AWS Certified Solutions Architect Associate - Organization(3)

• Amazon CloudWatch : EC2 인스턴스가 장애가 발생할 때 복구를 자동으로 트리거하면 EC2 인스턴스가 가능한 한 빨리 복구됩니다. CloudWatch는 인스턴스 상태를 모니터링하고 상태가 비정상일 경우 자동으로 인스턴스를 복구할 수 있는 기본 기능을 제공합니다.
• AWS CloudTrail : API 호출을 기록하고 모니터링하는 데 사용
• AWS Storage Gateway 파일 게이트웨이 :  AWS Storage Gateway 파일 게이트웨이는 온프레미스 애플리케이션이 S3에 데이터를 저장할 수 있도록 지원하는 하이브리드 클라우드 스토리지 서비스입니다. 파일 게이트웨이는 네트워크 파일 공유와 호환되며, Windows 서버에서 SMB 프로토콜을 통해 액세스할 수 있습니다. 이는 온프레미스 스토리지를 AWS로 이동하는데 이상적인 솔루션이며, 스토리지 비용을 절감할 수 있습니다. Amazon S3에 데이터를 저장할 수 있도록 지원하는 완전 관리형 솔루션입니다. 이 방법은 온프레미스 애플리케이션이 백업에 쉽게 접근하고 빠르게 복구할 수 있도록 하며, 운영 오버헤드가 적습니다. 또한, Amazon S3의 내구성과 확장성을 활용할 수 있습니다.
• Amazon Elastic File System(EFS) :  Amazon EFS는 주로 리눅스 기반 시스템에서 사용되며, Windows 기반 애플리케이션과의 호환성이 떨어집니다. 또한, EFS는 온프레미스 시스템에서 직접 액세스하기 어렵습니다.
• Amazon Elastic Block Store(EBS) : EBS는 EC2 인스턴스에 연결되는 블록 스토리지로, 온프레미스 애플리케이션에서 직접 액세스할 수 없습니다.
• Amazon Resource Name (ARN) : S3 엔드포인트 정책을 사용하여 특정 S3 버킷의 ARN에 대한 접근을 허용하는 것은 가장 효과적이고 관리하기 쉬운 방법입니다. 이를 통해 트래픽이 신뢰할 수 있는 S3 버킷으로만 제한되며, 회사의 보안 요구사항을 충족할 수 있습니다.
• AWS Transit Gateway : 수백 개의 VPC 및 온프레미스 네트워크를 중앙 집중식으로 관리하고 연결할 수 있는 확장 가능하고 고성능의 솔루션을 제공합니다. Transit Gateway를 사용하면 VPC와 VPN 간의 복잡한 피어링 관계를 관리할 필요가 없으며, 중앙 허브를 통해 모든 네트워크 트래픽을 라우팅할 수 있습니다. 이는 확장성이 뛰어나고 관리 오버헤드가 적으며, 네트워크 연결을 중앙에서 쉽게 제어할 수 있습니다. 작은 트래픽 양(50Mbps 미만)에서는 비용 효율적이지 않을 수 있습니다.
• Amazon DynamoDB with on-demand enabled : Amazon DynamoDB는 서버리스 NoSQL 데이터베이스 서비스로, 스키마가 유연하며 애플리케이션의 필요에 따라 읽기 및 쓰기 용량을 자동으로 확장할 수 있습니다. 주문형(on-demand) 모드를 활성화하면 수동으로 용량을 관리할 필요 없이 트래픽 변화에 따라 자동으로 용량이 조정됩니다. 이는 초기 스키마가 확정되지 않은 상황에서도 유연하게 대응할 수 있으며, 높은 내구성과 가용성을 제공합니다.
• Amazon Aurora 글로벌 데이터베이스 : Amazon Aurora 글로벌 데이터베이스는 단일 Aurora 데이터베이스 클러스터를 여러 AWS 리전에 걸쳐 확장할 수 있게 합니다. 이를 통해 다중 리전에서 읽기 및 쓰기를 거의 실시간으로 복제할 수 있으며, 글로벌 데이터베이스는 1초 미만의 복구 시점 목표(RPO)와 1분 미만의 복구 시간 목표(RTO)를 제공할 수 있습니다. 이는 회사의 다중 리전 재해 복구 요구사항을 충족합니다.
• Trusted Advisor : AWS 환경을 모니터링하고 비용 절감, 성능 향상, 보안 강화 및 결함 허용성을 높이는 데 도움
• Kinesis : 거부된 요청을 서드파티 감사 애플리케이션으로 전송합니다. 이는 실시간 데이터 스트리밍을 처리하는 데 매우 적합하며, 로깅 데이터를 신속하게 전송할 수 있습니다.
• Amazon ECS : Amazon ECS는 컨테이너 오케스트레이션 서비스로, Auto Scaling을 사용하여 애플리케이션의 수요에 따라 자동으로 확장 및 축소할 수 있습니다. 이는 애플리케이션 계층의 가용성과 확장성을 높여줍니다.
• Amazon S3와 CloudFront 사용 : mazon S3는 높은 내구성, 가용성 및 저렴한 비용으로 데이터를 저장할 수 있는 객체 스토리지 서비스입니다. 비디오를 S3에 저장하면 비용이 EBS보다 저렴해집니다. Amazon CloudFront는 글로벌 콘텐츠 전송 네트워크(CDN)로, 전 세계 사용자에게 콘텐츠를 빠르게 제공할 수 있도록 합니다. CloudFront는 S3와 통합되어, 사용자 요청을 가장 가까운 엣지 로케이션으로 라우팅하여 대기 시간을 줄이고 성능을 향상시킵니다. 이를 통해 비용을 절감하면서도 사용자 접근성을 유지할 수 있습니다.
• AWS Key Management Service(KMS) : AWS KMS는 키 생성, 저장, 관리 및 암호화 작업을 위한 완전 관리형 서비스입니다. KMS는 고객 마스터 키(CMK)를 생성하고 관리할 수 있으며, 키를 주기적으로 회전하는 기능을 제공합니다. 이는 내부 보안 전문가가 주기적으로 키를 생성하고 회전시키는 요구 사항을 충족합니다. 또한, AWS KMS는 S3 및 EBS와 쉽게 통합되어 암호화 요구 사항을 간편하게 처리할 수 있습니다.
• AWS Secrets Manager : Secrets Manager는 주로 애플리케이션의 비밀 정보(예: 데이터베이스 자격 증명, API 키)를 저장하고 관리하는 데 사용, 키 회전을 자동화할 수 있는 기능,
  • Lambda 함수와 통합하여 새로운 키 페어를 생성하고, EC2 인스턴스에 공개 키를 교체하며, 개인 키를 Secrets Manager에 업데이트하는 작업을 자동화할 수 있습니다. 1분 이하의 다운타임을 유지하면서 키 회전을 수행할 수 있는 유연성을 제공합니다. 키가 안전하게 암호화된 상태로 저장되므로 보안 요구 사항을 충족합니다.
• AWS CloudHSM : CloudHSM은 하드웨어 보안 모듈(HSM)을 제공하여 암호화 키를 저장하고 관리
• Parameter Store : 애플리케이션 구성을 저장하고 관리하는 데 사용
• Amazon CloudFront와 커스텀 오리진 사용 : CloudFront는 글로벌 콘텐츠 전송 네트워크(CDN)로, 전 세계적으로 엣지 로케이션을 통해 콘텐츠를 캐싱하고 사용자에게 빠르게 전달할 수 있습니다. 온프레미스 서버를 가리키는 커스텀 오리진을 설정하면, 사이트의 정적 및 동적 콘텐츠 모두를 CloudFront를 통해 제공할 수 있어 유럽 사용자들이 더 빠르게 콘텐츠에 접근할 수 있습니다. 이는 즉각적인 성능 향상을 제공하며, 백엔드를 미국에 유지할 수 있습니다.
• S3와 리전 간 복제 : 주로 정적 콘텐츠에 적합
• AWS Fargate : 컨테이너를 실행하는 데 사용되는 서버리스 컴퓨팅 엔진입니다. 이는 동적 애플리케이션에 적합
• Amazon S3 웹사이트 호스팅 : S3 웹사이트 호스팅은 정적 웹사이트에 적합하지만, PHP 및 JavaScript와 같은 서버 사이드 스크립트를 실행할 수 없습니다. 또한, EC2 인스턴스를 사용한 동적 웹사이트 호스팅을 지원하지 않습니다.
• 애플리케이션 로드 밸런서 : 애플리케이션 로드 밸런서는 HTTP 및 HTTPS 트래픽을 처리하는 데 최적화되어 있으며, 여러 도메인 및 서브도메인을 지원합니다. 이를 통해 서브도메인에 따라 트래픽을 적절한 백엔드 EC2 인스턴스로 라우팅할 수 있습니다. 또한, 로드 밸런서를 통해 트래픽을 균등하게 분산시켜 웹사이트의 성능을 향상시킬 수 있습니다.
• MFA 삭제 사용 : MFA 삭제를 사용하면 다중 요소 인증을 통해서만 객체를 삭제할 수 있도록 하여 실수나 악의적인 삭제를 방지할 수 있습니다. 이를 통해 데이터 손실을 방지하는 보안 계층을 추가합니다.
• AWS Config : AWS 리소스의 구성을 평가, 감사 및 검토하는 서비스입니다. AWS Config 규칙을 사용하여 IAM 사용자에게 직접 연결된 정책을 확인하고 이를 규칙 위반으로 식별할 수 있습니다. 이러한 규칙을 매일 실행하도록 설정하면 새로운 팀원이 표준을 따르지 않았을 때 이를 신속하게 감지할 수 있습니다. Config 규칙은 자동화된 방식으로 규정 준수를 모니터링하고 관리할 수 있게 해줍니다.
• Lambda 함수 :  사용자 변경 사항을 처리할 수 있음.
• Amazon Elastic Kubernetes Service (Amazon EKS) :  EKS는 Kubernetes를 AWS에서 관리형으로 제공하는 서비스로, Kubernetes는 클라우드 독립적인 오픈 소스 컨테이너 오케스트레이션 도구입니다. 이를 통해 회사는 온프레미스와 클라우드 환경 모두에서 동일한 Kubernetes 도구와 구성을 사용할 수 있으며, 클라우드 종속성을 피할 수 있습니다. Kubernetes는 다양한 클라우드 제공업체에서 지원되므로, EKS를 사용하면 클라우드 독립성을 유지하면서도 관리형 솔루션을 활용할 수 있습니다.
• 대상 추적 스케일링 정책으로 Auto Scaling : 대상 추적 스케일링 정책은 특정 지표(예: CPU 사용률, 메모리 사용률 등)를 기준으로 EC2 인스턴스의 수를 자동으로 조정합니다. 이를 통해 인스턴스가 실제 수요에 맞게 자동으로 스케일 인/아웃되므로, 과도한 프로비저닝을 방지하고 비용을 최적화할 수 있습니다. 대상 추적 정책은 성능 목표를 유지하면서도 리소스 사용량을 효율적으로 관리합니다.
• AWS WAF ACL 및 CloudFront 사용 : AWS WAF(웹 애플리케이션 방화벽)는 웹 애플리케이션에 대한 일반적인 웹 익스플로잇을 방지하는 데 도움을 줍니다. 레이트 기반 규칙을 사용하면 일정 시간 동안 허용되는 요청 수를 제한할 수 있어 DDoS 공격을 완화하는 데 효과적입니다. CloudFront는 전 세계의 엣지 로케이션을 통해 콘텐츠를 제공하며, DDoS 공격에 대해 추가적인 보호 계층을 제공합니다. CloudFront와 WAF를 함께 사용하면 애플리케이션의 보안 태세를 크게 개선하고 DDoS 공격의 영향을 최소화할 수 있습니다.
• GuardDuty : WS 계정 및 리소스에 대한 지속적인 모니터링 및 위협 탐지를 제공하지만, DDoS 공격을 실시간으로 차단하는 데는 WAF 및 CloudFront와 같은 전용 도구보다 효과적이지 않을 수 있습니다.
•  VPC Flow Logs : 네트워크 트래픽을 분석하는 것은 유용하지만, DDoS 공격을 실시간으로 차단하는 데는 적합하지 않습니다.
• bucket-owner-full-control : 외부 공급업체가 버킷에 객체를 업로드할 때 버킷 소유자가 모든 객체에 대한 완전한 제어 권한을 가질 수 있도록 하기 위해, 버킷 정책을 사용하여 객체를 업로드하는 사용자에게 bucket-owner-full-control 권한을 부여하도록 요구할 수 있습니다. 이렇게 하면 버킷 소유자가 모든 객체에 접근할 수 있으며, 필요한 경우 권한을 관리할 수 있습니다. 버킷 정책은 특정 버킷에 적용되며, 업로드되는 모든 객체에 대해 일관된 권한을 설정할 수 있습니다.
• CORS : 웹 브라우저가 서로 다른 도메인 간의 리소스 요청을 허용하도록 하는 설정
• Amazon RDS Proxy : 데이터베이스 연결 풀링을 제공하여 연결을 관리하고 최적화하여 데이터베이스의 부하를 줄입니다. 이는 특히 많은 수의 데이터베이스 연결을 처리해야 하는 애플리케이션에 유리합니다.
• AWS Elastic Disaster Recovery :  EC2 인스턴스를 DR 리전으로 지속적으로 복제하여 데이터 손실을 최소화하고 빠른 복구 시간을 제공합니다.
• 교차 리전 읽기 복제본 : 데이터베이스를 지속적으로 업데이트하여 RPO(복구 시점 목표)를 충족합니다.
• 자동 확장 그룹의 최소 용량 : C2 인스턴스를 실행함으로써 비용을 절감할 수 있습니다. DR 리전에서 전체 용량을 유지하는 대신 최소 용량으로 유지하고, 재해 발생 시 필요한 용량을 신속하게 확장할 수 있습니다.
• Amazon Route 53 장애 조치 라우팅 정책 : 재해 발생 시 자동으로 DR 리전으로 장애 조치할 수 있습니다.
• AWS Lake Formation : 데이터 레이크를 구축하고 관리하는 데 필요한 많은 기능을 제공하여 다양한 데이터 소스에서 데이터를 중앙 집중화하고 관리할 수 있습니다.
• Lake Formation 액세스 제어 : 데이터에 대한 세밀한 권한 관리를 쉽게 설정할 수 있으며, 이를 통해 다양한 팀이 필요로 하는 데이터에만 접근할 수 있습니다.
• AWS Glue : Amazon RDS와 같은 데이터 소스와 쉽게 통합할 수 있고, 이를 통해 데이터를 분석할 수 있도록 준비할 수 있습니다.
• S3 버킷을 Lake Formation에 등록 : S3에 저장된 데이터를 관리하고 분석하는 데 필요한 기능을 제공합니다.
• Amazon Redshift : 주로 구조화된 데이터를 처리, 데이터 웨어하우스
• Amazon Athena : 데이터를 쿼리하는 데 유용하지만, 전체 데이터 관리 솔루션으로는 적합하지 않습니다.
• 킷에서 암호화되지 않은 모든 작업을 거부 :
  • S3 버킷 정책을 사용하여 암호화되지 않은 요청을 거부하면, 모든 데이터가 S3 버킷에 저장되기 전에 암호화되도록 보장할 수 있습니다. 이는 저장 중 암호화를 강제하기 위해 필요합니다.
• EC2 인스턴스 : 요에 따라 스케일 업 또는 스케일 다운이 가능하며, 변환 작업을 자동화할 수 있는 유연성을 제공합니다, 데이터를 빠르게 변환 작업을 수행할 수 있음.
• Amazon Aurora PostgreSQL with Babelfish :  Microsoft SQL Server와 호환되는 Amazon Aurora의 기능으로, 기존 SQL Server 애플리케이션을 최소한의 변경으로 Aurora PostgreSQL로 마이그레이션할 수 있습니다. 이를 통해 SQL Server 라이선스 비용을 절감할 수 있습니다.
• Amazon FSx for Windows File Server : Microsoft Windows 애플리케이션을 위해 설계된 관리형 파일 시스템 서비스입니다. 이는 Windows 환경에 최적화되어 있으며, SharePoint와 같은 애플리케이션과의 호환성을 제공합니다.
• Amazon ElastiCache :
  • 인메모리 데이터 스토어로, Redis 또는 Memcached를 사용하여 세션 데이터를 관리하고 저장하는 데 매우 적합합니다.
  • ElastiCache는 고가용성과 확장성을 제공하여 여러 가용 영역에 걸쳐 자동으로 확장되는 EC2 인스턴스에 분산된 세션 데이터를 제공할 수 있습니다.
  • 이 솔루션은 세션 데이터를 중앙 집중식으로 관리하여 EC2 인스턴스 간의 세션 공유를 가능하게 합니다.
  • 코드 변경이 필요한 경우, 애플리케이션 코드를 수정하여 세션 데이터를 ElastiCache에 저장하고 검색하도록 할 수 있습니다.
• ALB의 세션 어피니티(스티키 세션) : 스티키 세션은 사용자를 동일한 EC2 인스턴스에 고정시켜 세션을 관리합니다. 이는 인스턴스가 자주 확장 및 축소되는 환경에서는 적절하지 않습니다.인스턴스가 종료되면 세션 데이터가 손실될 수 있어 고가용성과 확장성 요구사항을 충족하지 못합니다.
• GetSessionToken API : 임시 자격 증명을 제공하는 데 사용
• 스팟 인스턴스 : Amazon EC2의 여유 컴퓨팅 용량을 사용하여 최대 90%까지 할인을 제공하는 가격 모델입니다. 이는 특정 시간에 필요하지 않은 컴퓨팅 용량을 활용하는 방식으로, 매우 저렴한 비용으로 인스턴스를 사용할 수 있습니다. 단, AWS가 리소스를 회수할 수 있기 때문에 작업이 중단될 가능성이 있습니다.
• Dedicated Hosts(전용 호스트) :Dedicated Hosts는 물리적 서버를 전용으로 사용하는 방식으로, 높은 수준의 보안과 규정 준수를 제공하지만, 할인 혜택은 제한적입니다. 주로 특정 라이선스 조건이나 규제 준수 요구 사항을 충족하기 위해 사용됩니다.
• Amazon Neptune :  그래프 데이터베이스 서비스
• AWS Resource Access Manager :  VPC 리소스를 여러 계정 간에 공유할 수 있어 중복된 리소스 생성 비용을 줄일 수 있습니다.
• AWS Direct Connect : 고속의 전용 네트워크 연결을 제공하지만, 초기 설정 비용과 유지 관리 비용이 높습니다. 50Mbps 미만의 트래픽을 처리하는 경우에는 과도한 비용이 발생할 수 있습니다.
• Amazon Inspector : 보안 취약성 및 규정 준수를 검사하는 도구로, 트래픽 모니터링에는 적합하지 않습니다.
• 인터페이스 VPC 엔드포인트 사용 :인터페이스 VPC 엔드포인트를 사용하면 API Gateway를 프라이빗으로 설정할 수 있으며, API 요청이 VPC 내에서만 이루어지도록 할 수 있습니다. 이는 공용 인터넷을 통해 데이터가 전송되지 않도록 보장합니다.
• 엔드포인트 정책과 리소스 정책 설정 :엔드포인트 정책과 리소스 정책을 설정하면 특정 VPC 엔드포인트에서만 API에 접근할 수 있도록 제어할 수 있습니다. 이를 통해 보안성을 높일 수 있습니다.
• API Gateway 엔드포인트 유형을 프라이빗으로 변경 : API Gateway를 프라이빗 엔드포인트로 설정하여 외부에서 접근할 수 없도록 합니다.
• SCPs (서비스 제어 정책) : 조직의 계정에 대해 특정 서비스 사용을 제한할 수 있습니다. 그러나 SCPs는 변경 사항을 추적하거나 알림을 보내는 데 적합하지 않습니다. SCP는 정책을 적용하는 데 중점을 두며, 실시간 알림을 제공하지 않습니다.