COST 8: 데이터 전송 요금을 위한 계획은 어떻게 됩니까?
비용 최소화를 위한 아키텍처 관련 사항을 결정할 수 있도록 데이터 전송 요금을 계획하고 모니터링해야 합니다. 아키텍처를 약간이라도 효율적으로 변경하면 장기적으로 운영 비용을 크게 줄일 수 있습니다.
리소스
AWS caching solutions
Deliver content faster with Amazon CloudFront
모범 사례:
데이터 전송 모델링 수행:: 조직 요구 사항을 수집하고 워크로드 및 각 워크로드 구성 요소의 데이터 전송 모델링을 수행합니다. 그러면 현재 데이터 전송 요구 사항을 충족할 수 있는 최저 비용을 파악할 수 있습니다.
데이터 전송 비용을 최적화할 구성 요소 선택: 모든 구성 요소를 선택해야 하며, 데이터 전송 비용을 줄이도록 아키텍처를 설계해야 합니다. 이 과정에서는 WAN 최적화, 다중 AZ 구성 등의 구성 요소를 사용할 수 있습니다.
데이터 전송 비용을 줄이기 위한 서비스 구현: 데이터 전송 비용을 줄이기 위한 서비스를 구현합니다. 예를 들어 Amazon CloudFront 등의 CDN을 사용해 최종 사용자에게 콘텐츠를 전송하거나, Amazon ElastiCache를 사용하여 계층을 캐시하거나, VPN 대신 AWS Direct Connect를 사용해 AWS에 연결할 수 있습니다.
개선 계획
데이터 전송 모델링 수행:
Amazon EC2 Pricing
Amazon VPC pricing
데이터 전송 비용을 최적화할 구성 요소 선택
데이터 전송 비용을 줄이기 위한 서비스 구현
AWS Explore Our Products
AWS Direct Connect
Amazon CloudFront
SEC 3: 사람과 시스템에 대한 권한은 어떻게 관리합니까?
AWS 및 워크로드에 액세스해야 하는 사람 및 시스템 자격 증명에 대한 액세스를 제어하는 권한을 관리합니다. 권한은 누가 어떤 조건에서 무엇에 액세스할 수 있는지를 제어합니다.
리소스
Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least
Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)
모범 사례:
액세스 요구 사항 정의: 관리자, 최종 사용자 또는 기타 구성 요소는 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 누가 혹은 무엇이 각 구성 요소 또는 리소스에 액세스할 수 있는지 명확하게 정의한 다음 적절한 자격 증명 유형과 인증 및 권한 부여 방법을 선택해야 합니다.
최소 권한 액세스 부여: 특정 조건에서 특정 AWS 리소스에 대한 특정 작업과 관련한 액세스를 허용하여 자격 증명에 필요한 액세스 권한만 부여합니다. 개별 사용자에 대한 권한을 정의하는 대신, 그룹 및 자격 증명 속성을 사용하여 대규모로 권한을 동적으로 설정합니다. 예를 들어 개발자 그룹이 자체 프로젝트에 대한 리소스만 관리하도록 액세스 권한을 허용할 수 있습니다. 이렇게 하면 특정 개발자를 그룹에서 제거했을 때 액세스 정책을 변경할 필요 없이 해당 그룹을 액세스 제어에 사용한 모든 리소스에서 이 개발자에 대한 액세스가 취소됩니다.
긴급 액세스 프로세스 설정: 가능성은 작지만 자동화된 프로세스 또는 파이프라인에 문제가 발생할 때 워크로드에 긴급 액세스할 수 있게 하는 프로세스입니다. 이 긴급 액세스 프로세스를 통해 최소 권한 액세스를 사용할 수 있습니다. 그러나 사용자가 적절한 수준의 액세스 권한이 필요할 때는 해당 권한을 얻을 수 있습니다. 예를 들어 관리자가 사용자의 액세스 권한 요청을 확인하고 승인하는 프로세스를 설정할 수 있습니다.
지속적으로 권한 축소: 팀 및 워크로드가 필요한 액세스 권한을 결정할 때 더 이상 사용하지 않는 권한을 제거하고 최소 권한을 부여하기 위한 검토 프로세스를 설정합니다. 사용하지 않는 자격 증명 및 권한을 지속적으로 모니터링하고 줄입니다.
조직에 대한 권한 가드레일 정의: 조직의 모든 자격 증명에 대한 액세스를 제한하는 공통 제어를 설정합니다. 예를 들어 특정 AWS 리전에 대한 액세스를 제한하거나 중앙 보안 팀에 사용되는 IAM 역할과 같은 공통 리소스를 운영자가 삭제하지 못하게 할 수 있습니다.
수명 주기에 따라 액세스 관리: 액세스 제어를 운영자 및 애플리케이션 수명 주기/중앙 집중식 연동 공급자와 통합합니다. 예를 들어 조직에서 나가거나 역할이 변경될 때 사용자의 액세스 권한을 제거합니다.
퍼블릭 및 교차 계정 액세스 분석: 퍼블릭 및 교차 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 이 유형의 액세스가 필요한 리소스 전용 퍼블릭 액세스 및 교차 계정 액세스를 줄입니다.
안전하게 리소스 공유: 계정 전체에 걸쳐 또는 AWS 조직 내에서 공유된 리소스의 소비를 관리합니다. 공유 리소스를 모니터링하고 공유 리소스 액세스를 검토합니다.
개선 계획
액세스 요구 사항 정의
IAM use cases
최소 권한 액세스 부여
Grant least privilege
Reducing policy scope by viewing user activity
View role access
Lab: IAM permissions boundaries delegating role creation
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)
긴급 액세스 프로세스
설정
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
지속적으로 권한 축소
AWS IAM Access Analyzer
조직에 대한 권한 가드레일 정의
AWS Organizations Service Control Policies
AWS Control Tower Guardrails
수명 주기에 따라 액세스 관리
퍼블릭 및 교차 계정 액세스 분석
AWS IAM Access Analyzer
안전하게 리소스 공유
AWS Resource Access Manager