AWS Well-Architected 프레임워크 2015 년 10 월

Similar documents
Cloud Friendly System Architecture

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

vRealize Automation용 VMware Remote Console - VMware

View Licenses and Services (customer)

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현


Windows 8에서 BioStar 1 설치하기

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

라우터

Cisco FirePOWER 호환성 가이드

consulting

[Brochure] KOR_TunA

Windows Server 2012

aws

Intro to AWS Cloud-중앙대

2016, Amazon Web Services, Inc. or its affiliates. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Samsung SDS Enterprise Cloud Networking CDN Load Balancer WAN

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

gcp

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

4th-KOR-SANGFOR HCI(CC)

IT.,...,, IoT( ),,.,. 99%,,, IoT 90%. 95%..., (PIPA). 디지털트랜스포메이션은데이터보안에대한새로운접근방식필요 멀티클라우드사용으로인해추가적인리스크발생 높은수준의도입률로복잡성가중 95% 는민감데이터에디지털트랜스포메이션기술을사용하고있음

System Recovery 사용자 매뉴얼

2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품또

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

RHEV 2.2 인증서 만료 확인 및 갱신

SANsymphony-V

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

Microsoft Word - src.doc

IRISCard Anywhere 5

PowerPoint 프레젠테이션

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

쓰리 핸드(삼침) 요일 및 2405 요일 시간, 및 요일 설정 1. 용두를 2의 위치로 당기고 반시계방향으로 돌려 전날로 를 설정합니다. 2. 용두를 시계방향으로 돌려 전날로 요일을 설정합니다. 3. 용두를 3의 위치로 당기고 오늘 와 요일이 표시될 때까지 시계방향으로

1. SNS Topic 생성여기를클릭하여펼치기... Create Topic 실행 Topic Name, Display name 입력후 Create topic * Topic name : 특수문자는 hyphens( - ), underscores( _ ) 만허용한다. Topi

희망브리지

Microsoft PowerPoint - 6.pptx

슬라이드 1

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile

Microsoft Word - release note-VRRP_Korean.doc

On-Premise vs AWS 보안관련가장많은질문 이상오 SA GS

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 요약... 3 소개... 3 AWS 리소스범위... 3 AWS IAM 및보안고려사항... 4 컴퓨팅및네트워킹... 4 Amazon EC2 인스턴스마이그레이션... 4 SSH 키... 5 보안그룹... 6 Amazon 머신이미지... 7 Amazon Elastic

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

2 노드

메뉴얼41페이지-2

AWS Educate CAU

User Guide

Windows 10 General Announcement v1.0-KO

USC HIPAA AUTHORIZATION FOR

5th-KOR-SANGFOR NGAF(CC)

BuzzAd Optimizer Proposal for partner 1

PowerPoint Presentation

이제까지 경험해보지 못한 방식으로 공동 작업하고 상호작용하십시오. 여러분은 얼마나 연결되어 있습니까? 이것이 바로 기업이 직원과 사업 파트너, 클라이언트 간의 일관적인 통신을 추구하는, 오늘날의 가상 모바일 기업 환경에서 경험하는 어려움입니다. 원격 재택 근무를 하는

슬라이드 제목 없음

Microsoft PowerPoint - 권장 사양

wtu05_ÃÖÁ¾

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

Operating Instructions

CertJuken 専門的な IT 認証問題集を提供する CertJuken

ADP-2480

PowerPoint 프레젠테이션

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

AWS Evangelist Architecture

MF Driver Installation Guide

Enterprise Cloud Storage Block Storage 서버에직접할당하여사용하는스토리지 서버내저장공간이필요한경우사용할수있는고가용성스토리지서비스로데이터베이스서버, 메일서버등대용량의데이터저장이요구되는애플리케이션환경에적합합니다. 성능요구수준에따라고성능스토리지를

Specific Product Documentation

항목

Hitachi Content Platform 클라우드 & 소프트웨어정의클라우드오브젝트플랫폼 Hitachi Content Platform Hitachi Data Ingestor Hitachi Content Platform Anywhere REVISION NO

F120L(JB)_UG_V1.0_ indd

untitled

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

Microsoft Word - Armjtag_문서1.doc

희망브리지

슬라이드 1


사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

Storage_for_Megapixel_Video01

Visual Studio online Limited preview 간략하게살펴보기

Using AWS for Disaster Recovery Contents 개요 1 소개 2 복구 목표 시간 및 복구 목표 수준 / 전통적인 DR 투자 사례 3 AWS 장애 복구 시나리오 예제 백업과 복구 4 AWS로 빠르게 복구하기 위한 파일럿 라이트 AWS에서의 웜

이동전화요금체계개선방안(인쇄본).hwp

DBMS & SQL Server Installation Database Laboratory

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

PowerPoint Presentation

2016, Amazon Web Services, Inc. 또는계열사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품

목차 책임공유환경... 6 AWS 인프라보안... 6 AWS 규정준수프로그램... 6 물리적및환경적보안... 7 화재감지및진압... 7 전력... 7 기후및온도... 7 관리... 7 스토리지디바이스폐기... 8 비즈니스연속성관리... 8 가용성... 8 인시던트대응.

Introduction to DevOps on AWS David Chapman 2014 년 12 월

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

Install stm32cubemx and st-link utility

ThinkVantage Fingerprint Software

Transcription:

AWS Well-Architected 프레임워크

2015, Amazon Web Services, Inc. 또는자회사. All rights reserved. 고지사항 이문서는정보제공목적으로만제공됩니다. 본문서의발행일당시 AWS 의현재제품및실행방법을설명하며, 예고없이변경될수있습니다. 고객은본문서에포함된정보나 AWS 제품또는서비스의사용을독립적으로평가할책임이있으며, 각정보및제품은명시적이든묵시적이든어떠한종류의보증없이 " 있는그대로 " 제공됩니다. 본문서는 AWS, 그계열사, 공급업체또는라이선스제공자로부터어떠한보증, 표현, 계약약속, 조건또는보증을구성하지않습니다. 고객에대한 AWS 의책임및채무는 AWS 계약에준거합니다. 본문서는 AWS 와고객간의어떠한계약도구성하지않으며이를변경하지도않습니다. 페이지 2/55

목차 요약 3 서론 4 AWS Well-Architected 프레임워크의정의 4 일반설계원칙 6 Well-Architected 프레임워크의네가지기반 7 보안기반 7 안정성기반 14 성능효율성기반 18 비용최적화기반 25 결론 31 기고자 31 문서이력 31 부록 : Well-Architected 질문, 답변및모범사례 32 요약 이문서에서는고객이스스로클라우드기반아키텍처를평가및개선하고설계에대한의사결정이사업에미치는영향을더확실히파악할수있도록 AWS Well- Architected 프레임워크에대해설명합니다. Well-Architected 프레임워크의기반으로통하는네가지개념분야에걸쳐일반적인설계원칙은물론구체적인모범사례와지침을살펴보겠습니다. 페이지 3/55

서론 AWS(Amazon Web Services) 는고객이클라우드에서안정적이고안전하면서도효율적이고경제적인시스템을설계할수있도록하려면아키텍처모범사례를고객과공유해야한다는점을잘알고있습니다. 이러한노력의일환으로개발된 AWS Well-Architected 프레임워크를이용하면 AWS 에서시스템을구축하면서내리게되는결정의장점과단점을이해할수있습니다. Well-Architected 시스템을마련하면사업의성공가능성이대폭높아질것입니다. AWS 솔루션스아키텍트들은광범위한업종및사용사례에걸쳐오랫동안솔루션을설계한경험이있으며, 고객들의 AWS 아키텍처를설계하고평가해왔습니다. 그리고이를바탕으로클라우드시스템설계의모범사례와핵심전략을밝혀냈습니다. AWS Well-Architected 프레임워크설명서에는특정아키텍처가클라우드모범사례와잘맞는지여부를파악하기위한근본적인질문여러가지가수록되어있습니다. 이프레임워크를이용하면클라우드기반의현대적시스템에대해고객이기대하는품질기준에따라일정한방식으로시스템을평가하고그러한품질을달성하기위해필요한수정조치를확인할수있습니다. AWS 플랫폼이진화를거듭하고 Amazon 이고객과협력하면서점점더많은지식을얻게됨에따라앞으로도 Well-Architected 개념을더욱정교하게가다듬고자합니다. 이문서는 CTO( 최고기술책임자 ), 아키텍트, 개발자, 운영팀팀원등기술업무담당자를위해작성되었습니다. 이문서를읽으면클라우드아키텍처를설계할때따라야할 AWS 모범사례및전략을이해하게됩니다. 구현에대한세부정보또는아키텍처패턴은이문서에서다루지않지만, 그러한정보를얻을수있는리소스참조정보는수록되어있습니다. AWS Well-Architected 프레임워크의정의 AWS 의전문가들은매일고객과함께클라우드의모범사례를활용하여시스템을설계합니다. 설계의진화에발맞춰고객의아키텍처에더할것과뺄것을결정할수있도록도와드립니다. 그리고고객이이러한시스템을실제환경에배포하는과정에서해당시스템의성능수준과그러한결정의결과를배우게됩니다. AWS 는이렇게얻은교훈을토대로아키텍처가 AWS 모범사례에얼마나잘맞는지평가할수있는여러가지질문을모은 AWS Well-Architected 프레임워크를만들어냈습니다. 페이지 4/55

AWS Well-Architected 프레임워크는보안, 안정성, 성능효율성및비용최적화라는네가지기반위에서있으며각각의정의는다음과같습니다. 기반이름보안안정성성능효율성비용최적화 설명 위험평가및완화전략을통해정보, 시스템및자산을보호하는동시에비즈니스가치를제공하는능력입니다. 인프라또는서비스장애를복구하고, 수요에따라컴퓨팅리소스를탄력적으로확보하고, 구성오류나일시적네트워크문제같은중단사태를완화할수있는시스템의능력입니다. 컴퓨팅리소스를시스템요구사항에맞게효율적으로사용하고, 수요변화및기술진화에발맞춰그러한효율성을유지하는능력입니다. 불필요한비용또는최선이아닌리소스사용을피하거나제거하는능력입니다. 페이지 5/55

일반설계원칙 Well-Architected 프레임워크는다음과같은여러가지일반설계원칙을확립하여우수한클라우드설계를촉진합니다. 필요용량에대한추측중단 : 필요한인프라용량을추측할필요가없습니다. 시스템을배포하기전에용량을결정했다가는결국고가의유휴리소스를방치하게되거나제한된용량으로인한성능문제를처리해야합니다. 하지만클라우드컴퓨팅에서는이러한문제가사라집니다. 필요한만큼용량을많이또는적게사용하다가자동으로확장하거나축소할수있기때문입니다. 운영환경규모의테스트시스템 : 클라우드가아닌기존환경에서는비용문제로인해테스트전용의시스템을중복해서만들지못하는경우가흔히발생합니다. 그러므로대부분의테스트환경은실제운영환경수준에맞춰테스트되지못하고있습니다. 그러나클라우드에서는온디맨드방식으로중복환경을만들고, 테스트를완료한다음해당리소스를폐기할수있습니다. 테스트환경을실행하는동안에만비용을지불하면되기때문에온프레미스테스트비용의몇분의일에불과한가격으로실제환경을시뮬레이션할수있습니다. 아키텍처변경에따르는위험감소 : 운영환경의구성과유사한테스트환경을자동으로생성하면서테스트를쉽게수행할수있습니다. 또한여러팀에서테스트리소스를사용하기위해줄지어기다려야하는온프레미스환경에서벌어지는것같은테스트직렬화의문제도해소할수있습니다. 아키텍처실험을간편하게할수있는자동화 : 자동화를통해수작업없이저렴한비용으로시스템을만들고복제할수있습니다. 자동화과정의변경사항을추적하고, 그효과를감사하고, 필요하면이전의파라미터로되돌릴수있습니다. 아키텍처의지속적인혁신 : 기존환경에서는정해진방식의일회성이벤트로아키텍처를결정하는경우가많고시스템의수명주기중메이저버전업그레이드는몇차례이루어지지않습니다. 기업과경영상황은계속달라지는데, 이러한초기의결정때문에변경된비즈니스요구사항을시스템이만족시키지못할수도있습니다. 그러나클라우드에는온디맨드방식의자동화및테스트기능이있어설계변경에따르는결과적위험이줄어듭니다. 따라서시간이지날수록시스템은진화하고, 기업은새로운혁신을표준사례로활용할수있게됩니다. 페이지 6/55

Well-Architected 프레임워크의네가지기반 소프트웨어시스템을제작하는것은건물을짓는것과매우비슷합니다. 토대가단단하지않으면구조적문제가발생하여건물의기능이약해지는것은물론건물자체가무너질수있습니다. 기술솔루션을설계할때보안, 안정성, 성능효율성및비용최적화라는네가지토대를간과하면기대및요구에충실한시스템을제작하기가어려울수있습니다. 이러한기반을아키텍처에녹여내면안정적이고효율적인시스템을구축하는데도움이되며, 또한이를바탕으로기능적요구사항등설계의다른측면에집중할수있게됩니다. 이단원에서는네가지기반에대해설명하고각각의정의, 모범사례, 질문, 고려사항및관련된주요 AWS 서비스를소개합니다. 보안기반 보안기반에는위험평가및완화전략을통해정보, 시스템및자산을보호하는동시에비즈니스가치를제공하는능력이포함됩니다. 설계원칙 클라우드에는시스템보안을강화하는데도움이되는여러가지원칙이있습니다. 모든계층에보안적용 : 그저인프라의엣지부분에서만보안어플라이언스 ( 예 : 방화벽 ) 를운영하는대신, 모든리소스 ( 예 : 모든가상서버, 로드밸런서, 네트워크서브넷 ) 에서방화벽을비롯한각종보안제어를사용하십시오. 추적가능성활성화 : 사용환경에대한모든변경사항및작업을기록하고감사합니다. 보안이벤트에대한응답자동화 : 이벤트또는조건에따른알림이발생하는지모니터링하고, 그에대한응답을자동으로트리거합니다. 시스템보안에집중 : AWS 공동책임모델에따라사용자는애플리케이션, 데이터및운영체제보안에집중하고, 보안인프라및서비스는 AWS 에서제공합니다. 페이지 7/55

보안모범사례의자동적용 : 소프트웨어기반의보안메커니즘으로더욱더빠르고경제적인확장성이안전하게제공됩니다. 가상서버의사용자지정기준이미지를만들어저장한다음, 새서버를실행할때마다그이미지를자동으로사용하면됩니다. 템플릿에서정의하고관리하는방식으로인프라전체를만들수있습니다. 정의 클라우드의보안은다음네가지영역으로구성됩니다. 1. 데이터보호 2. 권한관리 3. 인프라보호 4. 탐지제어 AWS 공동책임모델에따라클라우드를도입하면보안및규정준수목표를달성할수있습니다. 클라우드서비스를뒷받침하는인프라를 AWS 가물리적으로보호해주기때문에 AWS 고객들은서비스를이용하여목표를달성하는데집중할수있습니다. 또한 AWS 클라우드에서는보안데이터에더폭넓게액세스할수있으며보안이벤트에대한응답도자동화되어있습니다. 모범사례데이터보호 시스템을설계하려면먼저보안과관련된기본적인관행부터마련해야합니다. 예를들어, 데이터분류는민감도에따라조직의데이터를구분하는한가지방법입니다. 최저권한은가장낮은수준의액세스만허용하되통상적인기능은제공하고, 암호화는무단액세스사용자가데이터를해석하지못하게만들어데이터를보호하는방법입니다. 이것은금전적손해방지또는규제의무준수등목표달성을뒷받침하는중요한도구와기법입니다. 데이터기밀성을유지하도록설계된패턴과제어기능을사용하는것은물론, 데이터의무결성을보존하고필요할때사용할수있도록하는것도데이터보호에포함됩니다. 페이지 8/55

AWS 에서는다음과같은관행으로데이터보호를가능하게합니다. AWS 고객들은데이터에대한완전한통제력을유지합니다. AWS는정기적인키교체등키관리및데이터암호화를더간편하게처리하도록만들어드립니다. AWS 기본서비스를이용하거나고객이직접관리하여손쉽게자동화할수있습니다. 파일액세스, 변경사항등중요한내용이수록된상세로그를확인할수있습니다. AWS는탁월한회복력을목표로스토리지시스템을설계했습니다. 예를들어, Amazon S3(Simple Storage Service) 는 99.999999999% 의내구성을제공하기위해설계되었습니다. 이는, Amazon S3에 10,000개의객체를저장할경우 1,000만년에한번씩객체한개가손실될수있다는의미입니다. 광범위한데이터수명주기관리프로세스에버전관리를포함시켜우발적인덮어쓰기나삭제및그와유사한손해를방지할수있습니다. AWS는절대로리전간데이터이동을하지않습니다. 특정리전에저장된콘텐츠는고객이명시적으로기능을활성화하거나그기능을제공하는서비스를이용하지않는한해당리전을벗어나지않습니다. 다음질문은데이터보안과관련된고려사항에대한것입니다. 보안에대한질문과답변및모범사례는부록을참조하십시오. 보안 1. 저장된데이터를어떤방식으로암호화하고보호합니까? 보안 2. 전송중인데이터를어떤방식으로암호화하고보호하고있습니까? AWS 는저장된데이터및전송중인데이터를암호화할수있는여러가지수단을제공합니다. 데이터를암호화하기쉽도록 AWS 제품및서비스에각종기능을내장했습니다. 예를들어, Amazon S3 에는 SSE( 서버측암호화 ) 를구현하여데이터를암호화된형태로저장하기쉽게만들었습니다. 또한흔히 SSL 종료 (termination) 라고부르는전체 HTTPS 암호화및복호화프로세스를 Elastic Load Balancing 을통해처리하도록설정할수도있습니다. 페이지 9/55

권한관리 권한관리는정보보안프로그램의핵심요소로, 허가받고인증된사용자에한해허용되는방식으로만리소스에액세스할수있도록하는것을말합니다. 예를들어, ACL( 액세스제어목록 ) 은객체에연결된액세스권한목록이고 RBAC( 역할기반액세스제어 ) 는최종사용자의역할또는기능에맞춰조정된권한모음이며, 암호관리에는복잡성요건과변경주기가포함됩니다. 이러한변경관리요소는사용자인증및권한부여의핵심개념으로서정보보안아키텍처에서매우중요한역할을합니다. AWS 에서는기본적으로 AWS 서비스및리소스에대한사용자액세스를고객이직접제어할수있도록하는 AWS IAM(Identity and Access Management) 서비스로권한관리를지원합니다. 사용자, 그룹, 역할또는리소스에대한권한을세부정책으로지정할수있습니다. 또한복잡성, 재사용, Multi-Factor Authentication(MFA) 등강력한암호를요구하거나기존의디렉터리서비스와연동되도록할수도있습니다. 다음질문은보안과관련된권한관리고려사항에초점을맞추고있습니다. 보안 3. AWS 루트계정자격증명에대한액세스및사용을어떻게보호하고있습니까? 보안 4. AWS Management Console 및 API 에대한액세스를제어하기위해시스템사용자의역할및책임을어떻게정의하고있습니까? 보안 5. 애플리케이션, 스크립트또는타사의도구나서비스를이용하는등 AWS 리소스에대한자동액세스를어떤식으로제한하고있습니까? 보안 6. 키와자격증명을어떻게관리하고있습니까? 루트계정의자격증명은항상보호해야하며, 이를위해서는루트계정에 MFA 를연결하고물리적보안장치가있는장소에 MFA 와자격증명을안전하게보관하는것이좋습니다. IAM 서비스를이용하여그밖의 ( 루트외 ) 사용자권한을만들고관리하는것은물론리소스에대한액세스수준을설정할수있습니다. 페이지 10/55

인프라보호 모범사례와업계규정또는규제의무를준수하기위해서는인프라보호가필요하며, 여기에는심층방어및멀티팩터인증등의제어방법이포함됩니다. 클라우드또는온프레미스에서작업을계속성공적으로수행하려면반드시이러한방법을사용해야합니다. AWS 기본기술을사용하거나 AWS Marketplace 에서제공되는파트너제품및서비스를사용하여상태저장및상태비저장방식의패킷검사를구현할수있습니다. 이와함께 Amazon Virtual Private Cloud(VPC) 를통해안전하고확장가능한프라이빗환경을만들고, 여기에서게이트웨이, 라우팅테이블, 퍼블릭 / 프라이빗서브넷같은토폴로지를정의할수있습니다. 다음질문은보안과관련된인프라보호고려사항에초점을맞추고있습니다. 보안 7. 네트워크및호스트수준경계보호를어떻게적용하고있습니까? 보안 8. AWS 서비스수준보호를어떻게적용하고있습니까? 보안 9. Amazon EC2 인스턴스에서운영체제의무결성을어떻게보호하고있습니까? 어떤환경이든여러단계의방어계층을두는것이좋으며, 클라우드및온프레미스모델을망라하여효과를발휘하는다양한인프라보호개념과방법이있습니다. 경계보호를적용하고, 수신및송신지점을모니터링하고, 종합적인로깅과모니터링, 알림을이용하는것은모두효과적인정보보안계획의핵심요소입니다. 앞서설계원칙단원에서설명했듯이 AWS 고객들은 EC2 인스턴스의구성을맞춤조정하거나강화할수있고변경불가능한 Amazon 머신이미지 (AMI) 를통해이러한구성을유지할수있습니다. 이렇게하면 Auto Scaling 에의한트리거또는수동방식을통해이 AMI 로실행되는모든새가상서버 ( 인스턴스 ) 가이강화된구성을받게됩니다. 탐지제어 탐지제어를사용하여보안위반상황을탐지하거나확인할수있습니다. 탐지제어는일반적인거버넌스프레임워크의일부분으로, 품질프로세스, 법률준수의무및 / 또는위협식별및대응과정을지원하는데사용됩니다. 탐지제어의종류는여러가지입니다. 예를들어, 자산및자세한자산속성을만들어두면보다효과적인의사결정 ( 및수명주기전반의제어 ) 이이루어지고, 이것을운영의 페이지 11/55

기준으로삼을수있습니다. 또는내부감사를통해정보시스템과관련된제어기능을검사하여실제사례가정책및요건에맞는지, 정의된조건에따라올바른자동알림이설정되어있는지확인할수있습니다. 이러한제어기능은조직내에서변칙적활동범위를식별하고파악하는데도움이되는중요한대응요소입니다. AWS 에서탐지제어를지원하는서비스는다음과같습니다. AWS CloudTrail - API 호출 ID, 호출시간, 소스 IP 주소, 응답요소등 API 호출을기록하는웹서비스입니다. Amazon CloudWatch - Amazon Elastic Compute Cloud(EC2) CPU, 디스크및네트워크활동등의측면과 Amazon Relational Database Service(RDS) 데이터베이스인스턴스, Amazon Elastic Block Store(EBS) 볼륨등을로깅하는 AWS 리소스모니터링서비스입니다. CloudWatch 에는이를비롯한각종지표에대한경보기능이있습니다. AWS Config - 시간의흐름에따른인프라변화와구성에대한정보를제공하는목록및구성기록서비스입니다. Amazon Simple Storage Service(S3) - 고객은 Amazon S3 데이터액세스감사를이용하여액세스의유형, 리소스, 날짜및시간등액세스요청세부정보를기록하도록 Amazon S3 버킷을구성할수있습니다. Amazon Glacier - 고객은감사가능한장기보관을지원하기위해설계된준수제어기능과함께미션크리티컬데이터를보존하기위해볼트잠금기능을사용할수있습니다. 다음질문은보안과관련된탐지제어고려사항에초점을맞추고있습니다. 보안 10. AWS 로그를어떻게캡처하고분석하고있습니까? Well-Architected 설계에서로그관리가중요한이유는보안 / 과학수사에서규제또는법적요구사항에이르기까지다양합니다. AWS 는데이터보존기간또는데이터보존 / 아카이브 / 삭제위치를정의하는기능을고객에게부여함으로써로그관리를보다쉽게구현할수있도록합니다. 이렇게하면더단순하고경제적인방식으로, 예측가능하고안정적으로데이터를처리할수있습니다. 페이지 12/55

AWS 의핵심서비스 보안에꼭필요한 AWS 제품은 AWS 서비스및리소스에대한사용자액세스를고객이안전하게제어할수있도록하는 AWS IAM(Identity and Access Management) 서비스입니다. 이와함께다음서비스및기능으로네가지보안영역을뒷받침합니다. 데이터보호 : Elastic Load Balancing, Amazon Elastic Block Store(EBS), Amazon Simple Storage Service(S3) 및 Amazon Relational Database Service(RDS) 등의서비스에는암호화기능이포함되어있으므로전송및저장상태의데이터를보호해줍니다. AWS Key Management Service(KMS) 를이용하면암호화에사용되는키를더쉽게만들고제어할수있습니다. 권한관리 : IAM 은 AWS 서비스와리소스에대한액세스를안전하게제어할수있도록합니다. Multi-Factor Authentication(MFA) 은사용자이름과암호외에보호계층을한단계더추가해줍니다. 인프라보호 : Amazon Virtual Private Cloud(VPC) 를통해 AWS 클라우드의격리된프라이빗영역을프로비저닝하고, 가상네트워크에서 AWS 리소스를실행할수있습니다. 탐지제어 : AWS CloudTrail 은 AWS API 호출을기록하고, AWS Config 는 AWS 리소스및구성에대한자세한재고정보를제공하며, Amazon CloudWatch 는 AWS 리소스에대한모니터링서비스입니다. 리소스 AWS 의보안모범사례에대해자세히알아보려면다음리소스를참조하십시오. 설명서및블로그 백서 AWS 보안센터 AWS 규정준수 AWS 보안블로그 AWS 보안개요 AWS 보안모범사례 AWS 위험및규정준수 페이지 13/55

비디오 AWS 클라우드의보안 공동책임개요 안정성기반 안정성기반에는인프라또는서비스장애를복구하고, 수요에따라컴퓨팅리소스를탄력적으로확보하고, 구성오류나일시적네트워크문제같은중단사태를완화할수있는능력이포함됩니다. 설계원칙 클라우드에는안정성을강화하는데도움이되는여러가지원칙이있습니다. 복구절차테스트 : 온프레미스환경에서는특정한시나리오에서시스템이작동한다는것을입증하기위해테스트를수행하는경우가많고, 일반적으로복구전략을검증하기위해테스트하지는않습니다. 그러나클라우드에서는시스템의장애과정을테스트하고복구절차를검증할수있습니다. 자동화를이용하여다양한오류를시뮬레이션하거나예전에장애로이어졌던시나리오를재현해보십시오. 이렇게해서드러난장애경로를테스트하고실제장애시나리오로이어지기전에문제를해결함으로써테스트를거치지않은구성요소의장애위험을줄일수있습니다. 장애자동복구 : 시스템의핵심성능지표 (KPI) 를모니터링하다가임계값을넘어서면자동화를트리거할수있습니다. 이를통해장애추적및자동알림을지원하고, 자동화된복구프로세스에따라장애지점을우회하거나회복할수있습니다. 보다정교한자동화를구현할경우장애가발생하기전에예측하여해결하는것도가능합니다. 수평적확장으로시스템전체가용성증대 : 큰리소스하나를작은리소스여러개로대체하여한가지장애가전체시스템에미치는영향을줄일수있습니다. 요청을더작은리소스여러개로분산시키면공통의장애지점을공유하지않게됩니다. 용량추측중단 : 시스템에대한수요가해당시스템의용량을넘어서는리소스포화상태는온프레미스시스템에서흔히발생하는장애의원인입니다 ( 서비스거부공격의대상 ). 클라우드에서는수요및시스템사용량을모니터링하고리소스추가또는제거를자동화함으로써프로비저닝과다또는부족현상없이최적의수준으로수요를충족할수있습니다. 페이지 14/55

정의 클라우드의안정성은다음세가지영역으로구성됩니다. 1. 기반 2. 변경관리 3. 장애관리 시스템안정성을얻기위해서는잘계획된기반위에모니터링을실시하고, 수요또는요구변화를처리하기위한메커니즘을갖춰야합니다. 또한장애를탐지하고스스로해결할수있도록시스템을설계해야합니다. 모범사례기반 시스템을설계할때는먼저안정성을좌우하는기반요구사항부터갖춰야합니다. 예를들어, 데이터센터의네트워크대역폭을충분히확보해야합니다. 특정프로젝트의범위를넘어선다는이유로이러한요구사항을간과하는경우도있습니다. 이렇게되면안정적인시스템을제공하는능력이상당히저하될수있습니다. 온프레미스환경의경우, 이러한요구사항에따른종속성으로인해리드시간이길어질수있으므로결국초기계획에이를반영해야합니다. 그러나 AWS 에는이러한기반요구사항이대부분이미통합되어있거나필요에따라적용할수있습니다. 클라우드는기본적으로한계가없도록설계되어있으므로충분한네트워킹및컴퓨팅파워에대한요구는 AWS 가책임지고완수하겠습니다. 고객여러분은스토리지디바이스의크기등리소스크기와할당비율을필요에따라자유롭게변경하실수있습니다. 다음예제질문은안정성과관련된기반고려사항에초점을맞추고있습니다. 안정성에대한전체질문과답변및모범사례는부록을참조하십시오. 안정성 1. 계정에대한 AWS 서비스제한을어떻게관리하고있습니까? 안정성 2. AWS 에서네트워크토폴로지를어떻게계획하고있습니까? 안정성 3. 기술적문제를해결하기위한에스컬레이션경로가있습니까? AWS 는실수로인한리소스과다프로비저닝을방지하기위해서비스한도 ( 팀에서요청할수있는각각의리소스수상한선 ) 를설정하고있습니다. 이러한한도를모니터링하다가업무상필요에따라변경하기위한거버넌스및프로세스를마련해두어야합니다. 클라우드도입과정에서기존온프레미스리소스와의 페이지 15/55

통합을계획해야할수있습니다 ( 하이브리드접근방식 ). 하이브리드모델에서는시간을두고완벽한클라우드방식으로점진적으로이전하게되므로 AWS 리소스와온프레미스리소스가네트워크토폴로지에따라상호작용하는방식을반드시설계해두어야합니다. 마지막으로퍼블릭클라우드사용을지원하기위한 IT 팀교육을실시하고업데이트된프로세스를제공해야하며, 필요한경우파트너계약또는지원계약을체결해야합니다. 변경관리 변경사항이시스템에미치는영향을알고있으면적극적인계획수립이가능하며, 모니터링을통해용량문제또는 SLA 위반으로이어질수있는동향을신속하게파악할수있습니다. 기존환경에서는변경제어프로세스를수작업으로처리하는경우가많았고, 변경담당자와변경시기를효과적으로관리하기위해서는반드시감사부서와철저히공조해야했습니다. AWS 를이용하면시스템동작을모니터링하고 KPI 대응을자동화할수있습니다. 예를들어, 서버시스템을추가하면사용자수가늘어납니다. 시스템변경권한을가진사용자를관리하고이러한변경기록을감사할수있습니다. 다음질문은안정성과관련된변경관련고려사항에초점을맞추고있습니다. 안정성 4. 시스템이수요변화에어떻게대처하고있습니까? 안정성 5. AWS 리소스를어떻게모니터링하고있습니까? 안정성 6. 변경관리를어떻게수행하고있습니까? 수요변화에따라리소스를자동으로추가하거나제거하도록시스템을설계하면안정성이향상될뿐아니라사업성공의가능성도높아집니다. 모니터링을통해 KPI 가통상적인수준을벗어나면담당팀에자동으로알려줍니다. 환경에대한변경사항이자동으로로깅되므로안정성에영향을미칠가능성이있는작업을감사하여신속하게파악할수있습니다. 변경관리제어를통해규칙을적용함으로써필요한수준의안정성을확보할수있습니다. 장애관리 통상적인수준의복잡한시스템에는장애가발생하기마련이며, 이러한장애를파악하는방법과대응방법, 재발방지방법등을알아둘필요가있습니다. 페이지 16/55

AWS 에서는자동화를이용하여모니터링데이터에대응합니다. 예를들어, 특정지표가임계값을넘어서면자동화된작업을트리거하여문제를해결할수있습니다. 또한운영환경에서장애가발생한리소스를진단하여수정하는대신, 일단새리소스로대체한다음운영환경이아닌외부에서장애리소스를분석해볼수도있습니다. 클라우드에서는저렴한비용으로전체시스템의임시버전을설정할수있기때문에전체복구프로세스를자동으로테스트하는것이가능합니다. 다음질문은안정성과관련된장애관리고려사항에초점을맞추고있습니다. 안정성 7. 데이터를어떻게백업하고있습니까? 안정성 8. 구성요소장애시시스템에서어떻게대처합니까? 안정성 9. 복구를어떻게계획하고있습니까? 정기적으로데이터를백업하고백업파일을테스트하여논리적오류와물리적오류를모두복구할수있는지확인하십시오. 빈번한시스템자동테스트를통해장애를파악하고복구하는것이장애관리의열쇠입니다 ( 정기적으로실시하는것이바람직하며중요한시스템변경후에도테스트실시 ). 목표복구시간 (Recovery Time Objective, RTO), 목표복구시점 (Recovery Point Objective, RPO) 같은 KPI 를적극적으로추적하여특히장애테스트시나리오에서시스템의적합성을평가하고, 단일장애지점의파악및완화에활용하십시오. 목표는시스템복구프로세스를철저히테스트함으로써모든데이터를복구할수있으며문제가지속되더라도고객에게계속서비스를제공할수있다는확신을얻는것입니다. 통상적인프로덕션프로세스와마찬가지로복구프로세스도제대로실행해야합니다. AWS 의핵심서비스 런타임지표를모니터링하는 Amazon CloudWatch 는안정성보장을위한 AWS 의핵심서비스입니다. 세가지안정성영역을뒷받침하는그밖의서비스와기능은다음과같습니다. 기반 : AWS Identity and Access Management(IAM) 를통해 AWS 서비스와리소스에대한액세스를안전하게제어할수있습니다. Amazon VPC 를통해 AWS 클라우드의격리된프라이빗영역을프로비저닝하고, 가상네트워크에서 AWS 리소스를실행할수있습니다. 페이지 17/55

변경관리 : AWS CloudTrail 은계정에대한 AWS API 호출을기록하고로그파일을감사할수있도록사용자에게전달합니다. AWS Config 는 AWS 리소스및구성에대한자세한목록정보를제공하고, 구성변경사항을지속적으로기록합니다. 장애관리 : AWS CloudFormation 으로 AWS 리소스의템플릿을만든다음, 예측가능한방식으로순서에따라이를프로비저닝할수있습니다. 리소스 안정성과관련된모범사례에대해자세히알아보려면다음리소스를참조하십시오. 비디오및분석보고서 장애극복 : 오류삽입및서비스안정성 클라우드의가용성및안정성벤치마크 설명서및블로그 서비스한도설명서 서비스한도보고서블로그게시물 백서 AWS를이용한백업아카이브및복원방식백서 AWS 대규모인프라관리백서 AWS 재해복구백서 AWS Amazon VPC 연결옵션백서 AWS Support AWS Premium Support Trusted Advisor 성능효율성기반 성능효율성기반에서는요구사항에따라컴퓨팅리소스를효율적으로사용하고, 수요변화및기술진화에발맞춰그러한효율성을유지하는데초점을맞춥니다. 설계원칙 클라우드에는성능효율성을확보하는데도움이되는여러가지원칙이있습니다. 페이지 18/55

고급기술의대중화 : 기술에대한지식과복잡성을클라우드업체가제공하는서비스로해결하면서, 구현하기어려운기술도쉽게사용할수있습니다. 새로운기술을호스팅하고실행하는방법을 IT 팀에서직접배우는대신서비스방식으로간편하게이용하면됩니다. 예를들어 NoSQL 데이터베이스, 미디어트랜스코딩, 기계학습등은모두기술커뮤니티전반에고르게확산되지않은전문지식이요구되는기술입니다. 클라우드에서는이러한기술을서비스방식으로제공하기때문에그대로사용하면됩니다. 리소스프로비저닝및관리에신경쓰지말고제품개발에집중하십시오. 즉각적인세계화 : 클릭몇번이면전세계여러리전에손쉽게시스템을배포할수있습니다. 이를통해최소비용으로지연시간을줄이면서고객에게더나은사용환경을간편하게제공할수있습니다. 서버없는아키텍처사용 : 클라우드에서서버없는아키텍처를이용하면서버를실행하고유지하는등의전통적인컴퓨팅관리업무를할필요가없습니다. 예를들면스토리지서비스에정적웹사이트역할을맡기면웹서버가필요없고, 이벤트서비스를통해코드를호스팅할수있습니다. 이렇게하면서버관리에따르는운영부담이줄어들뿐아니라, 이러한관리서비스는클라우드단위에서작동하므로트랜잭션비용을낮출수있습니다. 실험횟수증가 : 자동화할수있는가상리소스를활용하며여러가지인스턴스, 스토리지또는구성에대한비교테스트를신속하게수행할수있습니다. 정의 클라우드의성능효율성은다음네가지영역으로구성됩니다. 1. 컴퓨팅 2. 스토리지 3. 데이터베이스 4. 시공간균형 이러한각영역에서고려해야할사항은 a) 최적의접근방식과리소스를선택하는방법, b) 클라우드기능의진화에발맞춰최신방식을유지하는방법, c) 기대수준에따라런타임성능을모니터링하는방법, d) 수요에따른리소스확장방법등입니다. 페이지 19/55

모범사례컴퓨팅 특정아키텍처에가장잘맞는서버구성은애플리케이션의설계, 사용패턴및구성설정에따라달라질수있습니다. 많은시스템들이여러가지구성요소에대해서로다른서버구성을사용하고성능을개선하기위해다양한기능을이용하고있습니다. 사용사례에맞지않는서버구성을선택하면성능효율성이낮아질수있습니다. AWS 에서는가상화된서버를이용하므로버튼을클릭하거나 API 호출을통해기능을변경할수있습니다. 리소스를한번결정하면그대로고정되는것이아니므로다양한서버유형을시험해볼수있습니다. AWS 에서는이러한가상서버인스턴스를다양한제품군과크기로제공하기때문에 SSD 및 GPU 등광범위한기능을사용할수있습니다. 또한 AWS 에서는서버없는컴퓨팅도가능합니다. 예를들어, AWS Lambda 를이용하면인스턴스를실행하지않고도코드를실행할수있습니다. 다음예제질문은컴퓨팅고려사항에관한것입니다. 성능효율에대한질문과답변및모범사례는부록을참조하십시오. 성능 1. 시스템에적합한인스턴스유형을어떻게선택합니까? 성능 2. 성능 3. 성능 4. 새로운인스턴스유형및기능을도입할때가장적절한인스턴스유형을선택하기위해어떻게합니까? 인스턴스를시작한후정상적으로수행되고있는지확인하기위해인스턴스를어떻게모니터링합니까? 인스턴스수량이요구에부합하도록하기위해어떻게하고있습니까? 사용할인스턴스유형을선택할때는어떤인스턴스유형 ( 또는서버없는접근방식 ) 이해당워크로드에가장적합한지를보여주는테스트데이터가있어야합니다. 이러한테스트는새로운인스턴스유형이나기능이출시되었을때이를손쉽게테스트할수있도록반복할수있어야합니다. 즉, CD(Continuous Delivery) 파이프라인의일부인것이가장좋습니다. 운영상의관점에서성능저하를확인할수있도록모니터링체계를갖춰야합니다. 페이지 20/55

스토리지 특정시스템에대한최적의스토리지솔루션은액세스방식 ( 블록, 파일또는객체 ), 액세스패턴 ( 무작위또는순차적 ), 필요한처리량, 액세스빈도 ( 온라인, 오프라인, 보관 ), 업데이트빈도 ( 웜 - 변경빈도가낮은, 동적 ), 가용성및내구성제약에따라다릅니다. 제대로구축된시스템은여러스토리지솔루션을사용하며성능을향상하기위해다양한기능을활용합니다. AWS 에서스토리지는가상화되며다양한유형으로제공됩니다. 따라서보다손쉽게스토리지방식을요구에보다밀접하게맞출수있을뿐만아니라, 온프레미스인프라에서와달리다양한스토리지옵션을손쉽게선택할수있습니다. 예를들어, Amazon S3 는 99.999999999% 의내구성을제공하도록설계되었습니다. 또한 HDD( 마그네틱하드드라이브 ) 에서 SSD(Solid State Drive) 로변경할수있으며, 몇초안에한인스턴스에서다른인스턴스로가상드라이브를손쉽게이동할수있습니다. 다음예제질문은스토리지의성능효율에관한것입니다. 성능 5. 시스템에적합한스토리지솔루션을어떻게선택합니까? 성능 6. 성능 7. 성능 8. 새로운스토리지솔루션및기능이출시되었을때가장적합한스토리지솔루션을선택하기위해어떻게합니까? 스토리지솔루션이예상대로작동하는지확인하기위해어떻게모니터링합니까? 스토리지솔루션의용량및처리량이요구에부합하도록하기위해어떻게합니까? 스토리지솔루션을선택할때는어떤스토리지솔루션이해당워크로드에필요한가성비 ( 가격대비성능비 ) 를제공하는지보여주는테스트데이터가있어야합니다. 이러한테스트는새로운스토리지솔루션이나기능이출시되었을때이를손쉽게테스트할수있도록반복할수있어야합니다. 즉, CD(Continuous Delivery) 파이프라인의일부인것이가장좋습니다. 여러인스턴스에사용되는스토리지유형 (EBS 대인스턴스스토어또는 HDD 대 SSD) 은시스템의성능효율을대폭바꾸어놓을수있습니다. 운영상의관점에서성능저하를확인할수있도록모니터링체계를갖춰야합니다. 페이지 21/55

데이터베이스 특정시스템에대한최적의데이터베이스솔루션은일관성, 가용성, 파티션허용치및지연시간에대한요구사항에따라다릅니다. 많은시스템들은다양한하위시스템에대해서로다른데이터베이스솔루션을사용하며, 성능을향상시키기위해다양한기능을사용합니다. 시스템에적합하지않은데이터베이스솔루션및기능을선택하면성능효율이저하될수있습니다. AWS 의 Amazon Relational Database Service(RDS) 는완벽하게관리되는관계형데이터베이스를제공합니다. Amazon RDS 를이용하면거의다운타임없이데이터베이스의컴퓨팅과스토리지리소스를확장할수있습니다. 또한 AWS 에서는다양한데이터베이스및스토리지솔루션을제공합니다. Amazon DynamoDB 는완벽하게관리되는 NoSQL 데이터베이스로, 확장시지연시간이한자릿수밀리초단위로매우짧습니다. Amazon Redshift 는페타바이트규모의관리형데이터웨어하우스로, 성능또는용량을변경해야할경우노드수또는유형을변경할수있습니다. 다음예제질문은데이터베이스의성능효율을위한고려사항에관한것입니다. 성능 9. 시스템에적합한데이터베이스솔루션을어떻게선택합니까? 성능 10. 새로운데이터베이스솔루션및기능이출시되었을때가장적합한데이터베이스솔루션및기능을선택하기위해어떻게합니까? 성능 11. 데이터베이스가예상대로의성능을내는지확인하기위해어떻게모니터링합니까? 성능 12. 데이터베이스의용량및처리량이수요를충족하도록하기위해어떻게합니까? 한조직의데이터베이스 (RDBMS, NoSQL 등 ) 는시스템의성능효율에큰영향을미치지만, 이는보통평가보다는조직적기본사항에따라선택됩니다. 데이터베이스솔루션을구축하고배포할때에는데이터베이스를한번정하고마는결정이아니라시간이흐르면서변화할수있는코드로취급해야합니다. 테스트데이터를사용하면각워크로드에가장적합한데이터베이스솔루션이무엇인지알수있습니다. 이러한테스트는새로운데이터베이스솔루션이나기능이출시되었을때이를손쉽게테스트할수있도록반복할수있어야합니다. 즉, CD(Continuous Delivery) 파이프라인의일부인것이가장좋습니다. 예를들어, 읽기전용복제본이다른비기능적요구사항을침해하지않고도성능효율을 페이지 22/55

향상시키는지여부를평가합니다. 운영상의관점에서성능저하를확인할수있도록모니터링체계를갖춰야합니다. 시공간균형 솔루션을구축할때에는공간 ( 메모리또는스토리지 ) 을사용하여처리시간 ( 컴퓨팅 ) 을단축하거나시간을사용하여공간을축소하는등의균형이필요합니다. 리소스또는캐시된데이터를최종사용자에게가까이배치하여시간을단축할수도있습니다. AWS 를사용하면몇분내에전세계의여러곳에리소스를배포하여최종사용자에게더욱가깝게다가갈수있습니다. 또한데이터베이스시스템과같은정보저장소에읽기전용복제본을동적으로추가하여기본데이터베이스의부하를줄일수있습니다. AWS 의글로벌인프라를사용하면처리량을높이는동시에지연시간은낮추고, 데이터가지정한리전에 z 만있도록할수있습니다. AWS Direct Connect 와같은네트워킹솔루션은온프레미스네트워크와 AWS 인프라간지연시간을예측할수있게합니다. 또한 AWS 는효율성을높여주는 Amazon ElastiCache 와같은캐싱솔루션과정적콘텐츠의사본을최종사용자에게더가깝게캐시하는 Amazon CloudFront 를제공합니다. 다음예제질문은성능효율을위한시공간균형에관한것입니다. 성능 13. 시스템에적합한근접연결및캐싱솔루션을어떻게선택합니까? 성능 14. 새로운솔루션이출시되었을때가장적합한근접연결및캐싱솔루션을선택하기위해어떻게합니까? 성능 15. 근접연결및캐싱솔루션이예상한성능을내는지확인하기위해어떻게모니터링합니까? 성능 16. 근접연결및캐싱솔루션이요구에부합하도록하기위해어떻게합니까? 성능효율을달성하려면시공간균형이필요합니다. 이를위해서는해당워크로드에가장적합한균형을보여주는테스트데이터가있어야합니다. 이러한테스트는새로운접근방식이나기능이출시되었을때이를손쉽게테스트할수있도록반복할수있어야합니다. 즉, CD(Continuous Delivery) 파이프라인의 페이지 23/55

일부인것이가장좋습니다. 예를들어, Amazon ElastiCache 를쓰기배제캐시 ( 읽기전용캐시 ) 로사용했을때다른비기능적요구사항을침해하지않고성능효율을높이는지여부를테스트합니다. 운영상의관점에서성능저하를확인할수있도록모니터링체계를갖춰야합니다. 아키텍처는수요에따라확장할수있는동시에수익을유지해야합니다. AWS 의핵심서비스 성능효율을달성하기위한 AWS 의핵심서비스는 Amazon CloudWatch 입니다. 이서비스는리소스와시스템을모니터링하여전반적인성능및운영상태를확인할수있도록합니다. 다음서비스는네가지성능효율을달성하기위해중요합니다. 컴퓨팅 : Auto Scaling 은수요를충족하고응답속도를유지할수있는충분한인스턴스를보장해줍니다. 스토리지 : Amazon EBS 는용도에맞게최적화할수있게해주는다양한스토리지옵션 (SSD, PIOPS 등 ) 을제공합니다. Amazon S3 는 Reduced-Redundancy Storage(RRS), Amazon Glacier 에대한수명주기정책 ( 보관스토리지 ) 및서버리스 (server-less) 콘텐츠전송을제공합니다. 데이터베이스 : Amazon RDS 는사용환경에맞춰최적화할수있게해주는다양한데이터베이스기능 ( 프로비저닝된 IOPS, 읽기전용복제본등 ) 을제공합니다. Amazon DynamoDB 는확장시지연시간이한자릿수밀리초단위로매우짧습니다. 시공간균형 : AWS 는전세계에여러리전을보유하고있어리소스, 데이터및처리를위한최적의위치를선택할수있습니다. Amazon CloudFront 를사용하면사용자에게훨씬더가깝게콘텐츠를캐시할수있습니다. 리소스 성능효율과관련된모범사례에대해자세히알아보려면다음리소스를참조하십시오. 비디오 성능채널 AWS의성능벤치마킹 페이지 24/55

설명서 Amazon S3 성능최적화설명서 Amazon EBS 볼륨성능설명서 비용최적화기반 비용최적화기반을사용하여불필요한비용또는최선이아닌리소스사용을피하거나제거하는능력을평가하고, 이러한절감을통해비즈니스를차별화할수있습니다. 비용최적화시스템을사용하면비용을최대로절감할수있는동시에비즈니스목표를달성하고, Well-Architected 의주요기반을위한핵심요구사항을충족할수있습니다. 적절한아키텍처를선택하는기법을통해비용을최적화하고, 미사용리소스를줄이며, 가장경제적인접근방식을채택할수있습니다. 설계원칙 클라우드에서는다음과같은다양한원칙에따라비용을최적화할수있습니다. 비용을투명하게부과 : 클라우드를사용하면시스템의비용을손쉽게확인하고, 비즈니스사용자별로 IT 비용을부과할수있습니다. 이를통해투자수익률을확인할수있으며, 결과적으로개별비즈니스사용자들이리소스를최적화하고비용을절감하도록장려할수있습니다. 관리형서비스를사용하여소유비용절감 : 클라우드에서관리형서비스는이메일전송이나데이터베이스관리와같은작업을위해서버를유지관리하는운영상의부담을없애줍니다. 또한관리형서비스는클라우드규모에서운영되기때문에트랜잭션또는서비스당비용이저렴합니다. 필요한만큼만운영비용지출 : 데이터센터및서버를어떻게사용할지계획을세우기도전에과도하게투자하는대신에, 사용한컴퓨팅리소스에대해서만비용을지불할수있습니다. 예를들어, 개발및테스트환경은일반적으로근무일중하루 8 시간동안만사용되므로, 이러한리소스를사용하지않을때중지하면주당 168 시간에서 40 시간, 즉비용을 75% 까지절감할수있습니다. 규모의경제에따른이점 : AWS 는규모의경제를실현하기때문에클라우드컴퓨팅을사용하면직접소유하고관리할때보다가변비용을낮출수있습니다. AWS 클라우드를사용하는고객이수십만명에달하므로보다저렴한종량요금제를이용할수있습니다. 데이터센터운영에필요한비용제거 : 서버를랙에설치하고, 쌓아올리고, 서버에전원을공급하는등의과중한업무를 AWS 에서처리하므로 IT 인프라에신경쓸필요없이고객과사업프로젝트에만집중할수있습니다. 페이지 25/55

정의 클라우드에서비용최적화는다음과같은네가지영역으로구성됩니다. 1. 공급과수요의균형 2. 비용효율적인리소스 3. 비용인지 4. 시간에따른최적화 다른기반과마찬가지로여기에도조율이필요합니다. 예를들어, 출시기간을단축할지아니면비용을최소화할지하는등의문제입니다. 경우에따라서는선불비용을최적화하는데투자하는것보다출시기간을단축하여시장에빨리내보내거나, 새로운기능을전송하거나, 마감일자에맞추는것이더중요할수있습니다. 경험적데이터와달리설계결정은때로급하게내려집니다. 가장비용효율적인배포를벤치마킹하는데시간을투자하기보다는 " 만약의사태 " 에과도하게대비하려는유혹이항상존재하기때문입니다. 이는종종지나친과다프로비저닝이나최적화되지않은배포로이어집니다. 다음단원에서는초기는물론지속적으로배포비용을최적화하기위한기법과전략적지침을제공합니다. 모범사례공급과수요의균형 공급과수요가최적의균형을이루면시스템비용을최대로절감할수있지만, 프로비저닝시간과개별리소스오류에대비해충분한공급이있어야합니다. 수요는고정적이거나가변적일수있으므로, 막대한관리비용을절감하려면측정치와자동화가필요합니다. AWS 에서는리소스를자동으로프로비저닝하여수요를충족할수있습니다. Auto Scaling 과시간기반접근방식, 이벤트중심접근방식, 대기열기반접근방식을사용하면필요에따라리소스를추가하고제거할수있습니다. 수요변화를예측할수있으면더많은비용을절감하고시스템요구에맞는리소스를제공할수있습니다. 다음예제질문은비용최적화를위한공급과수요의균형에관한것입니다. 비용최적화질문과답변및모범사례는부록을참조하십시오. 페이지 26/55

비용 1. 필요한용량에크게초과되지않도록용량을맞추기위해어떻게하고있습니까? 비용 2. AWS 서비스사용을어떻게최적화하고있습니까? 모니터링도구의사용과정기적인벤치마킹을통해리소스를훨씬더유용하게 사용할수있습니다. 온디맨드컴퓨팅, Auto Scaling 및자동화된여러배포 메커니즘의유연성을통해필요한리소스만프로비저닝하고수평으로확장하는등 보다높은수준의최적화를달성할수있습니다. 비용효율적인리소스 시스템에적합한인스턴스와리소스를사용하는것은비용을절감하기위한핵심요소입니다. 예를들어, 작은서버에서리포팅프로세스를실행하는데는 5 시간이걸릴수있으나비용이두배인큰서버에서는 1 시간만에실행할수있습니다. 두작업모두결과는동일하지만, 시간이흐름에따라작은서버가더많은비용을발생시킵니다. 제대로구축된시스템은가장비용효율적인리소스를사용하며, 이는상당히긍정적인경제적효과를가져올수있습니다. 관리형서비스를사용하여비용을절감할수도있습니다. 예를들어, 이메일전송서버를유지관리하는대신메시지당부과되는서비스를사용할수있습니다. AWS 는필요에가장적합한 Amazon EC2 인스턴스를구매할수있도록유연하고비용효율적인다양한요금옵션을제공합니다. 온디맨드인스턴스를사용하면최소약정을체결할필요없이시간단위로컴퓨팅파워를구입할수있습니다. 예약인스턴스 (RI) 를사용하면용량을예약하고온디맨드요금을최대 75% 까지절약할수있습니다. 스팟인스턴스를사용하면대폭할인된요금으로미사용 Amazon EC2 용량에입찰할수있습니다. 스팟인스턴스는 HPC 나빅데이터를사용하는경우와같이개별서버가동적으로이동할수있는서버집합을사용해도시스템에서이를허용할수있는경우에적합합니다. 다음예제질문은비용최적화를위해비용효율적인리소스를선택하는것에관한것입니다. 페이지 27/55

비용 3. 비용목표에부합하는적절한리소스유형을선택했습니까? 비용 4. 비용목표에부합하는적절한요금모델을선택했습니까? 비용 5. ROI 를높이는데사용할수있는관리형서비스 (Amazon EC2, Amazon EBS 및 Amazon S3 보다높은수준의서비스 ) 를사용하고있습니까? AWS Trusted Advisor 와같은도구를사용하여 AWS 사용량을정기적으로확인하면사용률을능동적으로모니터링하고그에따라배포를조정할수있습니다. 또한 Amazon RDS, Amazon Elastic MapReduce(EMR) 및 Amazon DynamoDB 와같은관리형 AWS 서비스를사용하여관리및항목당비용을절감할수있습니다. 네트워크트래픽과관련된비용을절감할수있는 Amazon CloudFront 와같은 CDN 솔루션을고려해보십시오. 비용인지 클라우드의유연성과민첩성이증가함에따라혁신과신속한개발및구축이가속화되고있습니다. 그덕분에하드웨어사양확인, 가격견적협상, 구매주문관리, 배송예약, 리소스배포등을비롯하여온프레미스인프라의프로비저닝과관련된수동프로세스가필요없어졌습니다. 하지만손쉽게사용할수있고거의무제한의온디맨드용량이제공됨에따라비용에대한새로운사고방식이필요할수있습니다. 대부분의비즈니스는다양한팀에서운영하는여러시스템으로구성되어있습니다. 개별비즈니스또는제품소유자별로리소스비용을부과하면효율적인사용습관이조성되고낭비를줄일수있습니다. 또한비용을사용자별로정확하게부과하면어떤제품이비용효율적인지파악할수있으므로예산을할당할때현명한의사결정을내릴수있습니다. 다음예제질문은비용최적화를위한비용인지에관한것입니다. 페이지 28/55

비용 6. AWS 비용을관리하기위한액세스제어및절차를마련해두었습니까? 비용 7. 사용량과지출을어떻게모니터링하고있습니까? 비용 8. 더이상필요하지않은리소스를어떤방식으로폐기합니까? 또한일시적으로필요하지않은리소스를어떻게중지합니까? 비용 9. 아키텍처를설계할때데이터전송요금을어떻게고려합니까? 비용할당태그를사용하면 AWS 비용을분류하고추적할수있습니다. AWS 리소스 ( 예 : Amazon EC2 인스턴스또는 Amazon S3 버킷 ) 에태그를적용하면 AWS 는사용내역및비용을태그별로집계한비용할당보고서를만듭니다. 비즈니스범주를나타내는태그 ( 예 : 비용센터, 시스템이름또는소유자 ) 를적용하여여러서비스에대한비용을정리할수있습니다. 이렇게태그가지정된리소스에대한비용을확인하면기업에더이상가치를창출하지않으므로폐기해야하는불필요한리소스나프로젝트를손쉽게확인할수있습니다. 과다지출을미리확인할수있도록결제알림을설정할수있으며, AWS 월사용량계산기를사용하여데이터전송비용을계산할수있습니다. 시간에따른최적화 AWS 에서여러새로운서비스와기능을출시함에따라기존설계를재평가하고그것이여전히비용효율적인지확인해봐야합니다. 또한요구사항의변화에따라더이상필요하지않은리소스및전체서비스또는시스템을폐기하는방안을적극적으로고려해야합니다. AWS 의관리형서비스는획기적으로솔루션을최적화할수있으므로, 새롭게출시되는관리형서비스를알아두어야합니다. 예를들어, Amazon RDS 데이터베이스를사용하는것이 Amazon EC2 에서데이터베이스를직접운영하는것보다경제적일수있습니다. 다음예제질문은비용최적화를위한비용재평가에관한것입니다. 비용 10. 새로운서비스의활용을어떻게관리하고고려합니까? 페이지 29/55

배포를정기적으로재평가하면새로운 AWS 서비스를활용하여비용을낮출수있습니다. 또한새로운서비스의적용가능성을평가하여비용을절약할수있습니다. 예를들어, Aurora 용 AWS RDS 를사용하여관계형데이터베이스의비용을절감할수있습니다. AWS 의핵심서비스 비용최적화를지원하는 AWS 의핵심기능은시스템비용을파악할수있게해주는비용할당태그입니다. 다음서비스및기능은네가지비용최적화영역에서중요합니다. 공급과수요의균형 : Auto Scaling 을사용하면과다지출없이수요에맞춰리소스를추가하거나제거할수있습니다. 비용효율적인리소스 : 예약인스턴스와선불용량을통하여비용을절감할수있습니다. AWS Trusted Advisor 를사용하면 AWS 환경을검사하고비용을절약할수있는가능성을모색할수있습니다. 비용인지 : Amazon CloudWatch 경보와 Amazon Simple Notification Service(SNS) 알림은예산금액을초과하거나초과할것으로예상될경우경고해줍니다. 시간에따른최적화 : AWS 블로그및 AWS 웹사이트의새소식섹션에는새로출시된기능과서비스에대한자세한정보가제공됩니다. AWS Trusted Advisor 는 AWS 환경을검사하고미사용또는유휴리소스를제거하거나예약인스턴스용량을사용함으로써비용을절감할수있는가능성을모색합니다. 리소스 AWS 의비용최적화모범사례에대해자세히알아보려면다음리소스를참조하십시오. 비디오 AWS를통한비용최적화 설명서 AWS 경제센터 페이지 30/55

도구 AWS 총소유비용 (TCO) 계산기 AWS 세부결제보고서 AWS 월사용량계산기 AWS 비용탐색기 결론 AWS 의 Well-Architected 프레임워크는클라우드에안정적이고안전하며효율적이고경제적인시스템을설계하기위한네가지주요기반의설계모범사례를제공합니다. 이프레임워크에서는기존아키텍처또는제안된아키텍처를평가할수있는몇가지질문과각각의주요기반에대한 AWS 모범사례를제시합니다. 아키텍처에이프레임워크를사용하면기능적요구사항에초점을둔안정적이고효율적인시스템을구축할수있습니다. 기고자 다음은이문서의작성에도움을준개인및조직입니다. Amazon Web Services의솔루션아키텍처매니저 Philip Fitzsimons Amazon Web Services의프로그램시니어매니저, Erin Rifkin Amazon Web Services의솔루션아키텍트 Callum Hughes Amazon Web Services의보안솔루션수석아키텍트 Max Ramsay Amazon Web Services의보안솔루션아키텍트 Scott Paddock 문서이력 2015 년 11 월 20 일. 최신 Amazon CloudWatch 로그정보로부록업데이트함. 페이지 31/55

부록 : Well-Architected 질문, 답변및모범사례 이부록에서는 Well-Architected 질문과답변및다음과같은주요기반에따른모범사례를제공합니다. 보안기반 보안 1. 저장된데이터를어떤방식으로암호화하고보호합니까? 기존의보안제어는저장된데이터를암호화하는것입니다. AWS 는클라이언트측 ( 예 : SDK 지원, OS 지원, Windows Bitlocker, dm-crypt, Trend Micro SafeNet 등 ) 및서버측 ( 예 : Amazon S3) 암호화를모두사용하여이를지원합니다. 서버측암호화 (SSE) 및 Amazon Elastic Block Store 암호화볼륨등을사용할수도있습니다. AWS 서비스별제어를사용하여저장된데이터를암호화합니다 ( 예 : Amazon S3 SSE, Amazon EBS 암호화볼륨, Amazon Relational Database Service(RDS) Transparent Data Encryption(TDE) 등 ) 클라이언트측기술을사용하여저장된데이터를암호화합니다. AWS Marketplace 또는 APN 파트너의솔루션을사용합니다. 보안 2. 전송중인데이터를어떤방식으로암호화하고보호하고있습니까? 모범사례는암호화를사용하여전송중인데이터를보호하는것입니다. AWS 는서비스 API 에대한암호화된엔드포인트사용을지원합니다. 또한고객은자신의 Amazon EC2 인스턴스내에서다양한기술을사용할수있습니다. SSL 지원 AWS API를적절하게사용합니다. 통신에 SSL 또는이와유사한프로토콜을사용합니다. VPN 기반솔루션. 프라이빗연결 ( 예 : AWS Direct Connect). AWS Marketplace 솔루션을사용합니다. 페이지 32/55

보안 3. AWS 루트계정자격증명에대한액세스및사용을어떻게보호하고있습니까? AWS 루트계정자격증명은여러운영체제의루트또는로컬관리자와유사하며, 가능한한적게사용해야합니다. 현재모범사례는 AWS Identity and Access Management(IAM) 사용자를만들고, 이를관리자그룹에연결한다음, IAM 사용자가계정을관리하는것입니다. AWS 루트계정에는 API 키가있으면안되며, 강력한암호가있어야합니다. 또한하드웨어 Multi-Factor Authentication(MFA) 디바이스에연결되어있어야합니다. 이는루트자격증명을 AWS Management Console 을통해서만사용할수있도록하며, 애플리케이션프로그래밍인터페이스 (API) 호출에사용하지못하도록합니다. 일부재판매업체또는리전에서는 AWS 루트계정자격증명을배포하거나지원하지않습니다. 최소한의필수작업에대해서만 AWS 루트계정자격증명을사용합니다. AWS 루트계정과연결된 MFA 하드웨어디바이스가있습니다. AWS Marketplace 솔루션을사용합니다. 보안 4. AWS Management Console 및 API 에대한액세스를제어하기위해시스템사용자의역할및책임을어떻게정의하고있습니까? 현재모범사례는사용자그룹을만들어시스템사용자에대해정의된역할및책임을구분하는것입니다. 사용자그룹은 IAM(Identity and Access Management) 그룹이나교차계정액세스를위한 IAM 역할, Web Identities 를사용하거나, SAML(Security Assertion Markup Language) 통합을통해 ( 예 : Active Directory 의역할정의 ) 또는일반적으로 SAML 이나 AWS STS(Security Token Service) 를통해통합하는타사솔루션 ( 예 : Okta, Ping Identity 또는기타맞춤형기술 ) 등의다양한기술을사용하여정의할수있습니다. 공유계정은사용하지않는것이좋습니다. IAM 사용자및그룹 SAML 통합웹자격증명연동 페이지 33/55

AWS 보안토큰서비스 (STS) 교차계정액세스를위한 IAM 역할 AWS Marketplace( 예 : Okta, Ping Identity 등 ) 또는 APN 파트너의솔루션직원수명주기정책정의및적용사용자, 그룹및역할에대해비즈니스요구사항을충족하는데필요한최소한의권한만명확하게정의및부여 보안 5. AWS 리소스에대한자동액세스를어떻게제한하고있습니까? ( 예 : 애플리케이션, 스크립트및 / 또는타사도구또는서비스 ) 사용자그룹을만드는것과유사한방식으로액세스를체계적으로정의해야합니다. Amazon EC2 인스턴스에서이러한그룹을 EC2 의 IAM 역할이라고합니다. 현재모범사례는 EC2 및 AWS SDK 또는 CLI 의 IAM 역할을사용하는것입니다. 이들은 EC2 자격증명의 IAM 역할검색을기본적으로지원합니다. 일반적으로사용자자격증명은 EC2 인스턴스로삽입되지만, 스크립트및소스코드에자격증명을하드코딩하는것은권장되지않습니다. Amazon EC2의 IAM 역할 IAM 사용자자격증명을사용하지만스크립트및애플리케이션에하드코딩하지않음 SAML 통합 AWS 보안토큰서비스 (STS) EC2 인스턴스에 OS별제어사용 AWS Marketplace 솔루션사용 보안 6. 키와자격증명을어떻게관리하고있습니까? 키와자격증명은암호이므로보호해야하며적절한교체정책을정의하고사용해야합니다. 모범사례는관리스크립트및애플리케이션에이러한암호를하드코딩하지않도록주의하는것입니다. 적절한키및자격증명교체정책을사용합니다. AWS CloudHSM을사용합니다. AWS 관리형키에 AWS 서버측기술을사용합니다 ( 예 : Amazon S3 SSE, Amazon EBS 암호화볼륨등 ). AWS Marketplace 솔루션 ( 예 : SafeNet, TrendMicro 등 ). 페이지 34/55

보안 7. 네트워크및호스트수준경계보호를어떻게적용하고있습니까? 온프레미스데이터센터에서 DMZ 는방화벽을사용하여신뢰할수있는영역및신뢰할수없는영역에있는개별시스템에접근합니다. AWS 에서는상태저장및상태비저장방화벽을사용합니다. 상태저장방화벽을보안그룹이라고하며, 상태비저장방화벽을 Amazon Virtual Private Cloud(VPC) 의서브넷을보호하는네트워크액세스제어목록 (ACL) 이라고합니다. 현재모범사례는 VPC 에서시스템을실행하고, 보안그룹에서역할기반보안 ( 예 : 웹계층, 앱계층등 ) 및네트워크 ACL 에서위치기반보안 ( 예 : 가용영역당한서브넷에서 Elastic Load Balancing 계층, 가용영역당또다른서브넷에서웹계층등 ) 을정의하는것입니다. 최소권한을보유한보안그룹을사용하여역할기반액세스를적용합니다. 하나이상의 VPC에서시스템을실행합니다. 프라이빗메커니즘을통해신뢰할수있는 VPC에액세스합니다 ( 예 : 가상프라이빗네트워크 (VPN), IPsec 터널, AWS Direct Connect, AWS Marketplace 솔루션등 ). 서브넷및네트워크 ACL을적절하게사용합니다. 최소권한을보유한호스트기반방화벽을사용합니다. 서비스별액세스제어를사용합니다 ( 예 : 버킷정책 ). VPC에대한프라이빗연결을사용합니다 ( 예 : VPN, AWS Direct Connect, VPC 피어링등 ) 배스천호스트기술을사용하여인스턴스를관리합니다. 보안테스트를정기적으로수행합니다. AWS Trusted Advisor 검사를정기적으로검토합니다. 보안 8. AWS 서비스수준보호를어떻게적용하고있습니까? 또다른모범사례는리소스에대한액세스를제어하는것입니다. AWS Identity and Access Management(IAM) 를사용하면다양한리소스수준제어를정의할수있으며 ( 예 : 암호화, 시간, 소스 IP 사용등 ), 다양한서비스를통해추가기술을사용할수있습니다 ( 예 : Amazon S3 버킷정책등 ). 또한고객은자신의 Amazon EC2 인스턴스내에서다양한기술을사용할수있습니다. 페이지 35/55

최소권한으로자격증명을구성합니다. 업무를분리합니다. 권한을정기적으로감사합니다. 중요한 API 호출에대해리소스요구사항을정의합니다 ( 예 : MFA 인증 및암호화요구 ). 서비스별요구사항을정의하고사용합니다. AWS Marketplace 솔루션을사용합니다. 보안 9. Amazon EC2 인스턴스에서운영체제의무결성을어떻게보호하고있습니까? 또다른기존제어는운영체제의무결성을보호하는것입니다. 기존호스트기반기술 ( 예 : OSSEC, Tripwire, Trend Micro Deep Security 등 ) 을사용하여 EC2 에서이를손쉽게수행할수있습니다. EC2 인스턴스에파일무결성제어를사용합니다. EC2 인스턴스에호스트기반침입탐지제어를사용합니다. AWS Marketplace 또는 APN 파트너의솔루션을사용합니다. 기본적으로보호되는사용자지정 AMI 또는구성관리도구 ( 예 : Puppet 또는 Chef) 를사용합니다. 보안 10. AWS 로그를어떻게캡처하고분석하고있습니까? 로그를캡처하는것은성능에서보안인시던트에이르기까지모든영역을조사하는데중요합니다. 현재모범사례는로그를소스에서로그처리시스템 ( 예 : CloudWatch Logs, Splunk, Papertrail 등 ) 으로주기적으로직접옮기거나, 비즈니스요구에따라이후처리할수있도록 Amazon S3 버킷에저장하는것입니다. 일반적인로그소스는 AWS API 및사용자관련로그 ( 예 : AWS CloudTrail), AWS 서비스별로그 ( 예 : Amazon S3, Amazon CloudFront 등 ), 운영체제생성로그, 타사애플리케이션별로그입니다. Amazon CloudWatch 로그를사용하여 Amazon EC2 인스턴스, AWS CloudTrail 또는기타소스의로그파일을모니터링하고, 저장하며, 액세스할수있습니다. 페이지 36/55

AWS CloudTrail Amazon CloudWatch 로그 Elastic Load Balancing(ELB) 로그 Amazon Virtual Private Cloud(VPC) 필터로그 Amazon S3 버킷로그기타 AWS 서비스별로그소스운영체제또는타사애플리케이션로그 AWS Marketplace 솔루션사용 안정성기반 안정성 1. 계정에대한 AWS 서비스제한을어떻게관리하고있습니까? AWS 계정은기본서비스제한에따라프로비저닝되어신규사용자가필요한것보다더많은리소스를실수로프로비저닝하는일을방지합니다. AWS 고객은각자의 AWS 서비스요구를평가하고사용되는각리전에대한제한을적절히변경하도록요청해야합니다. 제한모니터링및관리잠재적 AWS 사용량을평가하고, 리전제한을적절히높이고, 사용량증가를계획합니다. 자동모니터링설정임계값에접근하면경고하도록도구 ( 예 : SDK) 를구현합니다. 고정된서비스제한숙지변경할수없는서비스제한을숙지하고이에따라설계합니다. 안정성 2. AWS 에서네트워크토폴로지를어떻게계획하고있습니까? 애플리케이션은기본적으로 EC2 Classic, VPC 또는 VPC 등하나이상의환경에존재할수있습니다. 시스템연결, EIP/ 퍼블릭 IP 주소관리, VPC/ 프라이빗주소관리, 이름확인과같은네트워크고려사항은클라우드의리소스를활용하기위한기본사항입니다. 중첩및경합위험을줄이기위해서는구축을제대로계획하고문서화하는것이핵심입니다. 페이지 37/55

AWS에대한고가용연결여러 DX 회로, 여러 VPN 터널, AWS Marketplace 어플라이언스. 시스템에대한고가용연결고가용성로드밸런싱및 / 또는프록시, DNS 기반솔루션, AWS Marketplace 어플라이언스등. 비중첩프라이빗 IP 범위 Virtual Private Cloud에서가상 IP 주소범위및서브넷을사용하는경우이두개가서로중복되거나여러클라우드환경또는온프레미스환경을중복사용하면안됩니다. IP 서브넷할당개별 Amazon VPC IP 주소범위는가용영역의서브넷에 IP 주소를할당하고추후확장을고려하는등애플리케이션의요구사항을수용할수있도록충분히커야합니다. 안정성 3. 기술적문제를해결하기위한에스컬레이션경로가있습니까? 고객은 AWS Support 또는 AWS 파트너를활용해야합니다. 정기적인상호작용을통해알려진문제, 지식격차및설계문제를해결하고방지할수있습니다. 또한구현실패와대규모중단을줄일수있습니다. 계획 AWS Support 또는 APN 파트너와지속적으로협력합니다. AWS Support API 활용 AWS Support API 를내부모니터링및티켓시스템과통합합니다. 안정성 4. 시스템이수요변화에어떻게대처하고있습니까? 확장가능한시스템은리소스를자동으로추가하거나제거할수있는탄력성을갖추고있으므로어떤상황에서도수요에빈틈없이대응할수있습니다. 자동조정확장가능한서비스를자동으로사용합니다 ( 예 : Amazon S3, Amazon CloudFront, Auto Scaling, Amazon DynamoDB, AWS Elastic Beanstalk 등 ). 페이지 38/55

부하테스트부하테스트방법을채택하여조정활동이애플리케이션 요구사항을충족하는지여부를평가합니다. 안정성 5. AWS 리소스를어떻게모니터링하고있습니까? 로그와측정지표는애플리케이션의상태를파악하기위한강력한도구입니다. 로그와측정지표들을모니터링하고임계값을초과했거나중요한이벤트가발생한경우알림을보내도록시스템을구성할수있습니다. 임계값을초과했거나오류가발생한경우자동으로자체복구를하거나변화에대응하여조정할수있도록시스템을설계하는것이가장좋습니다. 모니터링 Amazon CloudWatch 또는타사도구를통해애플리케이션을모니터링합니다. 알림중요한이벤트가발생하는경우알림을받도록설정합니다. 자동응답오류가감지된경우자동으로조치를취하도록합니다 ( 예 : 실패한구성요소대체 ). 검토중요한이벤트가발생할때마다시스템을자주검토하여아키텍처를평가합니다. 안정성 6. 변경관리를어떻게수행하고있습니까? 애플리케이션과운영환경이알려진소프트웨어를실행하고있으며적절하게패치또는교체될수있도록프로비저닝된 AWS 리소스와애플리케이션에대한변경관리를수행해야합니다. CM 자동화배포 / 패치를자동화합니다. 안정성 7. 데이터를어떻게백업하고있습니까? 데이터, 애플리케이션및운영환경 ( 애플리케이션으로구성된운영체제로정의됨 ) 을백업하여평균복구시간 (MTTR) 및목표복구시점 (RPO) 요구사항을충족시키십시오. 페이지 39/55

데이터백업 Amazon S3, Amazon EBS 스냅샷또는타사소프트웨어를사용하여중요한데이터를백업함으로써 RPO를충족합니다. 자동백업 AWS 기능, AWS Marketplace 솔루션또는타사소프트웨어를사용하여백업을자동화합니다. 백업을보안및 / 또는암호화 AWS 보안모범사례백서를참조합니다. 정기적인복구테스트복구테스트를통해백업프로세스구현이 RTO 및 RPO를충족하는지확인합니다. 안정성 8. 구성요소장애시시스템에서어떻게대처합니까? 애플리케이션에명시적으로든암시적으로든고가용성과낮은평균복구시간 (MTTR) 에대한요구사항이있습니까? 만약그렇다면복원성을갖추도록애플리케이션을구축하고중단에대처할수있도록배포합니다. 높은가용성을달성하려면여러물리적위치에배포해야합니다. 복원성을갖추도록개별계층 ( 예 : 웹서버, 데이터베이스 ) 을구축합니다. 여기에는모니터링, 자체복구, 중요한이벤트중단및오류에대한알림등이포함됩니다. 로드밸런싱리소스풀앞에로드밸런서를사용합니다. 다중-AZ / 리전여러가용영역 / 리전에애플리케이션을배포합니다. 자동복구자동기능을사용하여오류를감지하고문제해결작업을수행합니다. 모니터링시스템의상태를지속적으로모니터링합니다. 알림중요한이벤트에대한알림을받도록설정합니다. 안정성 9. 복구를어떻게계획하고있습니까? 데이터를백업방식으로복원해야하는경우데이터복구가필수적입니다. 이데이터의목표, 리소스, 위치및기능은 RTO 및 RPO 목표와일치하도록정의하고실행해야합니다. 페이지 40/55

목표정의 RTO와 RPO를정의합니다. 재해복구 DR 전략을세웁니다. 구성드리프트 DR 사이트 / 리전에서 Amazon 머신이미지 (AMI) 와시스템구성상태가최신인지확인합니다. 서비스제한 DR 사이트를통해서비스제한증가를요청하여장애조치에부응합니다. DR 테스트및검증 DR에대한장애조치를정기적으로테스트하여 RTO와 RPO를충족하는지확인합니다. 자동복구구현 AWS 및 / 또는타사도구를사용하여시스템복구를자동화합니다. 성능기반 성능 1. 시스템에적합한인스턴스유형을어떻게선택합니까? Amazon EC2 에서는서로다른여러사용사례에맞게최적화된다양한유형의인스턴스선택항목을제공합니다. 인스턴스유형은 CPU, 메모리, 스토리지및네트워킹용량의다양한조합으로구성되며, 애플리케이션에사용할적절한리소스조합을유연하게선택할수있습니다. 각인스턴스유형에인스턴스크기가하나이상포함되어있어, 대상워크로드의요건에맞게리소스의크기를조정할수있습니다. AWS 는 AWS Lambda 와같은서버리스 (server-less) 아키텍처를지원합니다. 이를통해워크로드의성능효율성을대폭향상할수있습니다. 정책 / 레퍼런스아키텍처내부거버넌스표준을고려하여예상되는리소스요구사항에따라인스턴스유형과크기를선택합니다. 비용 / 예산내부비용관리를고려하여예상되는리소스요구사항에따라인스턴스유형과크기를선택합니다. 벤치마킹 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 이때알려진성능벤치마크와알려진워크로드를비교테스트합니다. 페이지 41/55

AWS 또는 AWS 파트너네트워크 (APN) 구성원의지침모범사례의조언에의거하여선택합니다. 부하테스트여러인스턴스유형과크기를사용하여 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 2. 새로운인스턴스유형및기능을도입할때가장적절한인스턴스유형을선택하기위해어떻게합니까? AWS 는고객의피드백을바탕으로 CPU, 메모리, 스토리지및네트워킹용량을새롭게조합한새로운유형과크기의인스턴스를지속적으로출시하고있습니다. 따라서처음에선택한인스턴스보다성능효율성이우수한새로운인스턴스유형이출시될수있습니다. 검토예상되는리소스요구사항에따라새로운인스턴스유형과크기를주기적으로다시선택합니다. 벤치마킹새로운인스턴스유형이출시될때마다 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 부하테스트새로운인스턴스유형이출시될때마다 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 3. 인스턴스를시작한후정상적으로수행되고있는지확인하기위해인스턴스를어떻게모니터링합니까? 시스템성능은내부및 / 또는외부요인으로인해시간이지남에따라저하될수있습니다. 시스템성능을모니터링하면성능저하여부를확인하여내부또는외부요인 (OS 또는애플리케이션부하등 ) 에대한조치를취할수있습니다. Amazon CloudWatch 모니터링 CloudWatch 를사용하여인스턴스를 모니터링합니다. 페이지 42/55

타사모니터링타사도구를사용하여시스템을모니터링합니다. 주기적인검토모니터링대시보드를주기적으로검토합니다. 경보기반알림측정치가안전범위를벗어났을경우모니터링시스템에서자동알림을받습니다. 트리거기반작업경보를통해자동으로문제에대한조치를취하거나에스컬레이션합니다. 성능 4. 인스턴스수량이요구에부합하도록하기위해어떻게하고있습니까? 시스템에서발생하는수요는일반적으로제품수명주기 ( 예 : 출시또는증가 ), 일시적주기 ( 예 : 하루, 주또는달 ), 예상치못한주기 ( 예 : 소셜미디어분석 ), 예측가능한주기 ( 예 : 텔레비전에피소드 ) 와같은주기에따라다릅니다. 인스턴스가워크로드를감당하지못할경우성능이저하되거나최악의경우시스템오류로이어질수있습니다. 계획측정치및 / 또는계획된이벤트에기반하여계획합니다. 자동 - 스크립팅자동관리도구를사용합니다. 자동 - Auto Scaling Auto Scaling 을사용하여자동으로관리합니다. 성능 5. 시스템에적합한스토리지솔루션을어떻게선택합니까? AWS 는내구성과가용성이뛰어난저렴한데이터스토리지를제공하도록설계되었습니다. AWS 는백업, 보관및재해복구는물론블록, 파일및객체저장용스토리지를제공합니다. 정책 / 레퍼런스아키텍처내부거버넌스표준을고려하여예상되는리소스요구사항에따라스토리지솔루션과기능을선택합니다. 비용 / 예산내부비용관리를고려하여예상되는리소스요구사항에따라스토리지솔루션과기능을선택합니다. 벤치마킹 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 이때알려진성능벤치마크와알려진워크로드를비교테스트합니다. 페이지 43/55

AWS 또는 APN 파트너의지침모범사례조언에따라솔루션을선택합니다. 부하테스트여러스토리지솔루션을사용하여 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 6. 새로운스토리지솔루션및기능이출시되었을때가장적합한스토리지솔루션을선택하기위해어떻게합니까? AWS 는고객의피드백을바탕으로용량, 처리량및내구성을새롭게조합한새로운스토리지솔루션및기능을지속적으로출시하고있습니다. 따라서처음에선택한스토리지솔루션보다성능효율성이우수한새로운스토리지솔루션이출시될수있습니다. 검토예상되는리소스요구사항에따라새로운스토리지솔루션과기능을주기적으로다시선택합니다. 벤치마킹새로운스토리지솔루션과기능이출시될때마다 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 부하테스트새로운스토리지솔루션과기능이출시될때마다 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 7. 스토리지솔루션이예상대로작동하는지확인하기위해어떻게모니터링합니까? 시스템성능은내부및 / 또는외부요인으로인해시간이지남에따라또는일시적으로저하될수있습니다. 시스템성능을모니터링하면저하여부를확인하고내부또는외부요인에대한조치를취할수있습니다. Amazon CloudWatch 모니터링 CloudWatch 를사용하여스토리지 시스템을모니터링합니다. 페이지 44/55

타사모니터링타사도구를사용하여스토리지시스템을모니터링합니다. 주기적인검토모니터링대시보드를주기적으로검토합니다. 경보기반검토측정치가안전범위를벗어났을경우자동으로알리도록모니터링시스템을설정합니다. 트리거기반작업자동으로문제에대한조치를취하거나에스컬레이션하도록경보를설정합니다. 성능 8. 스토리지솔루션의용량및처리량이요구에부합하도록하기위해어떻게합니까? 시스템에서발생하는수요는일반적으로제품수명주기 ( 예 : 출시또는증가 ), 일시적주기 ( 예 : 하루, 주또는달 ), 예상치못한주기 ( 예 : 소셜미디어분석 ), 예측가능한주기 ( 예 : 텔레비전에피소드 ) 와같은주기에따라다릅니다. 스토리지용량또는처리량이워크로드를감당하지못할경우성능이저하되거나최악의경우시스템오류로이어질수있습니다. 응답측정치에기반하여수동으로관리합니다. 계획측정치및 / 또는계획된이벤트에기반하여추후용량및처리량을계획합니다. 자동측정치에기반하여자동화합니다. 성능 9. 시스템에적합한데이터베이스솔루션을어떻게선택합니까? 특정시스템에대한최적의데이터베이스솔루션은일관성, 가용성, 파티션허용치및지연시간에대한요구사항에따라다릅니다. 많은시스템에서여러하위시스템에대해서로다른데이터베이스솔루션을사용하며, 성능을향상시키기위해다양한기능을사용합니다. 시스템워크로드에적합하지않은데이터베이스솔루션및기능을선택하면성능효율성이저하될수있습니다. 정책 / 레퍼런스아키텍처내부거버넌스표준을고려하여예상되는 리소스요구사항에따라데이터베이스솔루션과기능을선택합니다. 페이지 45/55

비용 / 예산내부비용관리를고려하여예상되는리소스요구사항에따라데이터베이스솔루션과기능을선택합니다. 벤치마킹 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 이때알려진성능벤치마크와알려진워크로드를비교테스트합니다. AWS 또는 APN 파트너의지침모범사례조언에따라솔루션을선택합니다. 부하테스트여러데이터베이스솔루션과기능을사용하여 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 10. 새로운데이터베이스솔루션및기능이출시되었을때가장적합한데이터베이스솔루션및기능을선택하기위해어떻게합니까? AWS 는고객의피드백을바탕으로일관성, 가용성, 파티션허용치및지연시간을새롭게조합한새로운데이터베이스솔루션및기능을지속적으로출시하고있습니다. 따라서처음에선택한데이터베이스솔루션보다성능효율성이우수한새로운데이터베이스솔루션또는기능이출시될수있습니다. 검토예상되는리소스요구사항에따라데이터베이스솔루션과기능을주기적으로다시선택합니다. 벤치마킹새로운데이터베이스솔루션이나기능이출시될때마다 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 부하테스트새로운데이터베이스솔루션이나기능이출시될때마다 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 11. 데이터베이스가예상대로의성능을내는지확인하기위해어떻게모니터링합니까? 시스템성능은내부또는외부요인으로인해시간이지남에따라저하될수있습니다. 시스템성능을모니터링하면저하여부를확인하고내부또는외부요인에대한조치를취할수있습니다. 페이지 46/55

Amazon CloudWatch 모니터링 CloudWatch를사용하여데이터베이스를모니터링합니다. 타사모니터링타사도구를사용하여데이터베이스를모니터링합니다. 주기적인검토모니터링대시보드를주기적으로검토합니다. 경보기반알림측정치가안전범위를벗어났을경우자동으로알리도록모니터링시스템을설정합니다. 트리거기반작업자동으로문제에대한조치를취하거나에스컬레이션하도록경보를설정합니다. 성능 12. 데이터베이스의용량및처리량이수요를충족하도록하기위해어떻게합니까? 시스템에서발생하는수요는일반적으로제품수명주기 ( 예 : 출시또는증가 ), 일시적주기 ( 예 : 하루, 주또는달 ), 예상치못한주기 ( 예 : 소셜미디어 ), 예측가능한주기 ( 예 : 텔레비전에피소드 ) 와같은주기에따라다릅니다. 데이터베이스용량및처리량이워크로드를감당하지못할경우시스템이저하되거나최악의경우시스템오류로이어질수있습니다. 계획측정치및 / 또는계획된이벤트에기반하여추후용량및처리량을계획합니다. 자동측정치에기반하여자동화합니다. 성능 13. 시스템에적합한근접연결및캐싱솔루션을어떻게선택합니까? 물리적거리, 네트워크거리또는장기간실행중인요청으로인해시스템지연이발생할수있습니다. 지연시간이해결되지않으면필요한것보다오랫동안시스템리소스를사용하므로내부및외부성능저하를야기할수있습니다. 지연시간을줄이려면최종사용자의관점에서전체시스템의종단간성능을고려하고, 리소스또는캐시솔루션의물리적근접성을조정할수있는가능성을모색합니다. 페이지 47/55

정책 / 레퍼런스아키텍처내부거버넌스표준을고려하여예상되는리소스요구사항에따라근접연결및캐싱솔루션을선택합니다. 비용 / 예산내부비용관리를고려하여예상되는리소스요구사항에따라근접연결및캐싱솔루션을선택합니다. 벤치마킹 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 이때알려진성능벤치마크와알려진워크로드를비교테스트합니다. AWS 또는 APN 파트너의지침모범사례조언에따라근접연결및캐싱솔루션을선택합니다. 부하테스트여러근접연결및캐싱솔루션을사용하여 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 성능 14. 새로운솔루션이출시되었을때가장적합한근접연결및캐싱솔루션을선택하기위해어떻게합니까? AWS 는고객의피드백을바탕으로근접연결, 캐싱및지연시간을새롭게조합한새로운근접연결및캐싱솔루션을지속적으로출시하고있습니다. 이는원래선택한근접연결및캐싱솔루션보다성능효율성이우수한새로운근접연결및캐싱솔루션이출시될수있다는것을뜻합니다. 시스템전반에서지연시간을줄이고성능을높일수있는가능성을모색합니다. 예를들어, 최적화를일회성으로수행합니까? 아니면시간에따라요구사항이변화하는것에맞추어시스템을지속적으로최적화하고있습니까? 검토예상되는리소스요구사항에따라근접연결및캐싱솔루션을주기적으로다시선택합니다. 벤치마킹새로운근접연결및캐싱솔루션이출시될때마다 AWS에서알려진워크로드에대한부하테스트를수행하고이를바탕으로최적의선택을평가합니다. 페이지 48/55

부하테스트새로운근접연결및캐싱솔루션이출시될때마다 AWS에최신시스템버전을배포하고, 모니터링을통해성능측정치를캡처한다음, 성능 / 비용계산결과에따라선택합니다. 사전모니터링 - Amazon CloudWatch 모니터링 Amazon CloudWatch를사용하여근접연결및캐싱솔루션을모니터링합니다. 사전모니터링 - 타사모니터링타사도구를사용하여근접연결및캐싱솔루션을모니터링합니다. 경보기반알림측정치가안전범위를벗어났을경우자동으로알리도록모니터링시스템을설정합니다. 트리거기반작업자동으로문제에대한조치를취하거나에스컬레이션하도록경보를설정합니다. 성능 15. 근접연결및캐싱솔루션이예상한성능을내는지확인하기위해어떻게모니터링합니까? 시스템성능은내부또는외부요인으로인해시간이지남에따라저하될수있습니다. 시스템성능을모니터링하면저하여부를확인하고내부또는외부요인에대한조치를취할수있습니다. Amazon CloudWatch 모니터링 CloudWatch를사용하여인스턴스를모니터링합니다. 타사모니터링타사도구를사용하여시스템을모니터링합니다. 주기적인검토모니터링대시보드를주기적으로검토합니다. 경보기반알림측정치가안전범위를벗어났을경우자동으로알리도록모니터링시스템을설정합니다. 트리거기반작업자동으로문제에대한조치를취하거나에스컬레이션하도록경보를설정합니다. 성능 16. 근접연결및캐싱솔루션이요구에부합하도록하기위해어떻게합니까? 시스템에서발생하는수요는일반적으로제품수명주기 ( 예 : 출시또는증가 ), 일시적주기 ( 예 : 하루, 주또는달 ), 예상치못한주기 ( 예 : 소셜미디어 ), 예측가능한주기 ( 예 : 텔레비전에피소드 ) 와같은주기에따라다릅니다. 근접연결 페이지 49/55

및캐싱솔루션이워크로드를감당하지못할경우시스템이저하되거나최악의경우시스템오류로이어질수있습니다. 이는글로벌사용자기반이있거나이를계획하는경우에특히그렇습니다. 계획측정치및 / 또는계획된이벤트에기반하여추후근접연결또는 캐싱솔루션을계획합니다. 모니터링시간에따른캐시사용량과수요를모니터링합니다. 정기적인검토시간에따른캐시사용량과수요를검토합니다. 비용최적화기반 비용 1. 필요한용량에크게초과되지않도록용량을맞추기위해어떻게하고있습니까? 비용과성능면에서균형을이룬아키텍처를구축하려면지불하는모든요소를사용하고잘사용하지않는인스턴스가없도록해야합니다. 어느쪽으로든사용률측정치가편향되면운영비용 ( 과다사용으로인한성능저하 ) 또는 ( 오버프로비저닝으로인한 ) AWS 비용이과도하게발생하여비즈니스에부정적인영향을미칠수있습니다. 수요기반접근 Auto Scaling을사용하여변화하는수요에대응합니다. 대기열기반접근 Amazon Simple Queue Service(SQS) 대기열을실행하고수요에기반하여인스턴스를실행 / 종료합니다. 시간기반접근예 : 일조기준, 주말동안개발 / 테스트인스턴스끄기, 분기또는연간일정기준 ( 예 : 블랙프라이데이 ). 적절하게프로비저닝 Amazon DynamoDB, Amazon EBS( 프로비저닝된 IOPS), Amazon RDS, Amazon EMR 등의서비스에대해처리량, 크기및스토리지를적절하게프로비저닝합니다. 비용 2. AWS 서비스사용을어떻게최적화하고있습니까? 애플리케이션수준서비스를사용하는경우, 이를잘사용하고있는지확인합니다. 예를들어, 수명주기정책을도입하여 Amazon S3 사용량을관리하거나 Amazon RDS 나 Amazon DynamoDB 와같은서비스를사용하여 페이지 50/55

유연성을높입니다. 적절하게사용하고있는지확인하려면 Amazon RDS 의다중 AZ 배포를확인하거나프로비저닝된 IOPS 가 Amazon DynamoDB 테이블에적절한지등을확인합니다. 서비스별최적화 Amazon EBS 의 I/O 최소화, Amazon S3 에작은파일을너무많이업로드하지않기, Amazon EMR 에서광범위하게스팟인스턴스사용등이있습니다. 비용 3. 비용목표에부합하는적절한리소스를선택했습니까? 선택한 Amazon EC2 인스턴스가당면한작업에적절한지확인합니다. AWS 는선택한인스턴스유형이워크로드에최적화되도록벤치마킹평가를사용하도록권장합니다. 필요에따라인스턴스프로필매칭예를들어, 워크로드및인스턴스설명 ( 컴퓨팅, 메모리또는스토리지집약 ) 에따라매칭합니다. 타사제품예를들어, CopperEgg 또는 New Relic과같은타사제품을사용하여적절한인스턴스유형을결정합니다. Amazon CloudWatch CloudWatch를사용하여프로세서부하를측정합니다. 사용자지정측정치 CloudWatch를사용하여사용자지정메모리스크립트를로드하고메모리사용량을검사합니다. 애플리케이션프로파일어떤유형의 Amazon EBS( 마그네틱, 범용 (SSD), 프로비저닝된 IOPS) 를언제사용할지알수있도록애플리케이션을프로파일합니다. 필요한경우에만 EBS에최적화된인스턴스를사용합니다. 비용 4. 비용목표에부합하는적절한요금모델을선택했습니까? 워크로드에가장적합한요금모델을사용하여비용을최소화합니다. 최적의배포는완전한온디맨드인스턴스이거나, 온디맨드와예약인스턴스를조합한것일수있습니다. 또는필요할경우스팟인스턴스를포함시킬수있습니다. 페이지 51/55

스팟일부워크로드에스팟인스턴스를사용합니다. 사용량분석사용량을정기적으로분석하고그에따라예약인스턴스를구매합니다. 예약인스턴스판매요구사항이변화함에따라예약인스턴스마켓플레이스에더이상필요하지않은예약인스턴스를판매하고다른인스턴스를구매합니다. 자동조치아키텍처에서사용하지않는인스턴스를끄도록합니다 ( 예 : 업무시간이아닌동안에는 Auto Scaling을사용하여축소 ). 비용고려리전선택시비용을고려합니다. 비용 5. ROI 를높이는데사용할수있는관리형서비스 (Amazon EC2, Amazon EBS, Amazon S3 보다높은수준의서비스 ) 가있습니까? Amazon EC2, Amazon EBS 및 Amazon S3 는 " 기본적인 " AWS 서비스입니다. Amazon RDS 나 Amazon DynamoDB 와같은관리형서비스는 " 더높은수준의 " AWS 서비스입니다. 이러한관리형서비스를사용하면관리및운영상의오버헤드를상당수줄이거나제거하여애플리케이션과비즈니스관련작업에집중할수있습니다. 서비스분석애플리케이션수준서비스를분석하여사용할수있는서비스를확인합니다. 적절한데이터베이스고려해당하는경우 Amazon Relational Database Service(RDS) (Postgres, MySQL, SQL Server, Oracle Server) 또는 Amazon DynamoDB( 또는기타키-값저장소, NoSQL 대안 ) 를사용합니다. 다른애플리케이션수준서비스고려해당하는경우 Amazon Simple Queue Service(SQS), Amazon Simple Notification Service(SNS), Amazon Simple Email Service(SES) 를사용합니다. AWS CloudFormation, AWS Elastic Beanstalk 또는 AWS Opsworks 고려 AWS CloudFormation 템플릿 /AWS Elastic Beanstalk/AWS OpsWorks를사용하여표준화및비용관리상의이점을얻을수있습니다. 페이지 52/55

비용 6. AWS 사용량을관리하기위한액세스제어및절차를마련해두었습니까? 목표를달성하는동시에적절한비용이발생하도록정책과메커니즘을수립합니다. 태깅및 IAM 관리를통해견제와균형의접근방식을채택하여비용을크게들이지않고도혁신을이룰수있습니다. 그룹및역할설정 ( 예 : Dev/Test/Prod) IAM과같은 AWS 관리메커니즘을사용하여인스턴스를실행할사람과각그룹의리소스를관리합니다. ( 이는 AWS 서비스또는타사솔루션에적용됩니다.) 프로젝트수명주기추적프로젝트, 팀및환경의수명주기를추적, 측정및감사하여불필요한리소스사용및비용지불을방지합니다. 비용 7. 사용량과지출을어떻게모니터링하고있습니까? 정책과절차를수립하여비용을모니터링하고관리하고적절하게할당합니다. AWS 에서제공하는도구를사용하여사용자와사용항목및해당비용을확인합니다. 이를통해비즈니스요구사항과팀에서수행하는작업을보다심도있게이해할수있습니다. 모든리소스에태그지정청구서의변경내용과인프라및사용량의변경내용을연결지을수있습니다. 결제세부보고서검토표준프로세스에서결제세부보고서를로드및해석하도록합니다. 비용효율적아키텍처사용량및비용에대한계획을수립합니다 ( 단위당 - 예 : 사용자, 데이터기가바이트 ). 모니터링 Amazon CloudWatch 또는타사공급업체의서비스 ( 예 : Cloudability, CloudCheckr) 를사용하여사용량과지출을정기적으로모니터링합니다. 알림팀의주요구성원으로하여금지출이정의된한도를초과하는지여부를알수있도록합니다. AWS 비용탐색기사용 자금중심요금회수방식이를사용하여비용센터 ( 예 : 태깅 ) 에인스턴스와리소스를할당합니다. 페이지 53/55

비용 8. 더이상필요하지않은리소스를폐기하거나일시적으로필요하지않은리소스를중지합니까? 사용중인서비스에만비용을지불하고있는지확인합니다. 해당하는경우필요한프로세스변경또는향상을확인할수있도록프로젝트시작에서종료에이르기까지변경제어및리소스관리를실행합니다. AWS Support 와협력하여워크로드에맞게프로젝트를최적화하는방안을논의합니다. 예를들면, Auto Scaling, AWS OpsWorks, AWS Data Pipeline 또는여러 Amazon EC2 프로비저닝접근방식을언제사용할지고려합니다. 중요하지않거나필요하지않으며사용률이낮은인스턴스또는리소스를확인하고폐기할때인스턴스종료를적절하게처리하도록시스템을설계합니다. 불필요한리소스를확인하고폐기하기위한프로세스를마련합니다. 시스템또는프로세스에기반하여폐기된리소스를조정합니다. 비용 9. 아키텍처를설계할때데이터전송요금을고려합니까? 데이터전송요금을모니터링하여이러한비용중일부를절감하는설계결정을내릴수있도록합니다. 예를들어, Amazon S3 버킷에서최종사용자에게직접콘텐츠를서비스하는콘텐츠공급업체인경우 Amazon CloudFront CDN 으로콘텐츠를푸시하면비용을대폭절감할수있습니다. 작지만효과적인설계변경으로운영비용을크게절감할수있습니다. CDN을사용합니다. 데이터전송을최적화하도록설계합니다 ( 애플리케이션설계, WAN 가속화등 ). 상황을분석하고 AWS Direct Connect를사용하여비용을절약하고성능을향상합니다. 아키텍처의데이터전송비용과고가용성 (HA) 및안정성요구사항이서로균형을이루게합니다. 페이지 54/55

비용 10. 새로운서비스의활용을어떻게관리하고고려합니까? AWS 의목표는가능한한최적이자비용효율적으로설계할수있도록지원하는것입니다. 새로운서비스와기능을사용하면비용을직접적으로절감할수있습니다. 이것의좋은예가 Amazon Glacier 입니다. 이서비스는자주액세스하지않지만비즈니스또는법률적이유로보유해야하는데이터에대해저렴한 " 콜드 " 스토리지솔루션을제공합니다. 또다른예는 Amazon S3 의 Reduced Redundancy Storage 입니다. 이서비스를사용하면 Amazon S3 객체복사본을더적게유지하여 ( 더낮은수준의중복성 ) 비용을절약할수있습니다. 이러한결정을내릴때에는 " 데이터복사본이적으면어떻게될까?" 또는 " 생각한것보다더자주이데이터에액세스해야할까?" 등과같은몇가지사항을고려해야합니다. AWS 솔루션아키텍트, 컨설턴트또는회계팀을정기적으로만나비용을절약하기위해채택할수있는새로운서비스또는기능을논의합니다. 페이지 55/55