴다
3. IAM 사용자를 생성하고 싶음으로 사용자 유형을 결정한다.
4. 계정암호는 선택이나, 대문자, 소문자, 숫자, 기호, 하이픈이 반드시 포함되어야 한다."

1. 추후 EC2 연결을 위해서 커스텀으로 권한 옵션을 지정한다.
2. EC2 Full이라는 권한 정책을 검색, 해당 권한을 등록한다

• 생성한 권한은 .csv파일로 다운로드를 받을 수 있다.
• csv는 사용자의 공개키, 비밀키, ID를 가진 사용자의 인증정보를 설정하는 파일이다

5. 그룹

• 여러 사용자에게 공통으로 권한을 부여하기 위한 개념
• 즉 Discord의 역할 개념과 비슷하다.
• 따라서 일일이 개개인에게 권한을 부여하는 겂보다 여러 사용자에게 한번에 권한정책을 부여하는것이 가능해진다.

6. 권한

• AWS에서 제공하는 서비스나 자원에 어떤 작업을 할 수 있는지의 여부를 명시한 규칙

7. 정책

• 자격증명 또는 리소스와 연결될때 해당 권한을 정의하는 AWS의 객체
• 권한의 모음으로 사용자, 사용자그룹, 역할에 적용이 가능
• 사용자, 사용자 그룹, 역할에 권한을 직접 적용은 불가능하여 정책을 생성 후 적용해야함

 1) 자격 증명 기반 정책

• 자격 증명 기반 정책은 자격증명(사용자, 사용자 그룹 및 역할)이 무슨 작업을 어느 리소스에서 어떤 조건에서 수행할 수 잇는가에 대한 제어하는 JSON 권한 정책문서
• 관리형정책
  • AWSW관리형 정책 : AWS 계정에 속한 다수의 사용자, 그룹 및 역할에 독립적으로 연결할 수 있는 자격 증명 기반 정책
  • 고객 관리형 정책 : 사용자가 자신의 AWS 계정에서 생성 및 관리하는 관리형 정책
•  인라인 정책 
  • 단일 사용자, 그룹 또는 역할에 직접 추가하는 정책
  • 정책과 자격 증명을 정확히 1:1 관계로 유지
  • 자격 증명을 삭제하면 삭제

 2) 리소스 기반 정책

• S3 버킷과 같은 리소스에 연결하는 정책, 지정된 보안 주체에 해당 리소스에 대한 특정 작업을 수행할 수 있는 권한을 부여, 이러한 권한이 적용되는 조건을 정의
• 리소스 기반 정책은 인라인정책이며, 관리형 리소스기반정책은 없음 
• 모든 리소스가 지원하는것은 아님

 3) 권한 경계

• 관리형 정책을 사용하여 자격증명 정책이 IAM 사용자 또는 역할에 부여할 수 있는 최대권한을 설정하기 위한 고급기능
• 엔티티의 권한 경계설정을 통해 자격증명 기반 관련 권한 경계모드에서 허용되는 작업만 수행 가능
• 리소스 기반 정책은 권한 경계에 제한을 받지 않음

 

8. 역할

• 사용자가 아닌 특정 서비스에서 생성한 객체에 권한을 부여할때 사용

9. S3 버킷 생성

• 버킷은 S3인트로 페이지에서 [버킷만들기] 버튼을 클릭하여 생성한다.
• 버킷 이름은 글로벌하게 유일해야한다.
• 소문자, 숫자, 점, 하이픈만 이용이 가능하다

10. 버킷에 업로드

• 버킷 > 생성한 버킷을 클릭 > 객체 탭 > [업로드] 클릭
• 그러나 권한이 있어야 업로드가 가능하다. 권한이 없을 시 액세스 거부됨

11. 버킷업로드에 에러가 발생한다면?

• user3에게 오류가 발생! s3:CreateBucket권한이 필요합니다!
  1. IAM탭으로 이동한다
  2. user3사용자로 이동하여 권한으로 간다.
  3. 권한에서 인라인 정책 생성
  4. JSON 선택 후 s3:CreateBucket으로 이동한다.

12. VPC

• 네트워크 계층
• AWS 사용자 계정 전용 가상 네트워크
• 한 AWS 리전안에만 존재할 수 있고, 한 리전에서 만든 VPC는 다른 리전에선느 보이지 않는다. : VPC Peering
• 생성시 RFC 1918에 지정된 프라이빗 주소체계 사용을 권고함

13. VPC의 구성 옵션

• 가용 영역(AZ) : AWS 리전에 중복전원, 네트워킹 및 연결이 있는 하나의 데이터 센터
• CIDR 블록 : VPC와 서브넷의 IP주소 범위를 지정
• DNS 옵션 : 서브넷에서 시작된 EC2 인스턴스의 퍼블릭 IPv4 DNS호스트 이름이 필요할 경우, DNS 호스트 이름 활성화 및 DNS 확인 활성화 옵션을 활성화
• 인터넷 게이트 웨이(IGW) : VPC 서브넷에 속한 인스턴스에 대해 인터넷 송수신 액세스를 활성화
• 이름 : VPC 이름
• NAT 게이트웨이 : 클라우드 플랫폼 내부에 있는 여러대의 비공인 IP를 가진 고객의 서버가 공인 IP를 가진 외부서버와 통신할 수 있도록 연결하는 NAT 서비스
• 라우팅 테이블 : 서브넷 또는 게이트웨이의 네트워크 트래픽이 전송되는 위치를 결정하는 라우팅 규칙집합
• 서브넷 : VPC의 IP 주소 범위로, 특정 서브넷에 AWS 리소스를 생성할 수 있음
• Tenancy : VPC로 시작하는 EC2 인스턴스가 다른 AWS계정과 공유되는 하드웨어에서 실행되는지 사용자전용 하드웨어에서 실행되는지 정의

14. 기본 VPC (Default VPC)

• 크기가 /16 IPv4 CIDR 블록(172.31.0.0/16)인 VPC를 생성 => 최대 65,536(2^16)의  프라이빗 IPv4 주소를 제공
• 각 가용 영역의 크기가 /20 기본 서브넷 생성
• 인터넷 게이트웨이를 생성하고 기본 VPC와 연결
• 모든 트래픽(0.0.0.0/0)이 인터넷 게이트웨이를 가리키는 경로를 기본 라우팅 텡티블에 추가
• 기본 보안 그룹을 생성, 이를 기본 VPC와 연결
• 기본 네트워크 ACL을 생성, 이를 기본 VPC와 연결
• AWS 계정에 설정된 기본 DHCP옵션을 기본 VPC와 연결

 

15. 서브넷

• VPC 내부의 논리 컨테이너
• EC2 인스턴스를 배치하는 장소 : 인스턴스는 서브넷 안에 위치함
  • 한번 서브넷에 인스턴스 생성 시 다른 서브넷으로 옮길 수 있음
  • 인스턴스를 종료하고 다른 서브넷에 새 인스턴스를 만들 수 있음
• 인스턴스를 서로 격리, 인스턴스 간의 트래픽 흐름 제어, 인스턴스를 기능별로 묶을 수 있음
• 서브넷은 하나의 가용영역 내에서 만 존재할 수 있음

16. ENI(탄력적 네트워크 인터페이스)

• 물리 서버의 네트워크 인터페이스와 같은 기능 수행
• VPC에서 가상 네트워크 카드를 나타내는 논리적 네트워킹 구성 요소

17. 인터넷 게이트 웨이

• 퍼블릭 IP주소를 갖는 인스턴스가 인터넷에 연결할 수 있도록 기능을 제공함
• 처음 VPC를 만들면 인터넷 게이트웨이가 연결되어 있지 않으므로, 직접 인터넷 게이트웨이를 만들고 VPC와 연결해야함
• 하나의 VPC는 하나의 인터넷 게이트웨이에만 연결할 수 있음

18. 라우팅

• VPC의 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙
• 트래픽을 전달할 IP주소 범위(대상주소)와 트래픽을 전송할 게이트웨이, 네트워크 인터페이스 또는 연결(대상)을 지정
• VPC는 소프트웨어 함수로 IP라우팅을 구현
• 라우팅 테이블 : 라우팅 집합으로, 서브넷과 연결 가능
• 기본라우팅 테이블 : VPC와 함께 자동으로 제공되는 라우팅 테이블
  • 기본 VPC인 경우, local 및 igw로의 라우팅을 포함

19. 보안그룹(sg, Security GrouP)

• 방화벽과 같은 기능을 제공
• 인스턴스 ENI에서 제공하는 트래픽을 제어
• 모든 ENI는 최소 한개 이상의 보안그룹과 연결되어야 하고, 보안그룹은 여러 ENI와 연결될 수 있음
• 생성할때 보안그룹 이름, 설명, 포함될 VPC를 지정해야하고, 생성후에 인바운드, 아웃바운드 규칙을 지정
• 상태 저장 방화벽의 역할은 트래픽을 한 방향을 전달되도록 허용할때 반대방향의 응답 트래픽을 지능적으로 허용

20. NACL

• 보안그룹과 유사함
• 서브넷에 연결되어 서브넷과 송수신되는 트래픽을 제어
• 상태 비저장방식
  • NACL을 통과한 연결사태를 추적하지 않음
  • 모든 인바운드, 아웃바운드 트래픽의 허용 규칙을 별도로 작성해야함
• 규칙을 적용할 때 규칙번호의 오름차순으로 정리

 

 

종합정리문제

문제 1: AWS IAM의 주요 구성 요소가 아닌 것은 무엇인가?

1. 사용자(User)
2. 그룹(Group)
3. 역할(Role)
4. 보안 정책(Security Policy)
5. 정책(Policy)

---

문제 2: IAM 정책과 관련된 설명 중 올바르지 않은 것은?

1. 정책은 JSON 형식으로 작성된다.
2. 정책은 사용자에게 직접 적용할 수 있다.
3. 관리형 정책은 AWS에서 제공하거나 사용자가 생성할 수 있다.
4. 인라인 정책은 특정 사용자나 그룹에만 적용된다.
5. 정책은 IAM 역할에도 적용 가능하다.

---

문제 3: ARN(Amazon Resource Name)의 구성 요소에 포함되지 않는 것은?

1. 서비스(Service)
2. 계정 ID(Account ID)
3. 리전(Region)
4. 리소스(Resource)
5. AWS 계정 비밀번호(Account Password)

---

문제 4: 보안 그룹(Security Group)에 대한 설명으로 올바른 것은?

1. 보안 그룹은 상태 비저장 방화벽이다.
2. 보안 그룹은 서브넷 단위로 연결된다.
3. 보안 그룹은 인바운드와 아웃바운드 규칙을 설정할 수 있다.
4. 하나의 ENI는 여러 보안 그룹을 연결할 수 없다.
5. 모든 트래픽을 자동으로 허용한다.

---

문제 5: IAM 역할(Role)의 주요 목적은?

1. 특정 사용자 그룹의 권한을 제한하기 위해 사용된다.
2. EC2 인스턴스와 같은 AWS 서비스에 권한을 부여하기 위해 사용된다.
3. IAM 콘솔에 접근할 수 있는 추가 계정을 생성한다.
4. 보안 그룹 규칙을 정의한다.
5. 자격 증명 기반 정책을 생성한다.

---

문제 6: VPC와 관련된 구성 요소 중 기본적으로 생성되지 않는 것은?

1. 기본 보안 그룹
2. 기본 라우팅 테이블
3. 인터넷 게이트웨이
4. 기본 DHCP 옵션
5. 기본 서브넷

---

문제 7: EC2 인스턴스와 연결된 ENI(Elastic Network Interface)에 대한 설명으로 올바르지 않은 것은?

1. ENI는 IP 주소를 포함할 수 있다.
2. ENI는 MAC 주소를 가진다.
3. ENI는 여러 보안 그룹과 연결될 수 있다.
4. ENI는 삭제 후 다시 복구할 수 없다.
5. ENI는 인스턴스 간 이동이 가능하다.

---

문제 8: NACL(Network ACL)에 대한 설명으로 틀린 것은?

1. NACL은 상태 저장 방식이다.
2. NACL은 서브넷 단위로 적용된다.
3. NACL은 규칙 번호의 오름차순으로 규칙을 평가한다.
4. NACL은 인바운드와 아웃바운드 규칙을 별도로 작성해야 한다.
5. NACL은 보안 그룹과 함께 사용할 수 있다.

---

문제 9: 기본 VPC의 IPv4 CIDR 블록 크기는?

1. /8
2. /16
3. /24
4. /20
5. /32

---

문제 10: S3 버킷 이름 생성 규칙 중 올바르지 않은 것은?

1. 이름은 소문자와 숫자로만 구성될 수 있다.
2. 이름에는 하이픈(-)이 포함될 수 있다.
3. 이름은 글로벌하게 유일해야 한다.
4. 이름에는 점(.)이 포함될 수 있다.
5. 이름은 특수문자를 포함할 수 있다.

---

문제 11: (O/X) IAM 사용자는 반드시 암호를 설정해야 한다.

---

문제 12: (O/X) ENI는 EC2 인스턴스에 연결된 가상 네트워크 어댑터를 의미한다.

---

문제 13: (O/X) 보안 그룹은 상태 저장 방화벽의 역할을 수행한다.

---

문제 14: (O/X) NACL은 상태 저장 방화벽으로 동작한다.

---

문제 15: (O/X) 관리형 정책은 AWS에서 제공하거나 사용자가 생성할 수 있다.

---

문제 16: IAM 사용자 ARN의 형식에서 "anr"은 고정값이다.

1. True
2. False

---

문제 17: IAM 정책에서 자격 증명 기반 정책이 아닌 것은?

1. AWS 관리형 정책
2. 인라인 정책
3. 고객 관리형 정책
4. S3 버킷 정책
5. 관리형 리소스 기반 정책

---

문제 18: 다음 중 VPC 서브넷의 주요 특징이 아닌 것은?

1. 하나의 가용 영역 내에서만 존재할 수 있다.
2. 서로 다른 서브넷 간 트래픽은 항상 허용된다.
3. 서브넷은 EC2 인스턴스를 배치하는 데 사용된다.
4. 서브넷에 IP 주소 범위를 지정할 수 있다.
5. 인스턴스를 기능별로 묶는 데 사용된다.

---

문제 19: S3 버킷 권한이 없을 때 발생할 수 있는 에러는?

1. Access Granted
2. Access Denied
3. Permission Denied
4. Resource Not Found
5. Invalid Bucket Name

---

문제 20: 인터넷 게이트웨이(IGW)에 대한 설명으로 틀린 것은?

1. 퍼블릭 IP 주소를 가진 인스턴스가 인터넷에 연결될 수 있도록 한다.
2. VPC 서브넷과 연결된다.
3. 하나의 VPC는 여러 인터넷 게이트웨이를 가질 수 있다.
4. VPC와 수동으로 연결해야 한다.
5. 기본적으로 VPC와 연결되지 않는다.

 

정답은 다음포스트에