지형이 있는 AWS 데이터 호수 - 4-5부/6부

지금까지 우리는 데이터 주입, 데이터 수집과 데이터 분석을 토론했다.나는 감히 내기를 걸겠다. 너는 우리가 어떻게 이런 인프라 시설과 데이터를 보호할 것인가를 줄곧 생각하고 있다.
이 4-5 섹션에서는 다음과 같은 강력한 AWS 서비스를 사용하여 프로젝트를 보호하는 방법을 학습합니다.

IAM

km

CloudWatch

IAM 보안의 이점과 프로젝트를 보호하는 데 도움이 되는 방법에 대해 먼저 살펴보겠습니다.
IAM이란 무엇인가? IAM의 장점은 무엇입니까?
IAM은 ID 및 액세스 관리를 나타냅니다.IAM은 중요한 AWS 서비스로 한 상점에서 AWS 자원과 서비스의 접근과 사용을 제어할 수 있습니다.
IAM 의 다른 ID 중 일부는 다음과 같습니다.

계정 루트 사용자

사용자

그룹

캐릭터

이 절에서 우리는 역할과 전략에만 주목할 것이다.우리 먼저 몇 가지 문제에 대답합시다.
IAM의 역할은 무엇인가요? 어떤 장점이 있나요?
IAM 역할은 AWS 서비스 요청을 제출할 수 있는 권한이 있는 ID입니다.이렇게 간단해.
이러한 이점은 다음과 같습니다.

역할은 응용 프로그램이나 서비스와 연결되지 않고 자원에 의해 맡긴다.

AWS

IAM 사용자에게 권장

역할

역할은 정기적으로 서비스에 액세스할 수 있지만 영구적으로 액세스할 수 없음

IAM 사용자는 하나의 역할로 서로 다른 AWS 계정에 접근할 수 있다

역할은 당신이 실행하는 것을 대표할 수 있습니다.예를 들어 동정소방수대는 직접 원목을 s3통에 넣는다.

 resource "aws_s3_bucket" "data_logs" {
  bucket = var.bucket_name

}

resource "aws_iam_role" "f_role" {
  name = "f_role"

  assume_role_policy = <<EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "firehose.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}
EOF

}

캐릭터 제한은요?

AWS 계정을 통해서만 500개의 역할을 만들 수 있음

무엇이 정책입니까?

는 JavaScript 대상 표현법(JSON) 문서로 문장 형식으로 나타나는 권한을 열거한다

정책은 한 개 이상의 문장을 포함할 수 있다

정책을 사용자, 역할 또는 그룹에 추가할 수 있음

678개 솔리드(917개) 다중 솔리드(457개) 가능

정책은 자신의 아마존 자원 이름(ARN)에 보존한다

정책 구조의 구성 부분:

작업: AWS 서비스가 허용하는 작업을 정의합니다.

자원: 어떤 자원 조작을 실행할 수 있는지 정의한다.

효과: 사용자나 캐릭터가 자원에 대한 모든 작업을 허용하거나 거부할 수 있는지 정의합니다.기본적으로 Deny가 설정되어 있으며 명시적으로 허용해야 합니다.

resource "aws_iam_role_policy" "f_delivery_policy" { 
  role = aws_iam_role.f_role.id

  policy = <<EOT
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "${aws_s3_bucket.arn}"
    },
    {
      "Action": [
        "s3:*"
      ],
      "Effect": "Allow",
      "Resource": "${aws_s3_bucket.data_logs.arn}"
    }
  ]

}
EOT
}

보시다시피 역할과 전략은 IAM의 풍부한 기능으로 서로 다른 장면에서 사용할 수 있다.
이곳의 도전은 전송 중인 데이터를 어떻게 보호하는가이다.걱정하지 마, 너는 돌아올 거야.
AWS 키 관리 서비스(KMS)를 소개하겠습니다.
KMS 소개
KMS는 정지 또는 전송 중인 데이터를 암호화하는 완전 관리 서비스입니다.
KMS는 어떻게 작동합니까?
KMS를 사용하면 암호화된 데이터를 만들 수 있으며 완벽하게 관리되고 가용성이 높은 스토리지를 제공할 수 있습니다.응용 프로그램 내와 크로스 계정에서 데이터를 암호화할 수 있습니다.KMS의 중요한 요소 중 하나는 키를 사용할 때마다 낮은 비용으로 계정에 제로 비용으로 저장할 수 있다는 것입니다.
KMS의 장점은 무엇입니까?

안전 및 고소

중앙 집중식 키 관리

전체 관리

AWS

와 통합
마지막으로 클라우드 워치를 어떻게 사용하여 인프라 시설의 유량을 제어합니까
앞에서 말한 바와 같이, 우리 먼저 몇 가지 문제에 대답합시다.
CloudWatch란? CloudWatch의 장점은 무엇입니까?
AWS CloudWatch는 AWS 리소스와 어플리케이션을 수집할 수 있는 글로벌 모니터링 서비스입니다.
AWS CloudWatch의 기능은 모니터링 수준에 국한되지 않으며 성능, 상태 점검 및 비용 청구를 지속적으로 모니터링할 수 있는 경고를 작성할 수도 있습니다.따라서 예산 또는 부서 또는 경영진이 설정한 임계값 초과 시 사전 예방적으로 조치를 취할 수 있습니다.
CloudWatch 모니터링 모델:

5분 간격 - 무료

추가 충전 시간 1분 간격

리소스 제거

후 15개월 이내 스토리지 지표
이점:

AWS 리소스 모니터링

스토리지 로그

경고 생성

강력한 대시보드

이벤트에 따라 리소스 자동 변경

resource "aws_cloudwatch_dashboard" "thresholds_control" {
  dashboard_name = "admin-dashboard"

  dashboard_body = <<EOF
{
  "widgets": [
    {
      "type": "metric",
      "x": 0,
      "y": 0,
      "width": 12,
      "height": 6,
      "properties": {
        "metrics": [
          [
            "AWS/EC2",
            "CPUUtilization",
            "InstanceId",
            "i-012345"
          ]
        ],
        "period": 300,
        "stat": "Average",
        "region": "us-east-1",
        "title": "EC2 Instance CPU"
      }
    },
    {
      "type": "text",
      "x": 0,
      "y": 7,
      "width": 3,
      "height": 3,
      "properties": {
        "markdown": "We are monitoring"
      }
    }
  ]
}
EOF
}

Above picture is from this link
다른 한편, Terraform은 자원 설정을 읽을 수 있는 상태 파일을 제공합니다.그럼에도 불구하고, 시각화를 좋아하는 사람이면Terraform은 백엔드에서 의존 관계도를 관리합니다.
만약 이 기능에 익숙하지 않다면, 제가 당신과 공유할 수 있도록 해 주십시오.
의존 관계도는 무엇입니까?

dependency graph is a directed graph representing dependencies of several objects towards each other. It is possible to derive an evaluation order or the absence of an evaluation order that respects the given dependencies from the dependency graph.
wiki-Dependency_graph

지형 의존 관계도 예시