[AWS SAA] AWS region, IAM

AWS 리전 선택에 영향을 미칠 수 있는 몇 가지 요인

 

- Compliance 법률 준수 : 몇몇 국가들은 애플리케이션이 배포될 대상 국가 내에 데이터가 보관되기를 원한다.

- Proximity 지연 시간 : reduced latency 고려

- Pricing : 리전마다 요금이 다르다

- Available services : 모든 리전에서 같은 서비스가 제공되는 것이 아님

 

리전 제공 서비스 확인하기)https://aws.amazon.com/ko/about-aws/global-infrastructure/regional-product-services/

AWS 리전 서비스

 

 

 

AWS Availability Zones

 

각 리전마다 주로 3개의 가용 영역을 갖고 있음

구성 : 여분 네트워크, 통신 기능을 갖춘 하나 또는 두개의 데이터 센터 -> 문제 상황에 대비해 독립된 구조이며, 자세한 사항은 aws에서 공개하지 않고 있음

- high bandwidth, ultra-low latency networking

 

 

 

 

IAM, Identity and Access Management, Global service

 

- root user가 최상위. 아이디랑 비번 잊지 말자~

- 최소 권한 원칙 사용

- IAM 계정의 사용자들을 편의에 따라 그룹으로 묶을 수 있다.

- 그룹에 아예 포함되지 않는 사용자도 존재할 수 있고, 중복 포함되는 사용자도 존재할 수 있다.

- 이후 사용자, 그룹, 권한과 관련한 모든 사항을 JSON문서에 기록할 수 있음

 

IAM JSON 문법)

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_grammar.html

IAM JSON 정책 언어의 문법 - AWS Identity and Access Management

 

 

 

 

IAM 정책

 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "FirstStatement",
      "Effect": "Allow",
      "Action": ["iam:ChangePassword"],
      "Resource": "*"
    },
    {
      "Sid": "SecondStatement",
      "Effect": "Allow",
      "Action": "s3:ListAllMyBuckets",
      "Resource": "*"
    },
    {
      "Sid": "ThirdStatement",
      "Effect": "Allow",
      "Action": [
        "s3:List*",
        "s3:Get*"
      ],
      "Resource": [
        "arn:aws:s3:::confidential-data",
        "arn:aws:s3:::confidential-data/*"
      ],
      "Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
    }
  ]
}

 

-Version : 사용하고자 하는 정책 언어의 버전

-Statement : 주요 정책 요소를 다음 요소의 컨테이너로 사용

-Sid : 설명문을 구분하는 id

-Effect : 특정 API 접근 허용/거부 표기

-Principal : 사용자/계정/역할

-Action : 정책이 허용하거나 거부하는 작업 목록 포함

-Resource : 적용될 리소스

-Condition : 정책에서 권한을 부여하는 상황 지정

 

 

정책 관련 더 자세한 내용)https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies.html

IAM의 정책 및 권한 - AWS Identity and Access Management