AWS Best Practice를 읽었습니다.

5358 단어 AWS

입문


AWS의 모범 사례를 읽거나 읽지 않습니다.

IAM 보안 Best Practice 발췌

  • https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html

    • 인라인 정책 대신 고객 관리 정책 사용

  • 내연 정책: IAM ID(사용자, 그룹 또는 역할)에 포함된 정책
  • 고객 관리 전략: 독립 전략,arn:aws:iam:~의 형식으로policy
    • 推奨理由
  • 재사용 가능
  • 하나의 관리 정책을 여러 주도자 엔터티(사용자, 그룹 및 역할)에 추가할 수 있습니다.
  • 중앙 집중식 변경 관리
  • 관리 정책을 변경하면 추가 정책에 적용되는 모든 주도자 엔티티가 변경됩니다.
    • 고객 관리 전략의 관리가 더욱 수월할 것 같다.
    정책을 엄격하고 세밀하게 기재하려면 내연 정책의 사용이 매우 편리하다.
    저는 개인적으로 관리 전략의 기술량이 줄어들고 이해하기 쉬워질 것이라고 생각합니다. 그래서 자주 중복되는 전략에 대해 저는 이곳을 이용합니다. 약간 변화된 전략을 추가하려면 내연 전략을 사용하는 인상을 줄 수 있습니다.🤔

    S3 모범 사례 발췌

  • https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/security-best-practices.html
  • https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/optimizing-performance.html

    • 자주 액세스하는 컨텐츠에 캐시 사용


    캐시 배포에 성공하면 지연 시간이 줄어들고 데이터 전송 속도가 빨라집니다.또한 응용 프로그램에서 캐시를 사용하면 아마존 S3에 직접 요청을 보내는 횟수도 줄어들기 때문에 요청에 필요한 비용을 줄일 수 있다.キャッシュの導入
  • Amazon CloudFront(CDN)
  • 객체에 액세스하는 사용자 근처에 데이터를 캐시할 수 있습니다.
  • Amazon ElastiCache
  • 관리형 메모리 캐시
  • 이는 몇 가지 수량 수준의 GET 지연을 줄이고 다운로드 처리량을 크게 높일 것이다.
  • ElastiCache를 사용하려면 응용 프로그램 논리를 변경하여 접근량이 많은 대상을 캐시에 저장하고 아마존 S3에 이 대상을 요청하기 전에 캐시를 확인하십시오.
  • AWS Elemental MediaStore
  • 아마존 S3의 비디오 워크플로우와 미디어 배포를 위한 캐시와 콘텐츠 배포 시스템입니다.

    • 동적 데이터베이스 모범 사례 요약

  • https://docs.aws.amazon.com/ja_jp/amazondynamodb/latest/developerguide/best-practices.html
  • https://aws.amazon.com/jp/blogs/news/make-a-new-years-resolution-follow-amazon-dynamodb-best-practices/

    • EKS 모범 사례 발췌

  • https://dev.classmethod.jp/articles/decipher-amazon-eks-best-practices-guide-for-security-part1/
  • https://aws.github.io/aws-eks-best-practices/

    • EKS 클러스터 노드를 개인 소유로 설정


    EKS 클러스터 끝은 Kubernete API 서버에 액세스할 때의 끝입니다.
    기본적으로 엔드포인트는 "공용"으로 설정되고 엔드포인트는 인터넷으로 열립니다.
    인터넷을 대상으로 하지만 IAM 인증과 Kubenetes RBAC 권한 수여로 인해 당장 보안 문제가 되지는 않습니다.

    집단에 대한 정기적인 접근 감사


    집단에 접근해야 하는 사용자는 시간에 따라 달라진다.
    "aws-auth"설정 맵을 정기적으로 감사해서 어떤 사용자가 권한을 부여받고 어떤 권한이 분배되는지 확인하십시오.

    자동 마운트 서비스 계정 영패 사용 안 함


    패키지를 만들 때 서비스 계정이 명확하게 지정되지 않으면 기본 서비스 계정이 자동으로 할당됩니다.
    특별한 사용 권한이 필요하지 않으면 다음 설정을 추가하십시오.
    방송을 만들 때 spec: 의 AutomountService AccountToken:false

    각 애플리케이션에 대한 전용 서비스 계정 사용


    서로 다른 용도와 접근할 자원을 가진 응용 프로그램은 단일 서비스 계정이 아닌 전용 서비스 계정을 사용해야 합니다.

    비루트 사용자로 응용 프로그램 실행


    기본적으로 용기는 루트 사용자로 실행되지만, 이것은 최선의 실천으로 여겨지지 않는다.
    추가spec.securityContext.runAsUser합시다.

    전자 캐시 모범 사례


    Redis

  • https://docs.aws.amazon.com/ja_jp/AmazonElastiCache/latest/red-ug/BestPractices.html

    • Memcached

  • https://docs.aws.amazon.com/ja_jp/AmazonElastiCache/latest/mem-ug/BestPractices.html

    • Cluster Auto Scaler

  • https://aws.github.io/aws-eks-best-practices/cluster-autoscaling/cluster-autoscaling/
    • pod를 만드는 데 필요한 node가 소모되면 자동으로 새로운 node를 생성하고pod를 구축합니다.
  • 올바른 설정으로 가용성 향상 및 비용 절감
  • EC2 Auto Scaling Group
  • 사전 확인
  • 인스턴스 유형은 동일한 CPU·GPU 형식이어야 합니다
  • 1000개 노드 정도
  • 수직 방향 자동 배율 조정
  • pod를 node보다 큰 것으로 이동
  • 단순히 요청 자원 증가
  • 노드 그룹을 최소화하여 대규모 집단에서의 조작 불안정을 억제한다
  • 모니터링 간격(기본값: 10초)을 줄이면 자동 배율을 신속하게 수행할 수 있지만 API 요청에 끌릴 수 있습니다.
  • 실제로 노드의 구축은 2분이나 시간이 걸리기 때문에 감시 간격을 다소 연장해도 상관없다
  • 1분
  • 필요에 따라 스폿라이트 인스턴스를 사용하면 비용을 현저히 절감할 수 있음
  • 노드의 우선 순위도 설정할 수 있음
  • 과잉 구성 옵션
  • 가용성을 높이기 위한 추가 노드 구축
  • pod가 배제되면 좋지 않은 영향을 미치므로 보호한다(데이터 분석 등)
    • CloudWatch Logs Insights 신입 훈련
    RDS에서 온라인으로 혼합된 MySQL로 복사

    좋은 웹페이지 즐겨찾기

    개발자 우수 사이트 수집

    개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
    best100-homepage