AWS - 글로벌 인프라 및 IAM

 AWS 글로벌 인프라

리전(Region)

• 데이터 센터를 클러스터링 하는 물리적 위치  ex) 서울 리전, 오하이오 리전
• 전세계 24개 주요국가에 위치
• 1개의 AWS 리전 =  2개 이상의 가용영역으로 구성
• 한 개의 가용영역에 문제가 생겨도 다른 가용영역에서 서비스가 가능
• 계정(IAM)을 제외한 대부분 AWS 서비스는 리전을 선택하여 시작(리전 단위로 운영)
• 재해복구(DR) 설계 = 2개 이상의 리전에 시스템을 배치 ex) 서울, 오하이오에 배치했을 경우 오하이오에 재난이 발생해 데이터에 문제가 생겨도 서울 리전을 이용해 문제없이 운영가능

 

가용영역(AZ - Availability Zone)

• 하나 이상의 개별 데이터 센터
• 1개의 리전은 2개 이상의 가용영역으로 구성(보통 3개로 구성)
• 가용영역끼리는 물리적으로 떨어져 있고(가까운 지역), 고속 네트워크로 연결됨
• 하나의 데이터 센터처럼 빠르게 데이터를 송/수신 가능
• 고가용성 설계 = 다중 AZ, 2개 이상의 가용영역에 시스템 배치

 

엣지 로케이션(Edge Location)

• 엣지 로케이션에 콘텐츠를 캐싱하여 사용자에게 더 짧은 지연 시간으로 전송
• 캐싱 - 지정한 리전의 데이터(자주 쓰는 데이터)를 엣지 로케이션에 저장하여 사용가능
• 전세계 220개 이상의 엣지 로케이션 존재
• 글로벌 배포 서비스인 AWS CloudFront, Global Accelerator에서 대표적으로 사용

 

Identity and Access Management(IAM)

IAM

• AWS 서비스와 리소스에 대한 엑세스 관리
• 사용자, 그룹, 역할, 정책으로 구성
• 리전에 속하는 서비스가 아닌 글로벌 서비스
• 모든 리전에 대한 엑세스를 관리하기 때문
• 보안 강화를 위한 권장사항
• 루트 계정(회원가입시 만들어지는 계정)은 최초 사용저 계정 생성 이후 가능하면 사용하지 말 것
• 사용자 계정으로 서비스를 사용하고 사용자는 필요한 최소한의 권한만 부여(최소 권한의 법칙)
• 루트계정과 개별 사용자 계정에 강력한 암호정책과 멀치팩터 인증(MFA) 적용

 

IAM 엑세스 관리

 

AWS 계정의 보안을 강력하게 하는 방법

1. 계정의 암호를 강력하게 하는 것

2. MFA(멀티 팩터 인증)를 활성화 하는 것