AWS SAA-C02개념정리::S3

1.  AWS  스톨리지 형식
-블록 스톨리지, 오브젝트 스톨리지, 파일스톨리지
-EBS, 인스턴스 스토어는 블록 스톨리지임
-S3은 오브젝트 스톨리지임
-EFS는 파일 스톨리지임

2. S3의 스톨리지 타입
-STANDARD:여러 곳에 데이터를 복제하기 때문에 내구성이 뛰어나다
-STANDARD-IA:스탠다드에 비해 저렴하다. 읽기 용량에 따라 과금한다.
-One Zone-IA: 접속 빈도는 낮지만 필요에 따라 바로 에 꺼내는 데이터용, 비용효율적
-RRS(Reduced Redundancy Storage):Glacier에서 꺼낸 데이터 배치 등
-Amazon Glacier:가장 저렴한 아카이브용 저장소. 데이터 추출에 비용과 시간(3~5시간)을 필요로 한다. 라이프 사이클 매니지먼트에서 지정가능. 볼 잠금 기능으로 데이터 유지.

3. S3 Intelligent-Tiering
-액세스빈도가 낮은 객체를 자동으로 저빈도 액세스 층으로 이동함으로써 비용을 삭감한다.

4. S3의 접근관리
-IAM 폴리시: IAM 유저나 서비스단위로 S3 서비스 접근권한을 설정할 수 있다
-버킷 폴리시: 버킷 접근권을 JSON에서 설정, 다른 계정에 권한허가 가능, 버킷 단위의 고도의 접근 관리에 적합
-ACL:버킷과 각각의 오브젝트에 대한 접근 권한을 XML로 설정, 다른 계정에 권한허가 가능, 간단한 접근관리에 적합
-서명(signed) URL:AWS SDK에서 생성한 서명URL로 3S의 객체에 대한 일시적 접근 허용

5.Cross account access
-버켓폴리시, IAM폴리시에 의한 허가:S3 버킷 접속을 허용하는 IAM 정책을 설정한다. IAM 사용자와 롤에 IAM 정책을 설정한다. S3 버킷에 크로스 어카운트 접근을 허용하는 경우는 버킷 정책에서 계정을 지정하여 허용한다.
-ACL과 IAM폴리시에 의한 허가::S3 버킷 접속을 허용하는 IAM 정책을 설정한다. IAM 사용자와 롤에 IAM 정책을 설정한다. S3 버킷의 특정 오브젝트에 대한 크로스 어카운트 접근을 허용 할 경우 ACL에서 계정을 지정하여 허가설정.
-IAM롤에 의한 허가:IAM 역할의 권한 이양을 이용하여 S3 버킷/오브젝트에 대한 프로그램을 통한 접근 또는 콘솔 접근
용 크로스 어카운트의 IAM 롤을 설정한다. AssumeRole 실행을 허용한 역할에 따라 별도의 계정의 사용자에게 권한을 이양한다.

6. 오브젝트 소유자
-업로드한 사용자가 오브젝트 소유자가 된다.
-기본 설정으로는 오브젝트에는 오브젝트 소유자만이 접근가능.
-오브젝트의 소유자는 액세스 제어로 다른 유저에게 액세스 할 수 있도록 변경/갱신할 권한을 갖는다.
-서명된 URL을 작성하여 일시적인 인증정보를 부가함으로써 사용자에게 기한부 URL을 발행할 수 있음

7. S3의 암호화
-SSE-S3:S3의 표준 암호화 방식. 암호화 키의 작성 및 관리를 S3측에서 자동실시. 블록 암호의 하나인 256비트의 Advanced Encryption Standard (AES 256)를 사용.
-SSE-KMS:AWS KMS로 설정한 암호화 키를 이용한 암호화 실시. 사용자측에서 AWS KMS를 이용하여 암호화 키를 작성 및 관리가능. 클라이언트 자체 암호키 이용 가능.
-SSE-C:사용자가 지정한 키에 의한 서버 측 암호화 (SSE-C)를 사용할 수 있음. 이용 설정이나 관리가 번잡해지는 것이 단점.
-클라이언트사이드 암호화(CSE):S3로 전송하기 전에 데이터를 암호화하는 방식. AWS KMS 등을 이용하여 암호화 키를 작성 및 실시. 애플리케이션 내에 저장한 마스터 키 사용.

8. S3의 액서스 포인트
-액세스 포인트 생성: 응용 프로그램용으로 S3 버킷 안에 접근가능하게 하기 위해 액서스포인트를 작성.
-접근 제한 설정:특정한 IP 주소나 웹 서비스에 접속을 제한하는 설정
-VPC접근 제한 설정:VPC를 대상으로 특정 S3 버킷에 접근 제한을 설정한다
-접근 관리 실행:응용 프로그램용 접속 대상을 확대·제한등이 가능

9. 라이플사이클 설정
-일정시간이 지나면 자동으로 Claicer에 아카이브되게 한다던가
-일정기간이 지나면 저렴한 보존형태로 옮긴다던가
-일정기간이 지나면 자동으로 삭제되는등.
-하지만, MFA Delete가 설정되어있으면 이용할 수 없다.

10. 버젼관리, 백업, 복원
-버킷을 버젼관리함. 버젼을 참조하거나, 라이프 사이클관리를 통해 기간지정도 가능.
-아카이브: 여러 리젼에서 레플리카를 작성하거나, 라이프 사이클 설정을 통해 Glacier로 이동.
-리스토어: 버젼관리 기능을 이용해 삭제된 데이터를 복원하는것이 기본.

11. S3의 용도
-대량 데이터의 장기보존(컨텐츠, 로그, 백업, 정적컨텐츠, 데이터레이크)
-백업/리커버리:백업용 중장기 보존장소로 사용. 예를들면 온프레미스 환경의 백업을 저장해 놨다가 크로스 리젼으로 다른 리젼에 복원시키는 것도 가능.
-웹용 정적 호스팅
-데이터레이크: 비정형화 데이터의 보존처로서 RedShift와 연계하여 데이터 축적의 기능을 담당

12. AWS Storage Gateway
-표준적인 스톨리지 프로토콜을 이용하여 외부 시스템 환경과 AWS 스톨리지 서비스를 접속하는 서비스
-3개의 타입이 있음:파일 게이트웨이, 볼륨 게이트웨이, 테입 게이트웨이
-파일 게이트웨이:Amazon S3 오브젝트에 Storage Gateway 를 경유하여 파일 데이터를 저장
-볼륨 게이트웨이:Amazon S3 및 EBS snapshots를 백엔드로한 블록 스토리지
-테이프 게이트웨이:Amazon S3과 Glacier에 데이터를 보관하는 가상 테이프 스토리지와 VTL 관리

13. 파일 게이트웨이
-사용례:온프레미스 파일 데이터를 AWS Storage Gateway 경유로 Amazon S3에 오브젝트로서 저장
-가상 어플라이언스에서 NFS v3 / V4.1 인터페이스 제공
-갱신 데이터는 비동기로 AWS에 전송
-파일과 객체의 매핑은 1 대 1
-S3의 라이프 사이클 정책/버져닝/크로스 리전 레플리케이션 등 이용가능

14. 볼륨 게이트웨이
-사용례:온프레미스 환경의 디스크 데이터를 AWS Storage Gateway 경유로 Snapshot로서 Amazon S3에 보관하여, Disaster Recovery 구현
-iSCSI에서 블록 스토리지로서 인터페이스 제공
-온프레미스의 로컬 디스크 백업을 자동적으로 AWS측에서 실시
-갱신 데이터는 비동기로 AWS에 전송
-옴프레미스측 Storage Gateway 를 통해 리스토어
-AWS의 EBS 디스크로 리스토어도 가능

15. 테이프 게이트웨이
-사용례:Storage Gateway를 가상 테이프 라이브러리로 이용하여 높은 견고성을 가진 외부 보관 백업 스토리지 실현
-VTL ( Virtual Tape Library ) 지원 백업 소프트웨어를 이용하여Storage Gateway를 경유하여 백업데이터를 S3 및
Glacier에 격납
-온프레미스 및 AWS의 EC2 환경에서 이용 가능
-백업 소프트웨어로 테이프 추출 오퍼레이션을 실시하여 저렴한 아카이브 스토리지(S3 Glacier)를 이용
-주요 백업 소프트웨어 지원

16. S3 Transfer Acceleration 의 사용례
-중앙의 버킷에 대해 전 세계의 고객으로부터 업로드가 이루어지는 경우
-대륙간에 정기적으로 기가바이트로부터 테라바이트 단위의 데이터를 전송하는 경우
-아마존 S3 업로드 시 인터넷 경유로 이용 가능한 대역폭을 충분히 활용하지 못하고 있는경우

17. Snowball
-물리 스토리지 디바이스를 사용하여 인터넷을 우회하여 AWS와의 대용량 데이터 전송을 고속화하는 서비스
-온프레미스의 데이터 스토리지 로케이션과 아마존 S3사이에서 데이터 Import 및 export가능
-Snowball에서는 모든 리전에서 80 TB 모델 사용 가능
-강제적 암호화를 통해 보관/운송 중인 데이터를 보호
-AWS Snowball 매니지먼트 콘솔 사용
-온프레미스의 데이터센터와 Snowball 사이에서 로컬 데이터 전송 실행
-Snowball은 그 자체가 배송 컨테이너(사진 찾아보면 무슨 석유통같이 생김)

18. Amazon S3 Glacier
-데이터가 "아카이브"에 저장됨
-1개의 아카이브 최대 사이즈는 40 TB
-저장 가능한 아카이브 수와 데이터 양에 제한 없음
-각 아카이브에는 작성 시에 하나의 아카이브 ID가 할당되며, 작성 후에는 갱신할 수 없다.
-아카이브 저장을 위한 컨테이너로서 '볼트'를 사용(1개의 AWS 계정에서는 최대 1,000개의 볼트를 사용)
-Amazon S3의 라이프 사이클 규칙과 연계함으로써 Amazon S3 데이터 아카이브를 자동화하여 전체적인 스토리지 비용을 절감
-Advanced Encryption Standard (AES) 256 비트 대칭 키를 사용하여 기본 키로 자동 암호화
-S3와 달리 직접 데이터를 업로드 및 취득하는 처리를 할 수 없기 때문에 S3 라이프 사이클 관리등을 통한 업로드/다운로드 필요
-Glacier의 최저 유지 기간은 90일

19. Amazon S3 Glacier 구성
-볼트:볼트는 아카이브를 저장하는 컨테이너이다. 볼트는 리젼별로 작성.
-아카이브:S3Glacier에서의스토리지기본단위. 각 아카이브는 유니크한 하나의 주소를 가짐.
-Job:아카이브에 SELECT 쿼리를 실행함으로써 아카이브를 취득하거나 볼트의 인벤토리를 취득함.
-알림설정:Job완료에 시간이 걸리므로 작업 완료 시 SNS와 연계한 알림 설정이 가능.

20. Retrieval options for S3 Glacier or S3 Intelligent-Tiering Archive Access
-Expedited:데이터에 빠르게 액세스하는 모드. 통상 1~5분 이내 사용 가능(Deep Archaive에서는 지원안함)
-Provisioned capacity: Expedited를 필요할 때 이용할 수 있음을 보증하는 시스템
-Standard:디폴트 설정으로써 수시간 이내에 모든 아카이브에 액세스가능. 일반적으로 추출은3~5시간이면 완료(Deep Archaive에서는 12시간이내)
-Bulk:가장 저렴한 추출 옵션이며 대량의 데이터(페타바이트 데이터 포함)을 1일 이내에 저렴한 비용으로 취득가능.
일반적으로 대용량 추출은 5~12시간정도 걸림.(Deep Archaive에서는 48시간이내)

21. Glacier 접근관리
-IAM 폴리시:IAM 유저나 서비스단위로 S3 서비스 접근권한을 설정할 수 있다
-볼트 폴리시:볼트로 직접 접근 정책을 정의하여 조직 내 사용자나 사외 사용자에 대해서도 볼트에 대한 접근권을 부여
-데이터 추출 폴리시:데이터 추출에 관한 제한을 정의. 무료이용범위만으로 제한하거나무료 이용범위를 초과하는 양을 제거하고 싶을 때는 최대 취득률을 지정하면, 꺼내는 속도를 제한하고, 꺼내는 비용의 상한을 설정할수 있다.
-볼트 락 폴리시:잠김기능을 이용하여 변경을 금지함으로써 컴플라이언스 관리를 강력하게 실시할 수 있음
-서명:인증 보호를 위해 모든 리퀘스트에 서명 필요.

22. S3데이터의 분석
-S3 Select(Glacier Select):
S3의 내부 기능으로 가지고 있는 검색 기능으로, S3 내에서 직접 쿼리를 실행하여 데이터를 취득할수 있음.
GZIP 압축 데이터나 CSV나 JSON에 대해 실행 가능.
-Amazon Athena:
아마존 S3 내의 데이터를 직접, 간단하게 분석할 수 있도록 하는 인터랙티브한 쿼리서비스
Athena SQL 쿼리에서 SageMaker 기계학습 모델을 호출하여 기계학습에 의한 추론도 실행가능
-Amazon Macie:
기계 학습으로 아마존 S3의 기밀 데이터를 검출, 분류, 보호하는 풀 관리형 서비스
기밀 데이터 검출과 조사를 실시
-Amazon Redshift Spectrum:
Amazon S3에 저장되어있는 데이터에 대해 Amazon Redshift에서 직접 쿼리를 실행할 수 있는 기능
Redshift 클러스터가 부팅되어 있는 것이 전제이므로 Redshift를 이용하고 있는 경우에 추천함.

#제 돈 주고산 유료강의를 듣고 정리한 요약노트입니다. #AWS비슷비슷한 서비스, 기능들 위주로 요약했습니다. #일본거주자라 일본어강의여서 가끔 단어가 이상할 수 있습니다.