SSM 매개변수 저장구성 및 암호를 위한 보안 스토리지구성을 암호화할지 선택할 수 있다 (KMS 서비스 이용 암호 생성 가능)서버리스이며, 확장성과 내구이 있으며, SDK 사용 가능매개 변수 업데이트 시 구성과 암호의 버전을 추적할 수 있음IAM 통한 보안 제공되며, 특정한 경우에는 Amazon EventBridge 로 알람 받을 수 있음스택의 입력 매개변수로 활용 가능함. CloudFormation 에 통합 가능   SSM Paramter storage 는 KMS 로 구성을 암호화한다 생각하면 된다       KMS 서비스가 암호화 및 복호화에 사용된다는 뜻        암호화 및 복호화 수행하려면 애플리케이션이 기본 KMS 키에 액세스 할 수 있어야 한다.   작동 방식 1. 새로운 매개변수 생성 2..

AMI 는 KMS 키로 암호화되어 있다.AMI 는 소스 계정에 있고, KMS 키로 암호화되어 있다.A 계정의 AMI 에서 B 계정의 EC2 인스턴스 시작하는 방식을 작성한다.   1. AMI 는 소스 계정에 있고, KMS 키로 암호화된 것       2. 시작 권한으로, AMI 속성을 수정해야 한다. -> B 계정에서 AMI 시작 허용 -> 특정 대상인 AWS 계정 ID 추가       3. KMS 키를 공유해야 하므로, IAM 역할이나 IAM 사용자를 생성       4. DescribeKey, API 출, CreateGrant, Decrypt API 호출에 대한 Access 부여     5. 모두 완료 뒤, AMI 에서 인스턴스 시작

KMS [정의] 키 관리 서비스 우리를 대신해서 암호화 키를 관리해준다 KMS 는 물론 승인에 관히 IAM 과 완벽히 통합되어 있다. 강점은 그걸 쓰면 여러분은 CloudTrail 을 통해, 모든 API 호출을 감사할 수 있다. 대부분의 AWS 서비스에서 원활하게 사용할 수 있다. 예시) EBS 볼륨에 저장된 데이터를 암호화 하고 싶다면, KMS 통합 활성화를 하면 된다. KMS Multi-Region Keys [정의] 다중 리전 키 KMS 에 지역별로 나누어 여러 키를 둘 수 있다. 키 ID 가 완전히 똑같음 (key/?? 부분) 다른 AWS 리전에서 사용할 수 있는 Key 세트로, 교차해서 사용 가능 한 리전에서 암호화한 다음, 다른 리전에서 복호화한다 다중 리전 키는 동일한 키 ID 와 동일한 키 ..

IAM Identity Center (IAM 자격 증명 센터) 는 Single Sign-ON 의 후속 제품이다. [개념] AWS 조직이나, 비즈니스 클라우드 애플리케이션의 모든 AWS 계정에서 Single Sign-ON 이 가능하다.한 번만 로그인하면 모든 권한이 있어서 좋다. 흐름이 단순화된다. [실습]1. 로그인 페이지로 이용하여, 사용자 이름 및 비밀번호 입력2. AM IAM 자격 증명 센터로 이동  - 계정에 대해 AdministratorAccess 권한 부여된 상태3. 콘솔의 홈페이지로 이동 (콘솔에 로그인하는 방법을 알 필요가 없음 / 비밀번호 미입력) [구성] 어떤 사용자가 무엇에 액세스를 할 수 있는지를 IAM Identity Center 에서 정의한다. 예시1)   Permission S..

IAM 권한 경계 권한 경계는 사용자와 역할만 지원, 그룹은 지원하지 않음 IAM 개체의 최대 권한을 정의하는 고급 기능 예시) IAM Permission Boundary IAM 사용자에 연결하여, 권한을 설정한다 Permission 으로 AdministratorAccess 를 주었더라도, 권한 경계인 S3, Cloudwatch, EC2 내의 작업만 할 수 있다.

[정의] Global Service 로, 다수의 AWS 계정을 동시에 관리할 수 있게 한다 조직을 생성하면, 조직의 메인 계정이 관리 계정이 된다 조직에 가입한 기타 계정이나, 조직에서 생성한 계정은 맴버 계정이라고 부른다 맴버 계정은 한 조직에만 소속된다 관리 계정에서 모든 계정의 비용을 통합 결제할 수 있다는 장점이 있다 조직 내 모든 계정에 대해 집계된 사용량에 기반한 비용 할인을 받을 수 있다 계정 간에 예약 인스턴스와 Saving Plan 이 공유된다 예시) 어떤 계정에서 미사용 예약 인스턴스를, 다른 계정이 사용할 수 있다. 계정 생성을 자동화할 수 있는 API 가 있다. [원리] Organizational Unit (OU) 개념이 있다. (전체 계정의 외곽) OU 는 하나의 집합이라 생각하면..

[정의] 사용자에게 웹 및 모바일 앱과 상호 작용할 수 있는 자격 증명을 부여합니다 앱 사용자에게 가입 기능을 제공 로드 밸런서와 원활히 통합 앱에 등록된 사용자에게 임시 AWS 자격 증명 제공

미들웨어로 다른 서비스 간 합동 작업을 하는 방법을 살펴본다 여러 개 배포할 때는, 커뮤니케이션을 할 수 밖에 없다 (서비스는 정보와 데이터를 공유)그 방법은 크게 두 가지로 나뉜다 1. 동기 커뮤니케이션직접적으로 연결되어 있다.2. 비동기 혹은 이벤트 기반 유형   구매가 증가하거나, 한 서비스가 다른 서비스를 압도하는 경우, sync 에 문제가 발생할 수 있다.트래픽이 갑자기 급증 or 예측 불가할 때,애플리케이션 분리 및 계층을 확장해야 한다.SQS대기열 서비스애플리케이션을 분리하여, 대기열에 메시지를 담음무제한 처리량이 있음대기열에 최소 4일, 최대 14일 놔둘 수 있다.SQS 에 메시지를 보내는 API 를 SendMessage API 라고 한다.메시지를 보내는 주체를 생산자 (producer) ..