관리 및 거버넌스

AWS Organizations

• 여러 AWS 계정을 중앙에서 관리하는 글로벌 서비스
• 전체 계정을 관리하는 게정을 관리계정(Master Account)라고 함 그 외의 계정은 멤버 계정이라고 부름
• 조직 관리를 위해 OU(Organization Unit) 이라는 조직 단위로 그룹화 하여 관리
• 그룹마다 서비스 제어 정책(SCP, Service Control Policy) 를 적용해서 액세스를 제한 해야하는 서비스를 제어할 수 있음
• 계정을 통합하면 결제를 한곳으로 통합 가능하고 볼륨가격 할인도 받을 수 있음

 

AWS Organization - OU

OU(organization unit) 이라는 조직 단위로 그룹화 하여 관리하는 기능

사용중인 AWS계정을 Root OU로 초대하여 멤버 계정을 만들 수 있음 , Root OU는 계정생성하면 기본으로 주어짐

 

AWS Organization - SCP

• 서비스 제어 정책, Service Control Policy (SCP)
• 계정에 대한 AWS 서비스 액세스 제어 정책
• 계정에 특정 AWS 서비스에 대한 액세스를 제한 할 수 있음
• SCP 정책은 계정 또는 OU 단위에 적용할 수 있음
• OU에 적용하면 OU에 속한 계정과 OU는 모두 동일한 정책이 적용됨 (정책상속)

 

CloudWatch

• AWS 클라우드 리소스와 AWS에서 실행되는 앱을 위한 모니터링 서비스
• 지표를 수집 및 추적하고 로그 파일을 수집 및 모니터링하고 경보를 설정
• Amazon EC2 인스턴스, Amazon DynamoDB 테이블, RDS 인스턴스 같은 AWS 리소스 뿐만 아니라 앱과 서비스에서 생성된 사용자 정의 지표 및 앱에서 생성된 로그 파일을 모니터링
• 시스템 전반의 리소스 사용률, 앱 성능, 운영 상태를 파악

 

지표

• AWS 클라우드 리소스 및 AWS에서 실행하는 앱을 모니터링
• CPU 사용량 , 네트워크 사용량 등의 AWS 서비스에 대한 측정값
• AWS 제품 및 서비스에 대한 지표가 자동으로 제공되며 자체 앱 및 서비스에서 생성된 사용자 정의 지표도 모니터링

대시보드

AWS 리소스 및 사용자 정의 지표의 그래프를 한눈에 볼 수 있는 대시보드 기능

로그

• 앱에 대한 로그를 수집하는 기능
• Lambda, CloudTrail ,ECS, API Gateway 등의 AWS 서비스에 대한 로그를 수집
• AWS 서비스 이외에도 Log Agent 를 설치하여 로그를 수집 가능
• 로그를 S3 , Kinesis Data Stream, Kinesis Data Firehose , AWS Lambda 로 전송 가능

경보

• 지표 값에 대한 알림을 생성하는 기능
• 예) Amazon EC2 인스턴스 CPU 사용률, Amazon ELB 요청 지연 시간, Amazon DynamoDB 테이블 처리량, SQS 대기열길이, 청구서 요금에 대한 알림
• 생성된 알림을 이메일을 전송하거나 , SQS 대기열에 게시하거나 , EC2 인스턴스를 중단 또는 종료하거나, Auto Scaling 정책을 실행하도록 경보를 설정
  • 트리거를 통해 임계값이 넘은 인스턴스에 대한 중단, 종료등을 설정할 수 있음

 

---

Amazon EventBridge

• 거의 실시간으로 이벤트를 자동 전송하는 서비스
• 90개 이상의 AWS 서비스에서 이벤트를 자동 수집
• SaaS 앱 및 또는 AWS 서비스의 이벤트에 반응하는 앱을 구축하려고 할 때 사용
• 예) 이벤트 소스에 대한 Event Bridge 규칙을 구성하여 Amazon SNS 주제에 메시지를 게시하여 관리자에게 이메일로 알림

 

CloudTrail & Config

CloudTrail

• AWS 계정이 수행하는 작업에 대해 로그를 기록하는 서비스
• AWS 내에서 수행되는 모든 계정 활동에 대해 기록이 됨
• 로그는 CloudWatch Logs 또는 S3 버킷에 저장 가능
• CloudTrail은 모든 계정에 기본으로 활성화 되어있고 KMS를 사용해 암호화 가능
• CloudTrail Insight를 사용하여 aws 계정에서 비정상적인 활동을 감지 가능
• CloudTrail 로그 파일 무결성 검증 기능을 사용하여 CloudTrail에서 로그 파일을 지정된 S3 버킷으로 전송한 이후로 CloudTrail 로그파일이 그대로 유지되거나, 삭제되거나, 수정되었는지 확인 가능

Config

• AWS 리소스 구성 변경 사항을 로그기록 하는 기능
• 버킷액세스 변경, 보안그룹 설정 변경, ALB 설정 변경 등 모든 변경 사항에 대해 로그 수집 가능
• 수집된 로그는 분석, 보안감사를 위해 s3 버킷으로 저장 가능
• 리소스 구성변경이 발생되면 알림을 SNS주제로 전송 가능
• Config 규칙을 설정해서 aws 리소스 구성이 규정준수를 하고 있는지 평가 가능

---

AWS Systems Manager (SSM)

• AWS 클라우드에서 실행되는 앱 및 인프라를 관리하는데 도움이 되는 기능 모음
• 여러 AWS 서비스의 운영 데이터를 중앙집중화하고 AWS 리소스 전체에서 작업을 자동화 가능
• Amazon EC2 인스턴스, 엣지 디바이스 , 온프레미스 , 또는 가상 머신(VM)에 SSM Agent를 설치하여 Systems Manager에서 리소스를 업데이트 , 관리 및 구성 가능
• System Manager 기능
  • 앱 관리
    • Application manager = 앱의 컨텍스트에서 운영데이터
      예) 개발상태, Amazon CloudWatch 경보, 리소스 구성 및 운영문제)를 보고, 패치 적용 및 자동화 런북 실행과 같은 수정작업을 수행
    • AppConfig = 앱 구성을 생성 , 관리 및 빠르게 배포
    • Parameter Store = 구성 데이터 관리 및 암호 관리를 위한 스토리지
  • 변경 관리
    • Automation = 유지관리 및 배포테스트크를 자동화
      AMI 생성 및 업데이트, 드라이버 및 에이전트 업데이트를 적용, Windows Server인스턴스에서 암호를 재설정, Linux 인스턴스에서 SSH 키를 재설정, OS패치
    • Change manager = 앱 구성 및 인프라에 대한 운영 변경을 요청, 승인 , 구현 및 보고하기 위한 엔터프라이즈 변경 관리 프레임워크
    • Maintenance Windows = 운영 체제 패치, 드라이버 업데이트 , 소프트웨어 또는 패치 설치와 같이 노드에서 중단 가능성이 있는 작업 수행 시기에 대한 일정을 정의
  • 노드 관리
    • Fleet Manager = 온프레미스 또는 클라우드에서 실행하는 플릿을 관리
      하나의 콘솔에서 전체서버 플릿의 성능 상태를 볼수 있으며 개별노드로 액세스 하여 콘솔에서 디스크 및 파일 검색, 로그관리, 윈도우 레지스트리 작업, 사용자 관리와 같은 일반적인 시스템 관리를 수행
    • Session Manager = 인바운드 포트를 열고 , Bastion 호스트를 유지하고 , SSH키를 관리할 필요 없이 보안성과 감사 가능성을 갖춘 엣지 디바이스 및 인스턴스 관리 기능을 제공
      인스턴스 원격 접속 기능
    • Patch Manager = 대규모 클라우드 그룹 또는 온프레미스 인스턴스 및 엣지 디바이스에서 운영체제 및 소프트웨어 패치를 자동으로 선택하고 배포
  • 운영 관리
    • Explorer = AWS리소스에 대한 정보를 보고하는 사용자 지정 가능한 운영 대시보드
    • OPsCenter = OpsItem 이라는 운영 문제를 집계하고 표준화 하는 동시에 진단 및 해결에 도움이 되는 상황에 맞는 데이터를 제공
      이벤트, 리소스, 계정, Config 변경사항, CloudTrail로그 ,CloudWatch정보 등
    • Incident Manager = AWS 호스팅 앱에서 발생하는 인시던트를 관리
      사용자 참여, 대응계획, 채팅채널 및 인시던트 후 분석을 결합하여 팀이 인시던트를 더 빠르게 분류하고 앱을 정상 상태로 되돌릴 수 있도록 지원