SAA

[1] S3

---

Global Accelerator :

TCP,UDP

CloudFront :

HTTP 프로토콜

S3 버킷 :

Amazon S3에 저장된 객체에 대한 컨테이너, 버킷에 저장할 수 있는 객체 수에는 제한이 없음. ACL, 버킷정책 또는 둘다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여

S3 버전관리, 버킷에 버전관리, MFA Delete

S3 Transfer Acceleration :

클라이언트와 S3 버킷 간의 장거리 파일 전송을 파일을 빠르고 쉽고 안전하게 전송할 수 있는 버킷 기능. 전 세계에서 S3 버킷으로 전송 속도를 최적화. Amazon CloudFront에서 전 세계에 분산된 엣지 로케이션을 활용

S3 File Gateway

• 하이브리드 클라우드 스토리지 솔루션인 AWS Storage Gateway의 한 유형

• 온프레미스 환경 <-> AWS 클라우드 스토리지 연결
• 온프레미스 애플리케이션이나 파일 서버가 S3 버킷을 마치 로컬 파일 공유처럼 사용할 수 있도록 연결

<aside> ✅

캐싱 구조

• 로컬 캐시: 자주 액세스되는 데이터는 온프레미스 게이트웨이의 로컬 디스크에 캐시되어 짧은 대기 시간으로 제공됨
• 클라우드 스토리지: 모든 데이터는 S3 객체로 저장되어 무한한 확장성과 높은 내구성을 확보 </aside>

수명 주기 통합:

S3에 저장된 데이터이므로, S3 수명 주기 정책을 통해 자동으로 Glacier 등으로 데이터를 이동시켜 비용을 최적화할 수 있음

게이트웨이 VPC 엔드포인트 :

PC용 인터넷 게이트웨이 또는 NAT 디바이스가 없어도 Amazon S3 및 DynamoDB에 안정적인 연결을 제공

Gateway API : 규모와 관계없이 REST 및 WebSocket API를 생성, 게시, 유지, 모니터링 및 보호하기 위한 AWS 서비스, HTTP 기반, 상태비저장, 표준 HTTP 메서드를 구현

S3 Standard :

기본 스토리지 클래스, 객체를 업로드 할때 스토리지 클래스를 지정하지 않으면 S3가 해당 클래스를 할당

S3 Glacier Deep Archive

거의 액세스 할 필요가 없는 데이터를 보관할 때 사용. 클래스에 저장된 데이터의 최소 스토리지 기간은 180일이고 기본 검색 시간은 12시간, 가장 저렴한 스토리지 옵션

S3 Intelligent-Tiering

3개의 액세스 계층에 자동으로 저장

• 한 계층 : 빈도 높은 액세스
• 하나의 저렴한 계층 : 빈도 낮은 액세스
• 또 다른 매우 저렴한 계층 : 거의 액세스하지 않은 데이터에 최적화

저렴한 월별 객체 모니터링 및 자동화 요금으로 액세스 패턴을 모니터링하고 연속 30일동안 액세스하지 않은 객체를 Infrequent Access 계층으로 자동 이동

90일동안 액세스X, 성능 영향이나 운영 오버헤드 없이 → Archive Instant Access

 

사용

• S3 수명 주기 정책을 사용하여 1년 후 파일을 S3 Glacier Flexible Retrieval로 이동,
• Amazon Athena를 사용하여 Amazon S3에 있는 파일을 쿼리하고검색, S3 Glacier Select를 사용하여 S3 Glacier에 있는 파일을 쿼리하고 검색
• Amazon S3 Intelligent-Tiering 에 개별 파일을 저장.

S3 Glacier Flexible Retrieval

분 단위로 데이터 일부를 검색해야 하는 아카이브에 사용. 해당 클래스에 저장된 데이터는 최소 스토리지 기간이 90일이며, 신속 검색을 사용하여 최소 1~5분 이내에 액세스 함. 검색 시간은 유연하며 최대 5~12시간 내에 무료 대량 검색을 요청

S3 Glacier Instant Retrieval :

거의 액세스하지 않고 밀리초 단위로 검색해야 하는 데이터를 아카이브하는데 사용. 저장된 데이터는 S3 Stand-IA 스토리지 클래스와 동일한 대기 시간 및 처리량 성능으로 S3 Standard-IA 스토리지 클래스보다 비용을 절감

S3수명 주기 정책 :

일정 시간이 지났을 때 사용되지 않는 파일들을 삭제하거나 다른 곳에 백업하여 S3 저장 공간을 절약할 수 있는 비용 효율적인 방법.

S3 객체 잠금 모드 비교: Governance 🆚 Compliance

**Amazon S3 객체 잠금(Object Lock)**은 데이터를 특정 기간 동안 또는 무기한으로 수정하거나 삭제할 수 없게 만드는 기능으로, 이 두 가지 모드를 제공합니다.

1. 거버넌스 모드 (Governance Mode)

• 거버넌스 모드는 보호 잠금 이라고 생각할 수 있습니다.
• 보호 수준: 높은 수준의 보호를 제공하지만, 특정 권한을 가진 사용자에게는 유연성을 남겨둡니다.
• 우회 가능성: s3:BypassGovernance 권한을 가진 IAM 사용자나 역할은 보존 기간이 설정된 객체라도 잠금을 우회하고 삭제하거나 설정 변경이 가능합니다.

2. 규정 준수 모드 (Compliance Mode)

• 규정 준수 모드는 영구적인 잠금 이라고 생각할 수 있습니다.
• 보호 수준: **최고 수준의 보안(불변성)**을 제공합니다.
• 우회 가능성: 객체가 보존 기간 내에 있는 한, AWS 루트 계정 사용자조차도 잠금 설정을 변경하거나 객체를 삭제할 수 없습니다. 즉, 어떤 사용자나 프로세스도 데이터를 수정/삭제할 수 없도록 강제합니다.

Reduced Redundancy :

RRS 스토리지 클래스는 S3 Standard 스토리지 클래스보다 더 적은 중복성으로 저장될 수 있는 데이터 중에서도 중요하지 않고 재현 가능한 데이터를 목적으로 설계, 내구성 측면에서 객체 손실이 발생하므로 사용하지 않는 것이 좋음

[2] Organizations

AWS Organizations :

여러 AWS 계정을 생성하고 중앙에서 관리하는 조직으로 통합할 수 있는 계정 서비스, 조직의 계층적 구조를 구성하는 루트 및 OU, 조직의 멤버, 조직 내 다음 개체에 연결하는 정책, 조직 상태를 변경할 때 사용하는 핸드세이크에 대해 액세스 제어

• aws:PrincipalOrgID :

리소스 기반 정책의 Principal 요소 지정을 간소화.

전역 키는 조직 내 모든 AWS 계정의 계정 ID를 전부 나열하는 대안을 제공.

조직의 멤버인 모든 계정을 나열하는 대신 Condition 요소에 조직 ID를 지정.

서비스 제어 정책 (SCP)

• IAM 정책과 유사하지만, 최대 권한을 정의함
• 여기서 허용되지 않은 작업은 절대 수행할 수 없음

SCP는 계정의 모든 IAM 엔티티에 대한 중앙 액세스를 제공. 이를 사용하여 비즈니스의 모든 사람이 따르기를 원하는 권한을 적용.