Category: Management Tools


AWS CloudTrail 서비스 전체 AWS 고객 기본 제공 시작

AWS 서비스 API 호출에 대한 정보를 기록하는 AWS CloudTrail 이 모든 AWS 고객에게 기본적으로 활성화되되고, 별도 설정 없이 지난 7 일간의 계정 활동에 대한 가시성을 제공합니다. ‘상시 가동’ 기능은 CloudTrail 이벤트 기록을 통해 계정 활동을 검색 및 다운로드하는 기능을 통해 보안성을 높일 수 있습니다.

아직 AWS CloudTrail을 이용하지 않은 분들의 경우, 이제 모든 AWS 계정에 기본적으로 적용되기 때문에 운영 문제 해결 및 검토, 표준 규정 준수, 감사 및 보안을 위한 필수 서비스를 제공하게 됩니다.

AWS CloudTrail은 AWS 계정에서 지원되는 서비스에 대한 계정 활동 및 이벤트를 수집하고, 이벤트 로그 파일을 Amazon Simple Storage Service (S3), CloudWatch Logs, CloudWatch Events로 보냅니다. CloudTrail을 사용하면 일반적으로 계정 활동 및 이벤트 로깅을 가능하게 하는 구성을 생성합니다. AWS 계정에서 발생하는 API 활동에 대한 가시성을 제공하여 운영 및 보안 문제를 신속하게 분석합니다. 또한, 멀티 리전 구성을 지원하며 CloudWatch와 통합하여 모니터링을 원하는 이벤트에 대한 트리거를 만들거나 구독 기능을 AWS Lambda 함수와 연동할 수 있습니다. CloudTrail 서비스를 이용하면 AWS 명령 줄 인터페이스 (CLI), AWS 관리 콘솔 AWS SDK를 통해 다른 AWS 서비스의 모든 API 호출을 검색 할 수 있습니다.

AWS CloudTrail의 주요 기능은 다음과 같습니다.

  • 항상 실행: 별도 설정 없이 모든 AWS 계정에서 계정 활동을 기록
  • 이벤트 내역 : 최근 AWS 계정 활동보기, 검색 및 다운로드
  • 자원 관리 수준 이벤트 : EC2 인스턴스 또는 S3 버킷의 생성, 삭제 및 수정과 같은 세부 관리 작업 가능
  • 데이터 관리 수준 이벤트 : Amazon S3 객체에 모든 API 동작을 기록하고 API 동작에 대한 정보 수신 가능
  • 로그 파일 무결성 검증 : S3 버킷에 저장된 로그 파일의 무결성 검증
  • 로그 파일 암호화 : S3 서버 측 암호화 (SSE)를 사용하여 S3 버킷에 전달되는 모든 로그 파일을 암호화 가능. (AWS 키 관리 서비스 (AWS KMS)로 로그 파일을 암호화 설정 가능)
  • 멀티 리전 설정 : 여러 리전에서 로그 파일을 전송하도록 서비스 설정

AWS CloudTrail 기능에 대한 더 자새한 것은 서비스 페이지를 참고하시기 바랍니다.

제 동료 인 랜달 헌트(Randall Hunt)는 고객의 문제를 해결할 때 CloudTrail이 반드시 필요하다고 이야기했습니다. “Enable CloudTrail” 로 인해 고객 계정에서 어떤 일이 일어났는지, 스스로 알아 볼 수 있고 세부 사항을 검토 할 수 있습니다.

앞에서 말씀 드린 대로 이제 모든 AWS 고객이 CloudTrail에 로그인하고 Event History을 검토 할 수 있습니다. 아래 보기에서 지난 7 일간의 데이터 뿐만 아니라 더 많은 정보를 볼 수도 있습니다.

물론, 사내 규정 감사를 위해 CloudTrail 로그 파일에 직접 접근하거나 로그를 보관하려는 경우에도 로그 파일을 만들 S3 버킷을 지정할 수 있습니다. Cloudtrails 서비스로 CloudWatch Logs 및 CloudWatch Events에 이벤트를 전달할 수 있습니다.

CloudTrail 콘솔에 로그인 한 후 Create a trail 버튼을 클릭하기 만하면됩니다.

그런 다음 Trail name 텍스트 상자에 이름을 입력하고 모든 리전 혹은 현재 리전에만 적용하는 옵션에 대한 라디오 버튼을 선택합니다. 아래 화면에서는 TEW-USEast-Region-Trail라는 이름을 정하고 Apply trail to all regions 라디오 버튼에서 No를 선택합니다. 즉, 현재 리전인 미국-동부 (버지니아 북동부) 이벤트만 추적합니다. (참고 : 글로벌 리전을 사용하는 경우, AWS 계정과 관련된 모든 이벤트를 캡처하려면 전체 리전에 대해 추적하는게 좋습니다.)


Management events에서 CloudTrail이 추적하도록 하려는 작업에 대한 Read/Write events 라디오 단추 옵션을 선택합니다. 이 경우 All 옵션을 선택합니다.

다음 단계는 S3 객체 변경 작업을 추적하고자 하는 버킷을 선택합니다. 이것은 선택적 단계이지만, 기본적으로 AWS Cloudtrail은 데이터 이벤트를 기록하지 않습니다. 따라서, S3 객체 이벤트 활동을 추적하려는 경우, 데이터 이벤트 섹션에서 지정한 버킷의 오브젝트에 대한 데이터 이벤트를 추적하도록 추적을 구성 할 수 있습니다. aws-blog-tew-posts S3 버킷을 선택하고 기본 옵션을 유지하여 all Read/Write을 추적할 수 있습니다.

마지막 단계는  Storage Location 섹션에서 CloudTrail 로그를 저장할 S3 버킷을 선택하는 것입니다. CloudTrail을 대신하여 새 버킷을 만들거나, 계정에서 기존 버킷을 선택할 수 있습니다. CloudTrail에서 새 버킷을 만들어서 텍스트 상자에 고유 한 버킷 이름 인 tew-cloudtrail-logbucket을 입력하도록 선택합니다. 로그를 쉽게 찾을 수 있도록 저장소 위치의 고급 섹션을 확장하고 접두어를 추가합니다. 이 기능은 버킷에 저장된 로그에 검색 기준을 추가하려는 경우에 가장 유용합니다.  접두어로 tew-2017를 설정하고, Encrypt log files, Enable log file validationSend SNS notification for every log file delivery 등  Advanced 옵션에 대한 기본 값을 유지합니다.

이제 설정을 마치고, Create 버튼을 클릭하면  CloudTrail의 트레일을 성공적으로 만들었습니다.

지금 시작하기

AWS CloudTrail 에 대한 자세한 내용은 서비스 제품 페이지, CloudTrail 설명서 또는 AWS CloudTrail FAQ를 참조하십시오.  이제 모든 AWS 고객을위한 CloudTrail 기본 제공을 잘 활용하여 얻을 수 있는 모든 장점을 즐기십시오!

Tara

이 글은 New – Amazon Web Services Extends CloudTrail to All AWS Customers의 한국어 번역입니다.

AWS Config 업데이트 – S3 버킷 보안을 위한 두 가지 관리 규칙 추가

AWS Config는 AWS  자원 상태와 그 사이 관계를 계속 모니터링 하는 서비스입니다. 각 서비스 자원을 선택한 다음, 자원에 영향을 주는 구성 변경 타임 라인을 볼 수 있습니다 (자세한 내용은 AWS Config와 AWS 자원 관계 추적을 참조하십시오).

AWS Config rules은 AWS Config의 “관리형” 컬렉션과 사용자가 직접 작성한 사용자 정의 규칙을 지원하는 강력한 규칙 시스템으로 확장합니다 (AWS Config Rules – 클라우드 리소스에 대한 동적 컴플라이언스 검사 등 참조). ). Config Rules (AWS Lambda 함수)은 AWS 자원의 이상적인 상태를 나타냅니다. 함수는 구성 변경이 감지 될 때, 호출되며 표준 규정 준수 여부를 확인합니다.

약 30 개의 관리 규칙에 접근할 수 있으며, 예를 들어 EC2 인스턴스 및 관련 리소스를 확인하는 몇 가지 규칙은 다음과 같습니다.

두 가지 신규 규칙
오늘은 S3 버킷 보안을 유지하는 데 도움이되는 두 개의 새로운 관리 규칙을 추가하고 있습니다. 클릭 한 번으로 이러한 규칙을 활성화 할 수 있습니다. 새로운 규칙은 다음과 같습니다.

s3-bucket-public-write-prohibited – 전역 쓰기 접근을 허용하는 버킷을 자동으로 식별합니다. 이 구성을 의도적으로 만들지 않는 이유는 권한이 없는 사용자가 악성 콘텐트를 버킷에 추가하고 기존 콘텐트를 삭제 (덮어 쓰기) 할 수 있습니다.  이 규칙은 계정의 모든 버킷을 검사합니다.

s3-bucket-public-read-prohibited – 전역 읽기 접근 허용하는 버킷을 자동으로 식별합니다. 그러면, 웹 사이트 및 문서를 포함하여 공개적으로 사용할 수 있는 콘텐츠의 플래그가 지정됩니다. 이 규칙은 계정의 모든 버킷을 검사합니다.

기존 규칙과 마찬가지로 새 규칙은 일정에 따라 또는 Config가 감지 한 변경 사항에 따라 실행될 수 있습니다. 모든 규칙의 준수 상태를 한 눈에 볼 수 있습니다.

각 규정 준수 평가는 밀리 세컨드 단위로 실행됩니다. 100 개의 버킷으로 계정을 검색하는 데 1 분도 안 걸립니다. 대부분의 경우, NP 완료 문제를 다항식 시간에 처리 할 수 있는 최첨단 제약 해결 기법을 사용하는 추론 엔진에 의해 규칙이 평가됩니다 (NP 대 P 문제 참조). 이 작업은 AWS 내부의 개발 부분 중 하나로서 아래의 re:Invent  Automated Formal Reasoning About AWS Systems 발표 자료를 참고하시기 바랍니다.

정식 출시
새로운 규칙은 현재 사용할 수 있으며 오늘부터 사용할 수 있습니다. 다른 규칙과 마찬가지로 한 달에 규칙 당 2 달러로 책정됩니다.

Jeff;

이 글은 AWS Config Update – New Managed Rules to Secure S3 Buckets의 한국어 번역입니다.

AWS 청구서 단순화 – CloudWatch 비용 통합

오는 7 월에 AWS 청구서에는 Amazon CloudWatch가 청구하는 방식 변경을 포함합니다. CloudWatch 팀은 청구서를 더 간단하고 이해하기 쉽게 만들기 위해 이러한 변경 작업을 수행했습니다.

요금 항목 통합
과거 CloudWatch 사용료는 청구서의 두 부분으로 나누어 져있었습니다. CloudWatch Alarms, CloudWatch Metrics 및 CloudWatch API에 대한 청구는 Elastic Compute Cloud (EC2) 세부 정보 섹션에 포함되고, CloudWatch Logs 및 CloudWatch Dashboards에 대한 청구는 CloudWatch 세부 정보 섹션에 보고됩니다 :


청구서의 두 부분에 걸쳐 요금을 분할할 경우, 전체 모니터링 비용을 찾아 이해하기가 어렵다는 고객 의견을 받았습니다. 이 문제를 해결하기 위해 이전에 EC2 (Elastic Compute Cloud) 세부 정보 섹션에 나와 있던 요금을 CloudWatch 세부 정보 섹션으로 이동합니다. 세부 청구서 보고서를 수정하고 AmazonEC2 서비스 코드에서 Amazon CloudWatch 서비스 코드로 옮기고 Amazon CloudWatch 서비스 이름으로 변경합니다. 이 변경 사항은 전체 청구서에 영향을 미치지 않습니다. 하나의 섹션에서 CloudWatch 사용에 대한 모든 청구를 통합합니다.

청구 비용 측정 항목
예상 요금이라는 CloudWatch 결제 측정 항목은 총 예상 요금 또는 서비스 별 분류로 볼 수 있습니다.

총계는 변하지 않을 것입니다. 그러나 앞서 언급했듯이 이전에는 AmazonEC2에 ServiceName 차원으로 있던 요금에는 AmazonCloudWatch로 설정되어 있습니다.

결과적으로 결제 경고의 임계 값을 조정해야 할 수도 있습니다.

다시 말씀 드리지만, 여러분의 AWS 청구서는 변경되지 않습니다. 2017 년 7 월에 AWS 청구서에 CloudWatch의 통합 요금이 표시되기 시작합니다.

Jeff;

이 글은 AWS Bill Simplification – Consolidated CloudWatch Charges의 한국어 번역입니다.

EC2 Run Command와 CloudWatch Events 함께 사용해 보기

오늘은 EC2 Run Command (대규모 원격 인스턴스 관리 )와 CloudWatch Events (AWS 자원 변경에 대한 실시간 추적 기능) 기능을 함께 사용하는 방법에 대해 알아보겠습니다.

  • EC2 Run CommandEC2 Systems Manager의 일부입니다. EC2 인스턴스 및 기존 사내 서버를 함께 안정적으로 대량 통제 및 선택적으로 운용할 수 있습니다. Windows 및 Linux에서 스크립트 실행, 소프트웨어 설치, 통계 및 로그 파일 수집 및 패치 등의 관리 작업을 수행 할 수 있습니다.
  • CloudWatch Events를 사용하면 거의 실시간으로 AWS 자원의 변경 사항을 추적 할 수 있습니다. AWS Lambda 함수, Amazon Kinesis 스트림, Amazon SNS 토픽, 내부 EC2 인스턴스 및 EBS를 포함하여 원하는 곳으로 변경 내역을 쉽게 보낼 수 있는 이벤트 스트림을 만들 수 있습니다.

함께 사용해 보기
두 가지 서비스를 함께 동작할 수 있는 아이디어를 생각해 보겠습니다. EC2 Run Command를 사용하여 EC2 인스턴스 또는 사내 서버에서 작업을 수행하는 CloudWatch 이벤트 규칙을 만들 수 있고, 다음과 같은 활용 사례가 있습니다.

  • 최종 로그 수집 – 종료될 인스턴스에서 애플리케이션이나 시스템 로그를 수집합니다 (수동 또는 오토 스케일링을 통해 생성된 인스턴스를 종료하게 될때)
  • 오류 로그 상태 수집 – 애플리케이션 충돌 또는 보안 문제 발생 후 로그를 수집합니다.
  • 인스턴스 설정 – 인스턴스가 시작된 후, 애플리케이션을 다운로드 및 설치한 뒤에 파라미터 및 시스템 구성을 설정하고 프로세스를 시작할 수 있습니다.
  • 구성 업데이트 – S3에서 구성 파일을 변경하면, 적용 가능한 인스턴스 (태그 설정)에 설치할 수 있습니다. 예를 들어,  특정 태깅을 한 인스턴스 그룹에 Apache 웹 서버 구성 파일을 업데이트 하여 설치 한 후, 웹 서버를 다시 시작하여 변경 사항을 적용 할 수 있습니다. 또는 AWS IP 주소 범위가 업데이트 될 때마다 인스턴스 방화벽을 업데이트 하는 것도 가능합니다.
  • EBS 스냅샷 테스트 및 오류 확인 – 새로운 스냅샷을 만든 후 테스트 인스턴스에 마운트하고, 파일 시스템에서 오류를 확인할 수 있습니다.
  • 인스턴스 부하 조정 – 인스턴스가 시작되거나 종료 될 때마다 내부 추적 정보를 업데이트하거나 작업 부하의 균형을 조정할 수 있도록 다른 사람에게 알릴 수 있습니다.

직접 해보기
오토 스케일링을 통해 새로운 인스턴스를 오토 스케일링 그룹에 추가 할 때마다 특정 PowerShell 스크립트를 실행하는 기능을 만들어 보겠습니다.

먼저 CloudWatch 이벤트 콘솔을 열고 Create rule를 클릭합니다.

내 이벤트 소스를 자동 자동 확장 그룹 (AS-Main-1)으로 구성하고 EC2 인스턴스가 성공적으로 시작될 때, 기능을 수행하겠다고 표시합니다.

이제 타겟을 설정합니다. SSM 실행 명령을 선택하고 AWS-RunShellScript 문서를 선택한 다음, 자동 확장 그룹에서 태그가 지정된 인스턴스에서 명령을 실행하도록 지정합니다.

그런 다음 Configure details을 클릭하고 내 규칙에 이름과 설명을 입력 한 다음 Create rule를 클릭합니다.

모든 것이 설정되면 스케일 아웃 작업의 결과로 시작된 각 인스턴스에서 명령 service httpd start이 실행됩니다.

정식 출시
본 새로운 기능은 현재 사용할 수 있으며 지금 바로 사용할 수 있습니다.

Jeff;

이 글은 EC2 Run Command is Now a CloudWatch Events Target의 한국어 번역입니다.

AWS Config Rules, 서울 리전 출시!

AWS Config Rules 를 Asia Pacific(Seoul) 리전에 출시하였습니다. AWS Config는 AWS 리소스 인벤토리, 구성 기록, 구성 변경 알림을 제공하여 보안 및 거버넌스를 실현하는 완벽한 관리형 서비스입니다.

2016-12-22-aws-config-rules-seoul

AWS Config Rules는 원하는 리소스 구성을 나타내며, AWS Config에서 기록한 관련 리소스의 구성 변경과 비교하여 평가됩니다. 각 규칙을 리소스의 구성과 비교하여 평가한 결과는 대시보드에서 확인할 수 있습니다. Config Rules를 사용하면 전반적인 규칙 준수 및 위험 상태를 구성 측면에서 평가하고, 시간에 따른 규칙 준수 추세를 확인하여 리소스의 규칙 미준수를 초래한 구성 변경이 무엇인지 정확히 찾아낼 수 있습니다.

샘플 규칙(Rule) 만들어 보기
여기서는 DBSuperUserPolicy.라는 이름의 IAM 정책을 검사하는 규칙을 만들어 보겠습니다. 우선 이 정책은 DBSuperUser라는 하나의 사용자만 가지고 있으며, 여기에 부합하면 표준 규정에 맞는 것이고 그렇지 않으면 위배되는 것입니다.

먼저 Lambda 콘솔에서 샘플 Lambda 함수를 만듭니다. Create a Lambda function을 누르고 검색창에 ‘config’라고 치면, 몇 가지 샘플 예제가 나옵니다.

IAM 정책이 변경될 때 마다 실행하기 위해서  config-rule-change-triggered를 선택하고, 함수명과 간단한 설명을 추가합니다.

샘플 코드에는 evaluateCompliance라는 함수가 포함되어 있는데, Config Rules의 변화를 감지하여 아래와 같은 값을 반환 해 줍니다.

  • NOT_APPLICABLE – 규칙이 주어진 자원이나 자원 형태에 적용되지 않았을 때
  • COMPLIANT – 표준 규정에 따라 자원이 적절하게 적용되었을 때
  • NON_COMPLIANT – 규칙에 따라 자원 배분은 되었으나, 표준 규정에 따르지는 않았을 때

기본 함수 구현을 아래와 같이 조금 변경합니다.

JavaScript
function evaluateCompliance(configurationItem, ruleParameters, context)
{
  if ((configurationItem.resourceType !== 'AWS::IAM::Policy') || 
      (configurationItem.resourceName !== 'DBSuperUserPolicy'))
    return 'NOT_APPLICABLE';
  if (configurationItem.relationships[0].resourceName === ruleParameters.attachedIAMUser)
  {
    if (configurationItem.relationships[1])
      return 'NON_COMPLIANT';
    else
      return 'COMPLIANT';
  }
  else
    return 'NON_COMPLIANT';
}

위의 함수를 통해 IAM 정책의 적용 여부를 파악 할 수 있습니다.

  • 3-4행에서는 DBSuperUserPolicy라는  IAM 정책을 변경 사항을 받아서, 규칙에 맞지 않으면 5행에서 NOT_APPLICABLE를 반환합니다.
  • 6행에서는 IAM 사용자가 정책에 추가되어있는지 확인하고, 규칙에 맞지 않으면 14행에서 NOT_APPLICABLE를 반환합니다.
  • 8행에서 정책에 추가된 사용자가 한 명 이상인지 확인하고, 규칙에 맞지 않으면 9행에서 NOT_APPLICABLE를 반환합니다.
  • 11행에서 정확히 하나의 IAM 사용자가 추가되어 있고, 규정에 맞으면 COMPLIANT를 반환합니다.

위의 간단한 15줄의 함수로 AWS 자원 전체에 대한 정책이 잘 적용되었는지 여부를 판단할 수 있습니다. 이제 이 함수에서 AWS Config로 결과를 보내기 위해 IAM 역할을 생성합니다.

람다 함수가 다른 AWS 자원이나 API에 접근을 원한다면, 정책 문서를 자세히 읽어보고 관련 권한을 추가하면 됩니다.

이 기능을 사용하면, 필요에 따라 구성 규칙을 호출 해야합니다. 구성 규칙 콘솔을 방문하여 Add Rule를 선택하세요.

이 시점에서 7 가지 AWS 관리 규칙 중 하나를 선택하거나 Add custom rule를 클릭 할 수 있습니다.

이제는 규칙 이름을 지정하고 람다 함수 (ARN을 통해)가 가리키는 IAM 정책 구성이 변경 될 때 실행되도록 지정합니다.

각 규칙은 몇 분 내에 평가됩니다. Lambda 콘솔의 함수 Monitoring 탭을 들여다 보면 함수가 호출되었는지 확인할 수 있습니다.

이러한 통계치를 살펴보면 함수가 7 번 (각 고객 관리 IAM 정책 수를 가짐), 각 호출이 1 초 미만 지속되며 호출이 오류를 발생시키지 않았다는 것을 알 수 있습니다.

샘플 규칙 실행 해 보기
이제 람다 함수가 실행 중이고 Config Rule에 연결되어 있으면, 다음 단계는 예상대로 수행되는지 확인하는 것입니다. DBSuperUserUsagePolicy라는 IAM 정책을 만들고 사용자 jeff를 첨부합니다. ( 규칙을 준수하지 않고 다음과 같이 표시해야 합니다).

규칙 실행을 잠시 허용 한 후, 구성 규칙 콘솔로 돌아가서 문제점이 있음을 알 수 있습니다.

더 자세한 정보를 얻을 수 있습니다.

만약 변경을 기억하지 못했거나 누가 그 일을했는지 모르는 경우, Config 타임 라인을 클릭하여 자세히 알아볼 수 있습니다.

아래와 같이 조사를 한 후 DBSuperUser를 사용하고 이에 따라 정책을 업데이트해야 한다는 것을 알 수 있습니다.

몇 분 정도 기다렸다가 규칙 세부 정보를 다시 확인합니다.

이제 변경 사항이 타임 라인에 반영되었습니다 (실제 약간의 시간이 소요됩니다.)

마지막으로, IAM 정책을 업데이트 한 후 Lambda 함수가 호출되었음을 알 수 있습니다.

CloudFormation 지원
이제 CloudFormation 템플릿을 사용하여 구성 규칙과 람다 함수를 만들 수 있습니다.  아래는 VolumeAutoEnableIOComplianceCheck: 라는 함수를 참조하는 규칙을 만드는 방법입니다.

JavaScript
"ConfigRuleForVolumeAutoEnableIO": {
      "Type": "AWS::Config::ConfigRule",
      "Properties": {
        "ConfigRuleName": "ConfigRuleForVolumeAutoEnableIO",
        "Scope": {
          "ComplianceResourceId": {"Ref": "Ec2Volume"},
          "ComplianceResourceTypes": ["AWS::EC2::Volume"]
        },
        "Source": {
          "Owner": "CUSTOM_LAMBDA",
          "SourceDetails": [{
              "EventSource": "aws.config",
              "MessageType": "ConfigurationItemChangeNotification"
          }],
          "SourceIdentifier": {"Fn::GetAtt": ["VolumeAutoEnableIOComplianceCheck", "Arn"]}
        }
      },
      "DependsOn": "ConfigPermissionToCallLambda"
    },

정식 출시 및 가격
Config Rules은 서울 리전에서 사용 가능하며, 더 자세한 요금은 Config Rules 요금 페이지 페이지를 참고하시기 바랍니다. AWS 보안 서비스에 대한 더 자세한 사항은 아래의 세미나 자료를 확인하세요!

– AWS 코리아 마케팅팀;

 

AWS 가격 인하 – CloudWatch Metrics

2011년 CloudWatch 맞춤형 통계 기능을 공개하여 여러분의 애플리케이션과 스크립트를 통해 데이터를 원하는 데이터를 모을 수 있게 되었습니다. 첫 10개까지는 무료로 제공하고, 하나 추가하는 경우 데이터양과 상관 없이 월 0.5 달러의 요금 체계를 가지고 있습니다.

오늘 CloudWatch 맞춤형 통계 기능의 가격을 인하합니다. 사용중인 통계 개수를 기반해서 보실 때 기본 40%에서 최대 96%의 비용 절감 효과가 나올 것으로 생각합니다. (아래는 버지니아 리전의 요금표입니다. 10개까지는 계속 무료입니다.)

Tier 시작 월별 비용
가격 인하율
첫 10,000개 까지 0 10,000 $0.30 40%
240,000개 까지 10,001 250,000 $0.10 80%
750,000 개까지 250,001 1,000,000 $0.05 90%
그 이후 1,000,001 $0.02 96%

EC2 상세 모니터링의 경우, 인스턴스 당 월간 $3.50에서 $2.10 으로 인하합니다. 새로운 가격은 2016년 12월 1일 부터 유효하게 되며, 자세한 사항 CloudWatch 요금표 에 게재될 예정입니다.

CloudWatch 맞춤 통계 기능을 사용 하신다면, 통계 보유 기간 확대 및 사용자 인터페이스 개선, the CloudWatch collectd 플러그인, 맞춤형 통계 보기 기능 제공, 신규 로그 통합 기능 등을 활용해 보시기 바랍니다.

– Jeff;

이 글은 AWS Price Reduction – CloudWatch Metrics의 한국어 번역입니다.

Amazon CloudWatch 업데이트 – 백분율 통계 및 신규 대시보드 위젯 추가

최근에 Amazon CloudWatch에 많은 기능을 추가하고 있습니다. 로그 통합 기능, 통계 보유 기간 확대 및 사용자 인터페이스 개선 등이 있었습니다. 오늘은 백분율 기반의 통계 및 신규 대시보드 위젯 기능 추가에 대해 소개해드리고자 합니다.

백분율 기반 통계

대규모 웹 사이트 또는 클라우드 애플리케이션을 실행할 때, 대부분 고객에게 기대 수준의 성능을 제공해야 합니다. 통계 수치의 평균을 보는 것도 좋지만 전체 상황을 이해할 수 없을 수도 있습니다. 평균치는 일부 성능의 이상값을 감추게 되는데, 예를 들어 1% 고객의 안 좋은 경험을 알아낼 수 없을 수도 있습니다

백분율 통계는 고객 경험을 적절히 전달하는 방식으로 성능 및 동작을 이해하고 시각화 할 수 있는 유용한 도구입니다. 예를 들어, 백분위를 사용하면 웹 사이트에 대한 요청 중 99%가 1 초 이내에 처리되고 있음을 알 수 있습니다. 아마존에서 백분위 수를 광범위하게 사용하고 있습니다. 예를 들어, 우리는 “P”값으로 목표치를 표현하고, P90, P99의 관점에서 성능을 관찰하고, 사이트 및 서비스에 대한 P100 (최악의 경우) 응답 시간을 개선해 왔습니다. 수년에 걸쳐, 롱 테일 상 (P99)에서 오는 수치에서 데이터베이스 및 기타 문제점을 찾아낼 수 있었습니다

Amazon EC2, RDS 및 Kinesis 뿐만 아니라 새로 생성 된 Elastic Load Balancer 및 Application Load Balancer에 대한 백분율 통계를 지원합니다. 맞춤 측정 항목에도 사용할 수 있습니다. 이제 CloudWatch (사용자 정의 대시 보드 포함)에서 백분율 통계를 표시하고 알람을 설정할 수도 있습니다.

백분위 수를 다른 메트릭과 함께 표시 할 수 있습니다. 예를 들어, 아래 황색과 녹색 선은 P90과 P95의 CPU 사용률을 나타냅니다.

CloudWatch 콘솔에서 원하는 백분율 통계를 설정할 수 있습니다.

CloudWatch에서 백분위 통계에 대한 지원은 응용 프로그램의 성능에 추가 가시성을 확보하기 위한 것으로 새로운 백분위 통계를 사용하는 방법에 대한 자세한 내용은 Elastic Load Balancing: Support for CloudWatch Percentile Metrics를 참고하세요.

신규 대시보드 위젯
신규 Stacked Area 및 Number 위젯을 CloudWatch 사용자 정의 대시 보드에 추가 할 수 있습니다.

네트워크 트래픽이 있는 누적 영역 위젯은 다음과 같습니다.

다음은 EC2 및 EBS 측정 항목이 포함 된 Number 위젯입니다.

정식 출시
이들 신규 기능은 이제 모든 AWS 지역에서 오늘부터 사용할 수 있습니다!

Jeff;

이 글은 Amazon CloudWatch Update – Percentile Statistics and New Dashboard Widgets의 한국어 번역입니다.

EBS 스냅샷을 위한 신규 CloudWatch Events: 백업 자동화 구현하기

클라우드 컴퓨팅을 통해 부족한 지식으로 만들어진 기존 IT 운영 매뉴얼(runbook)을 자동화함으로서 운영 방식을 개선할 수 있습니다. 이러한 작업 중 상당수는 백업 및 복구 작업이며, 특히 소규모 조직에서는 큰 부담이 되고 있습니다.

많은 AWS 고객들이 Amazon Elastic Block Store (EBS) 볼륨을 사용하면서, 스냅샷 백업 생성 및 관리를 하고 있습니다. 이들 스냅샷을 리전간 복제를 하여 운영 혹은 재난 복구에 대비하고 있습니다.

오늘 부터 EBS 스냅샷에 CloudWatch Events를 추가하여 EBS 자동화 작업에 도움이 되고자합니다. 향후 클라우드 기반 백업 작업을 진행할 때 사용할 수 있는 새로운 이벤트는 다음과 같습니다.

  • createSnapshot – 새로운 EBS 스냅샷 생성이 Complete 됐을 때
  • copySnapshot – 새로운 EBS 스냅샷 복제가 Complete 됐을 때
  • shareSnapshot – EBS 스냅샷이 계정에 공유되었을 때

AWS 고객들은 DescribeSnapshots 함수를 호출하여 지속적으로 스냅샷을 모니터링을 하고, 나오는 결과 중 특정 스냅샷을 골라서 표시만 해주지만 앞으로 신규 이벤트를 통해 리전 간 복제 같은 기능을 자동으로 수행할 수 있게 됩니다.

스냅샷 이벤트 활용하기
데이터 백업 과정을 좀 더 쉽게 이해하기 위해, 다른 리전에 스냅샷을 복제하는 기능을 만들어 보겠습니다. 먼저 적절한 IAM 정책을 정해 권한을 설정하고, AWS Lambda 함수를 통해 createSnapshot 이벤트가 생성될 때 실행해 보겠습니다.

먼저 IAM 역할 (CopySnapshotToRegion)을  만듭니다.

Lambda 함수를 생성 합니다.  (코드 샘플은 Amazon CloudWatch Events for EBS  문서에서 찾을 수 있습니다.)

CloudWatch Events 콘솔에 가서 Create rule을 누르고, createSnapshot 이벤트를 선택합니다.  (타겟은 생성한 람다 함수입니다.)

두번째로 규칙 이름을  설정합니다.

테스트를 위해 자신의 리전에서 스냅샷을 만들어 보겠습니다.

스냅샷이 완성되면,  람다 함수를 실행하여 스냅샷을 해당 리전에 몇 초 안에(볼륨 크가에 따라 복사 시간의 차이가 있을 수 있음)  복사된 것을 볼 수 있습니다.

신규 이벤트를 활용하여,  회사 혹은 다른 동료 AWS 계정으로도 공유할 수 있습니다.  많은 고객들이 부서별,  프로젝트별로  별도 계정을 사용하고 있습니다. 좀 더 자세한 사항은 AWS 멀티 계정 보안 전략을 살펴 보시기 바랍니다.

아래 그림은 주요 AWS 계정 운영 전략을 보여 주고 있습니다.

정식 출시
본 기능은 US East (Northern Virginia), US East (Ohio), US West (Northern California), US West (Oregon), Asia Pacific (Mumbai), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), Asia Pacific (Tokyo), EU (Frankfurt), EU (Ireland), South America (São Paulo) 리전에서 오늘 부터 사용 가능합니다.

Jeff

이 글은 New – CloudWatch Events for EBS Snapshots의 한국어 번역입니다.

CloudWatch 업데이트 – 로그 통합 기능

몇  년전 Amazon CloudWatch OS 및 애플리케이션 로그 파일 모니터링 및 저장 기능을 추가하여,  많은 AWS 고객이 이를 활용하여 다양한 방식으로 로그를 이용하고 있습니다.  예를 들어,  웹 서버의 로그 파일 중 404  에러가 나는 경우나 504  에러 등을 통해 서버의 상태를 파악할 수 있습니다.

각종 로그 파일에 대한 모니터링 및 알람을 받는 것도,  수백 혹은 수천  대의 인스턴스라면 통계적으로 살피기가 어렵습니다.  그래서,  CloudWatch의 새로운 옵션으로서 로그 통합을 통한 시각화 방법을 제공합니다.

아래는 오후 5시 부근의 ERROR를 보여주는 통합 로그 그래프입니다.

좀 더 자세히 시간을 줄여서 드래그를 해보면,

그런 다음,  각 로그 아이콘을 클릭해서 관심 있는 (ERROR) 로그 파일을 선택합니다.

CloudWatch는 두번째 탭을 열어서 원하는 로그  파일을 시간 순에 따라 볼 수 있습니다.  각각의 에러 로그 또한 더 자세히 볼 수 있습니다.

이 기능은 로그 파일을 게시하는 데 사용되는 필터를 사용하는 상황에 적합합니다. 그러나 특정 로그 파일과 관련되지 않은 몇 가지 하위 시스템 측정 지표를 살펴보면 어떨까요? 위의 단계를 수행할 수 있지만, 이 시점에서 View를 선택합니다.

그래프의 시간 범위에 대해 필터링 된 모든 CloudWatch 로그 그룹을 볼 수 있습니다.

이 시점에서 아키텍처에 대한 지식을 활용하여 의사 결정을 내릴 수 있고, LogGroup을 선택할 수 있도록 도와 줄 수 있습니다. 다시 말하자면, 로그 그룹의 이벤트는 관심 있는 사람들만 볼 수 있도록 필터링할 수 있습니다. 차트가 Lambda 네임 스페이스에 있는 측정 지표에 포함되어 있는 경우, 필터가 적용되지 않더라도 로그 그룹에 링크가 표시됩니다.

이 새로운 기능은 오늘 부터 제공하여, 지금 바로 사용하실 수 있습니다!

Jeff;

이 글은 CloudWatch Update – Jump From Metrics to Associated Logs의 한국어 번역입니다.

Amazon CloudWatch 업데이트– 통계 보유 기간 확대 및 사용자 인터페이스 개선

Amazon CloudWatch는 AWS 자원 및 구동하는 애플리케이션에 대한 모니터링 서비스입니다. 각종 통계치, 로그 파일을 수집해서 알림을 만들거나 AWS 자원의 변화에 대응할 수 있습니다. 오늘 두 가지 중요한 기능을 새롭게 출시합니다.

  • 통계 보유 기간 확대 – CloudWatch 통계치는 15개월까지 보관
  • 쉬운 통계 선택 기능 – CloudWatch 콘솔에서 관심 통계 선택 방식을 쉽게 변경
  • 향상된 통계 그래프 기능 – 선택한 통계에 대한 다양한 그래프 생성 기능

하나씩 살펴 보도록 합시다!

통계 보유 기간 확대
2009년에 처음 Amazon CloudWatch를 출시(New Features for Amazon EC2: Elastic Load Balancing, Auto Scaling, and Amazon CloudWatch) 했을 때, 시스템 통계 데이터는 14일간만 저장되었습니다. 그 이후로 사용자 정의 통계 데이터 확대 후에도 같은 기간이 제공되었습니다. 많은 고객들이 계절별 요인, 월간 통계치 및 연간 분석 등을 위해 더 오랜 기간 로그 통계를 보유할 수 있도록 요청하였습니다.

이에 부응하기 위해 앞으로 모든 통계치는 추가 비용 없이 15개월간 보관합니다. 데이터를 합리적으로 보관 및 사용하기 위해 아래와 같은 세부적인 기준을 따릅니다.

  • 1분 단위 데이터 기록은 15일간 사용 가능
  • 5분 단위 데이터 기록은 63일간 사용 가능
  • 1시간 단위 데이터 기록은 455일(15개월)간 사용 가능

본 신규 기능의 가치를 이해하기 위해서는 바로 지금 콘솔에서 이전 3개월치 데이터를 보실 수 있습니다. 앞으로 12개월동안 이 데이터는 누적해서 볼 수 있습니다.

통계 보유 기간이 늘어나면 AWS Lambda 함수의 최근 2주간의 호출 내용과 문제가 있었는지 여부를 확인하는데 큰 도움이 될 것 입니다.

쉬운 통계 선택 기능
원하는 통계치를 빠르게 살펴보거나 그래프로 생성하기 위해, 콘솔에서 좀 더 간편하고 빠른 카드 스타일의 보기 옵션을 제공합니다.

카드 보기에서 살펴보려는 통계치를 검색할 수 있습니다. 아래는 이름에 “CPU”가 있는 것들입니다.

좀 더 자세하게 보면서,  그래프까지 생성하기 위해   모든  EC2 인스턴스의 CPU Utilization 통계치를 선택합니다.

같은 그래프로 여러  가지 통계를 삽입할 수도 있습니다.

향상된 통계 그래프 기능
앞으로 15개월간 저장하는 데이터를 좀 더 쉽게 선택했으면,  그  다음 단계로 이해하기 쉽도록 만드는 방법이 필요합니다.  새로운 탭인  Graphed metricsGraph options는 이를 위한 신규 기능입니다.

각 통계 수치에 대해 자세한 사항을 볼 수 있습니다.

Actions 컬럼을 누르면,  알림을 만들 수 있고,  통계 데이터 복사 및 그래프 삭제 등의 기능이 가능합니다.

변경하고자 하는 값은 Statistic 컬럼에서  선택할  수  있습니다.

통계 복사 기능을 통해 서로 비교도 가능합니다.  예를 들어,  최대 혹은 평균 CPU Utilization을 살펴 볼 수 있습니다.  (Period를 6시간으로 변경했습니다.)

이제 Graph options 탭의 Y 축을 살펴 보면,  동시에 7개의 EC2 통계치를 그래프로 만들 수 있습니다.  값의 구간을 조정을 계속함으로서 의미 있는 값들을 찾아 낼 수 있습니다.

클릭을 하면,  통계치에  대한 그래프 이름도 정할 수 있습니다.
왼쪽 및 오른쪽 Y  축에 대한 값도 설정 가능합니다.

시간 구간 별 통계치를 보기 위한 달력 표시기도 개선이 되었습니다.  날짜 선택 구간을 선택하여,  다양한 정보들을 만들어 낼 수 있습니다.

몇 가지 관련 내용을 설정합니다.

그래프 이름을 클릭해서,  필요한 그래프 이름 수정을 할 수 있습니다.

통계 그래프 부분에 보완을 한 다음,  기존 대시보드에 추가하거나 새로 만들 수 있습니다.

아래  그임은 새로운 그래프를 만드는 몇 가지 사례를 포함하고 있습니다.

정식 출시
통계 수치 관련 기능 및  사용자 경험 향상을 위해 US East (Northern Virginia), US West (Oregon), US West (Northern California), EU (Ireland), EU (Frankfurt), South America (Brazil), Asia Pacific (Singapore), Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Mumbai), Asia Pacific (Sydney) 리전에서오늘부터  사용 가능합니다.

다시 한번 강조하지만,  여기에 추가 비용은 없습니다.

Jeff;

이 글은 Amazon CloudWatch Update – Extended Metrics Retention & User Interface Update의 한국어 번역입니다.