Amazon Web Services 한국 블로그

보안 그룹 규칙(Security Group Rules)에 대한 설명 기능 추가

Amazon EC2의 초창기에 출시 된 기능 중 얼마나 많은 것이 여전히 존재하는지 살펴 보면, AMI, 가용 영역, 키 쌍, 보안 그룹 및 보안 그룹 규칙은 초기에 출시되어 많은 고객이 활용해 왔습니다. 특히, 보안 그룹 및 보안 그룹 규칙을 사용하여 인스턴스로 들어오고 나가는 트래픽을 세부적으로 제어 할 수있는 권한을 부여했습니다.

각 그룹에는 관련 설명(“운영 중 웹 서버용”, “개발 테스트용” 등)은 있지만, 개별 규칙은 없습니다. 대규모 AWS 고객 중 일부는 각 규칙의 의도를 파악하기 위해 외부 추적 시스템을 만들었지만, 오류가 날 수도 있습니다.

보안 그룹 규칙에 대한 설명
많은 고객들의 요청에 따라, 이제 각 보안 그룹 규칙에 설명 텍스트를 추가 할 수 있습니다! 이렇게하면 원하는 작업이 단순 해지고 개발자의 휴먼 오류가 발생할 가능성이 줄어 듭니다. 각 설명은 최대 255 자까지 (영문으로) 가능하며 AWS 관리 콘솔, AWS 명령 행 인터페이스 (CLI) 및 AWS API에서 직접 설정할 수도 있습니다. 새 규칙을 만들 때 설명을 입력하거나 기존 규칙에 대한 설명을 편집 할 수 있습니다.

새 보안 그룹을 만들 때 설명을 입력하는 방법은 다음과 같습니다 (물론, 임의의 IP 주소에서 SSH 접근을 허용하는 것은 좋지 않습니다).

보안 그룹을 선택하고 모든 설명을 검토 할 수 있습니다.

Edit 버튼을 클릭하여 규칙과 설명을 수정할 수도 있습니다.

CLI에서는 신규 설명 추가를 위해 authorize-security-group-ingress, authorize-security-group-egress 명령과, 기존 설명 변경을 위해 update-security-group-rule-descriptions-ingress, 각 규칙 조회를 위해 update-security-group-rule-descriptions-egress, describe-security-groups를 사용할 수 있습니다.

본 기능은 지금 부터 사용 가능하며 모든 상용 AWS 리전에서 사용할 수 있습니다. VPC 보안 그룹 및 EC2 클래식 보안 그룹에서 작동합니다. CloudFormation 지원이 진행 중입니다!

Jeff;

이 글은 New – Descriptions for Security Group Rules의 한국어 번역입니다.

Amazon Aurora 빠른 데이터베이스 복제 기능 출시

Amazon Aurora에서 빠른 데이터베이스 복제 기능을 출시했습니다. 과거에 테스트를 위한 DB를 새로 구성을 하려면, 몇 시간이 걸리던 것에 비해 Aurora의 분산형 스토리지 엔진을 사용하면 데이터베이스 복제시 몇 분안에 해결할 수 있습니다.

예를 들어, 2TB 데이터베이스가 넘는 데이터베이스를 복사를 하거나, RDS MySQL 내에서도 스키마 마이그레이션을 테스트하거나 일부 분석을 수행하기 전에 스냅샷 복제를 하는데도 데 몇 시간을 기다려야했습니다.

Aurora 용 분산 스토리지 엔진을 사용하면 기존 데이터베이스 엔진으로는 불가능하거나 많은 시간과 비용이 걸리던 것을 손쉽게 할 수 있습니다.

데이터의 개별 페이지에 대한 포인터를 생성함으로써 빠른 데이터베이스 복제를 가능하게합니다. 그런 다음 원본 또는 복제본의 데이터를 변경하면,  복사 프로토콜이 해당 페이지의 새 복사본을 만들고 포인터를 업데이트합니다. 즉, 몇 시간 정도 걸렸던 2TB 스냅샷 복원 작업이 약 5분 만에 완료되는데, 5분 중에도 주로 새로운 RDS 인스턴스를 프로비저닝하는 데 걸리는 시간입니다.

복제본을 생성하는데 걸리는 시간은 같은 저장소를 가르키고 있기 때문에 데이터베이스의 크기와 관계가 없습니다. 전체 복사본 대신 변경된 페이지의 저장소 비용만 지불하므로 복제 비용이 매우 효율적입니다. 데이터베이스 복제본 ​동일한 내구성을 가진 정규 Aurora Database Cluster입니다.

이제 직접 데이터베이스를 복제해 봅시다. 먼저 Aurora (MySQL) 인스턴스를 선택하고 Instance Actions에서 “create-clone”을 선택하겠습니다.

다음으로 새로운 복제본의 이름을 정합니다.

새로 복제본을 사용 가능한 데는 약 5분 30초가 걸려서 큰 스키마 변경이 있어도 성능에 영향을주지 않습니다. Aurora 개발팀은 보다 빠른 DDL 작업을 위해 개선한 기능 덕분에 기존 MySQL보다 스키마가 빠르게 변경되었습니다. 이후에 다른 팀 구성원이 신규 스키마 변경 사항에 대해 일부 테스트를 수행하도록하려면, 복제본 또는 clone-of-a-clone (심지어 계속 복제 가능)을 만들 수 있습니다. 복제본은 RDS의 관점에서 볼 때, 정식 서비스 가능한 수준의 DB로서 Aurora 데이터베이스가 지원하는 모든 기능 (스냅 샷, 백업, 모니터링 등)을 가지고 있기 때문에 테스트에 적합합니다.

빠른 복제 기능을 통해 Amazon Aurora를 기반으로하는 응용 프로그램을 실험하고 개발하는 데 많은 시간과 비용을 절약 할 수 있기를 바랍니다. 더 자세한 내용은 Amazon Aurora User Guide나  AWS Database Blog를 참고하시기 바랍니다.

질문이나 피드백이 있으신 경우, aurora-pm@amazon.com에 의견을 남겨 주시기 바랍니다. 여러분의 의견 및 제안은 언제든지 환영합니다.

– Randall

이 글은 Amazon Aurora Fast Database Cloning의 한국어 편집입니다.

 

Amazon EC2 Elastic GPU 정식 출시

작년 re:Invent에서 미리 출시 계획을 밝혔던 Amazon EC2 Elastic GPU를 정식 출시합니다. Elastic GPU는 Amazon EC2 (Elastic Compute Cloud) 인스턴스에 GPU 자원을 추가하여 애플리케이션 그래픽 성능을 가속화 할 수 방식입니다. 추가 가능한 GPU는 medium (1GB), large (2GB), xlarge (4GB) 및 2xlarge (8GB) 크기로 제공되며, G3 또는 G2(OpenGL 3.3용)와 같은 전용 GPU 인스턴스 유형을 늘 사용하지 않는 경우 훨씬 저렴한 방법입니다. 여러분의 워크 로드에 맞게 Elastic GPU를 사용하면 애플리케이션에 적합한 컴퓨팅, 메모리 및 스토리지 균형을 유연하게 선택할 수 있습니다. 오늘 부터 미국 동부의 버지니아(us-east-1)와 오하이오(us-east-2) 리전에 정식 출시합니다.

Elastic GPU 중 eg1.medium의 경우 시간당 0.05 달러에서 시작합니다. 이를 t2.medium ($0.065/hour)에 연결하면, GPU 포함 인스턴스에 대해 시간당 총 12센트 미만을 지불합니다. 이전에는 가장 저렴한 그래픽 워크스테이션 (G2/G3 클래스)은 시간당 76 센트였습니다. 특정 그래픽 작업을 실행하기 위한 가격이 80% 이상 감소한 것입니다.

Elastic GPUs 활용 사례
Elastic GPU는 그래픽 가속 및 OpenGL 지원을 위해 작거나 간헐적 인 추가 GPU 자원이 필요한 애플리케이션에 가장 적합합니다. OpenGL 3.3 API 표준을 지원하며, 곧 확장 API 지원이 제공 될 것입니다.

Elasic GPU는 여러분이 만든 인스턴스의 포함되지 않고 대신 인스턴스를 시작할 때 만들어진 서브넷의 GPU 네트워크 인터페이스를 통해 연결합니다. 아래 그림은 GPU가 어떻게 부착되어 있는지 보여줍니다.

Elastic GPU는 네트워크에 연결되어 있으므로 애플리케이션을 지원할 수있는 적절한 네트워크 대역폭을 갖춘 인스턴스를 제공하는 것이 중요합니다. 또한, 인스턴스 보안 그룹이 포트 2007에서 트래픽을 허용하는지 확인하는 것도 중요합니다. OpenGL API를 사용할 수 있는 모든 애플리케이션은 Elastic GPU를 활용할 수 있으므로, Blender, Google Earth, SIEMENS SolidEdge 등이 모두 Elastic GPU로 실행될 수 있습니다.

자, 이제 인스턴스를 직접 실행하고 사용해 보겠습니다.

Elastic GPUs 사용하기
먼저 EC2 콘솔로 이동하여 인스턴스 실행을 클릭합니다. 다음으로 “Microsoft Windows Server 2016 Base”와 같은 Windows AMI를 선택합니다. 그런 다음 인스턴스 유형을 선택합니다. 그런 다음 “Elastic GPU”섹션을 선택하고 eg1.medium (1GB) Elastic GPU를 할당합니다.

또한, 고급 세부 정보 섹션에 일부 사용자 데이터가 포함하기 위해 Elastic GPU 소프트웨어를 다운로드하고 설치하기위한 간단한 PowerShell 스크립트를 작성합니다.

PowerShell

<powershell>
Start-Transcript -Path "C:\egpu_install.log" -Append
(new-object net.webclient).DownloadFile('http://ec2-elasticgpus.s3-website-us-east-1.amazonaws.com/latest', 'C:\egpu.msi')
Start-Process "msiexec.exe" -Wait -ArgumentList "/i C:\egpu.msi /qn /L*v C:\egpu_msi_install.log"
[Environment]::SetEnvironmentVariable("Path", $env:Path + ";C:\Program Files\Amazon\EC2ElasticGPUs\manager\", [EnvironmentVariableTarget]::Machine)
Restart-Computer -Force
</powershell>

위의 코드를 통해  OpenGL API 호출을 첨부 된 Elastic GPU로 이 프로그램을 보냅니다.

그리고, 보안 그룹에 TCP 포트 2007이 VPC에 노출되어 있는지 확인합니다. 그러면 Elastic GPU가 내 인스턴스에 연결할 수 있습니다. 마지막으로 실행을 클릭하고 인스턴스와 Elastic GPU가 제공 될 때까지 기다립니다.  가장 좋은 방법은 GPU 인스턴스에 연결할 수있는 별도의 보안 그룹를 만들어 두는 것입니다.

아래는 전체 진행과정에 대한 스크린캡쳐입니다.

다음과 같이 AWS CLI을  통해 바로 시작할 수도 있습니다

Bash
$aws ec2 run-instances --elastic-gpu-specification Type=eg1.2xlarge \
--image-id ami-1a2b3c4d \
--subnet subnet-11223344 \
--instance-type r4.large \
--security-groups "default" "elasticgpu-sg"

Elastic GPU 소프트웨어 설치 가이드를 따라서 진행하셔도 됩니다.  설치가 완료되면, 윈도 작업 도구 모음에 Elastic GPU가 설치되어 운용되고 있는 모습을 보실 수 있습니다.

위의 화면 처럼 GPU 상태 상자의 왼쪽 하단에있는 Feedback 링크를 클릭하면 Elastic GPU 사용 경험을 제공해 주실 수 있습니다.

Elastic GPU 데모 보기
이제 Elastic GPU를 활용한 데모를 잠깐 살펴 보겠습니다. 대표적인 우주선 발사 시뮬레이션 3D 프로그램인 Kerbal Space Program (KSP)을 다운로드하고 -force-opengl 라는 매개 변수를 추가하여 OpenGL을 사용하여 렌더링을 수행하는지 확인할 수 있습니다.

Amazon CloudWatch 지표 항목을 확인하고, 데모 중에 사용한 GPU 메모리 양을 확인할 수 있습니다.

game.

정식 출시
오늘 부터 미국 동부 버지니아와 오하이오 리전에서 테스트 가능하며, 향후 리전 확장을 지속할 예정입니다. 또한, AWS 고객을 위한 훌륭한 경험을 지속적으로 제공하기 위해 Elastic GPU에서 OpenGL API를 활용하려는 경우, ANSYS 및 Siemens와 같은 3D 소프트웨어 파트너 인증을 하고 있습니다. 더 자세한 정보는 파트너쉽 정보와 Elastic GPU 가격 정보기술 문서 또한 참고하실 수 있습니다.

Randall

이 글은 New – Amazon EC2 Elastic GPUs for Windows 한국어 편집본입니다.

 

VMware Cloud on AWS 정식 출시

작년에 AWS기반 VMware Cloud를 구축하기 위해 VMware와의 협력 계획을 밝힌 바 있습니다. 즉, 베어 메탈 AWS 인프라 스트럭처에서 VMware SDDC 스택을 직접 실행하여, 고객이 기대하는 탄력성과 보안성을 유지하는 완전 관리형 서비스를 제공하는 것입니다. 이를 통해 AWS 확장성 및 탄력성과 함께 보안 우선 아키텍처의 기본 요소 인 네트워킹 및 시스템 수준의 하드웨어 기능을 활용할 수 있습니다.

AWS기반 VMware Cloud를 사용하면 기존에 가진 지식과 자원을 그대로 활용할 수 있습니다. 기존에 가진 기술, 교육 투자, 운영 및 소프트웨어 라이센스 투자는 퍼블릭 클라우드로 전환 할 때  적용 가능합니다. 즉, 데이터 센터 구축 및 실행, 하드웨어 현대화 및 일시적 또는 단기적 수요 충족을위한 확장에 대한 이슈를 최소화할 수 있습니다. AWS 컴퓨팅, 데이터베이스, 분석, IoT, AI, 보안, 모바일, 배포 및 애플리케이션 서비스 등을 다양하게 활용할 수 있습니다.

초기 서비스 시작
VMware 및 Amazon은 AWS 기반 VMware Cloud의 ‘Early Access 베타 프로그램’을 통해 많은 고객 및 파트너의 의견을 반영한 후, 오늘 VMWorld에서 VMware 파트너 네트워크 회원을 통해 미국 서부 (오리건) 리전에서 본 서비스를 시작합니다. 데이터 센터 확장, 응용 프로그램 개발 및 테스트,  마이그레이션과 같은 사례를 지원하도록 설계되었습니다.

이 서비스는 VMware에 의해 판매, 기술 지원 및 요금 청구를 합니다. 사용자 정의  가상 서버를 지원하고 VMware에서 지원하는 모든 운영 체제를 실행하며 Windows Server 라이센스를 클라우드로 가져올 수 있도록 단일 테넌트 베어 메탈 AWS 인프라를 사용합니다. 각 SDDC (소프트웨어 정의 데이터 센터)는 4~16 개의 인스턴스로 구성되며 각각 36 코어, 512GB의 메모리 및 15.2 TB의 NVMe 스토리지로 구성됩니다. 현재 클러스터는 단일 AWS Availability Zone (AZ)에서 실행되며 AZ 기반 클러스터를 지원합니다. 몇 시간 만에 전체 VMware SDDC를 가동하고, 호스트 컴퓨팅 용량을 몇 분 안에 올리거나 내릴 수 있습니다.

최대 25Gbps에서 실행되는 AWS Elastic Networking Adapter를 기반으로하는 NSX 네트워킹 플랫폼은 멀티 캐스트 트래픽, 관리 및 계산을위한 별도의 네트워크 및 사내 구축 형 방화벽, 라우터 등에 대한 IPSec VPN 터널을 지원합니다.

다음은 본 서비스의 전체 구조를 보여주는 모식도입니다.

현재 사용하고있는 VMware 및 타사 관리 도구 (vCenter Server, PowerCLI, vRealize SuitevSphere API를 호출하는 코드)는 기존 온-프레미스 리소스와 AWS에서 실행하는 자원과 결합한 하이브리드 VMware 환경을 구축 할 때 잘 작동합니다. 이 하이브리드 환경은 새로운 VMware 하이브리드 링크 모드를 사용하여 온-프레미스 및 클라우드 리소스에 대한 단일 관리 보기를 생성합니다. 익숙한 VMware 도구를 사용하여 새 하드웨어 또는 사용자 정의 하드웨어를 구입하거나 응용 프로그램을 다시 작성하거나 운영 모델을 수정할 필요없이 응용 프로그램을 관리 할 수 ​​있습니다.

모든 AWS 서비스(데이터베이스, 빅데이터 분석AI 서비스 등)에 쉽게 접근 가능하며, 각 서비스에 대한 사용은 별도로 청구되며 AWS 계정을 만들어야합니다.

VMworld에서 자세히 알아보기
라스베가스에서 VMworld에 참석하는 경우 90 개 이상의 AWS 세션에 참여하실 수 있습니다.

향후 계획
VMware 및 AWS는 애플리케이션 마이그레이션, 데이터 센터 확장, 애플리케이션 테스트 및 개발과 같은 새로운 기능 및 사용 사례를 지원할 수 있도록 지속적으로 투자하고 있습니다. 추가적으로 지원 AWS 리전을 추가하고 재해 복구 및 데이터 센터 통합과 같은 더 많은 사용 사례를 지원하고,  AWS 서비스와 더욱 긴밀하게 통합 할 수있는 작업이 진행 중입니다.

Jeff;

이 글은 VMware Cloud on AWS – Now Available의 한국어 번역입니다.

AWS 주간 소식 모음 – 2017년 8월 28일

안녕하세요! 여러분~ 매주 월요일 마다 지난 주에 업데이트된 국내 AWS관련 콘텐츠를 정리해 드립니다. AWS 클라우드에 대한 새로운 소식을 확인하시는데 많은 도움 되시길 바랍니다. 혹시 빠지거나 추가할 내용이 있으시면, 저에게 메일 주시면 추가 공유해 드리겠습니다.

aws-korea-weekly

AWS 관련 뉴스 및 추천 콘텐츠

AWS 글로벌 신규 소식 (영문)

AWS 제품별 블로그(영문)

AWS 주요 행사 및 온라인 세미나

AWS 마케팅 행사

AWS 공인 교육 일정

AWSKRUG 소모임

AWS 주요 파트너사 블로그

AWS 관련 새 소식을 확인하고 싶으시다면, 매주 업데이트 되는 AWS 주간 소식 모음을 살펴 보시기 바랍니다! 좀 더 빠르게 새소식을 접하시고 싶다면, 공식 트위터공식 페이스북을 팔로우 하세요!

이번 한주도 즐겁게 보내시고, 다음주에 다시 만나요!.

– AWS코리아 마케팅팀;

AWS 주간 소식 모음 – 2017년 8월 21일

안녕하세요! 여러분~ 매주 월요일 마다 지난 주에 업데이트된 국내 AWS관련 콘텐츠를 정리해 드리는 윤주리입니다. AWS 클라우드에 대한 새로운 소식을 확인하시는데 많은 도움 되시길 바랍니다. 혹시 빠지거나 추가할 내용이 있으시면, 저에게 메일 주시면 추가 공유해 드리겠습니다.

aws-korea-weekly

AWS코리아 블로그

AWS 관련 뉴스 및 추천 콘텐츠

AWS 글로벌 신규 소식 (영문)

AWS 제품별 블로그(영문)

AWS 주요 행사 및 온라인 세미나

AWS 공인 교육 일정

AWSKRUG 소모임

 

AWS 관련 새 소식을 확인하고 싶으시다면, 매주 업데이트 되는 AWS 주간 소식 모음을 살펴 보시기 바랍니다! 좀 더 빠르게 새소식을 접하시고 싶다면, 공식 트위터공식 페이스북을 팔로우 하세요!

이번 한주도 즐겁게 보내시고, 다음주에 다시 만나요!.

– AWS코리아 마케팅팀;

AWS 신규 서비스 및 기능 출시 목록 – AWS NY Summit

지난 AWS New York Summit 행사에서 상반기를 결산하는 다양한 서비스와 보안 관련 기능들을 대거 출시하였습니다. 아래 신규 서비스 및 기능은 지속적으로 리전 확장을 할 예정입니다. 여러분의 서비스에 활용 방안에 대해 고민해 보시고, 현재 정식 출시된 리전에서 미리 테스트를 해 주시고, 많은 피드백 부탁 드립니다.

Amazon Macie – 기계 학습을 사용하여 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류 및 보호하는 보안 서비스입니다. Amazon Macie는 개인 식별 정보(PII) 또는 지적 재산과 같은 민감한 데이터를 인식하고, 이러한 데이터가 어떻게 접속되고 이동되는지 파악할 수 있는 대시보드 및 알림을 제공합니다.  완전 관리형 서비스로서 비정상적인 데이터 접속 활동을 지속적으로 모니터링하여 무단 접속또는 의도하지 않은 데이터 유출 위험이 감지될 경우 상세한 알림을 생성합니다. 현재 Amazon Macie는 Amazon S3에 저장된 데이터를 보호할 수 있으며, 다른 AWS 데이터 스토어에 대한 지원은 올해 하반기에 제공될 예정입니다.

블로그에서 자세히 살펴보기

AWS Glue – 데이터 스토어 사이에 데이터를 쉽게 이동시킬 수 있는 완전관리형 ETL 서비스입니다. 이 서비스는 난이도로 인해 시간이 오래 걸리는 데이터 탐색, 변환 및 맵핑을 비롯한 작업 예약을 간소화하고 자동화합니다. 또한 데이터 이동 프로세스를 진행할 수 있도록 사용이 간편한 콘솔을 제공하여 데이터 원본을 살펴보고 분석할 데이터를 준비한 후 안정적으로 데이터 원본에서 대상으로 로드하는 데 도움이 됩니다. 또한 Amazon Athena가 Amazon Glue와 통합되고 Apache Spark와 Hive가 Amazon EMR에서 통합되었습니다.

블로그에서 자세히 살펴보기

AWS Migration Hub – 애플리케이션 포트폴리오를 AWS로 마이그레이션하는 데 도움을 줍니다.  Migration Hub 기능을 통해 기존 애플리케이션 마이그레이션 작업을 가속화하고 추적하며 단순화 합니다. 발견 단계부터 시작하거나, 바로 들어가서 직접 마이그레이션 할 수 있습니다. Migration Hub는 마이그레이션 파트너의 도구와 통합되며 서버 마이그레이션 서비스 및 데이터베이스 마이그레이션 서비스를 기반으로 합니다.

블로그에서 자세히 살펴보기

신규 Amazon S3 버킷 보안 관리 규칙 – S3 버킷 보안을 유지하는 데 도움이되는 AWS Config에 두 가지 새로운 규칙을 추가했습니다. s3-bucket-public-write-prohibited 규칙은 공용 쓰기 접근 권한이 있는 버킷을 식별하며, s3-bucket-public-read-prohibited 규칙은 전역 읽기 접근 권한이있는 버킷을 식별합니다.  구성 변경이 있거나  주기적인 일정에 따라 이러한 규칙을 실행할 수 있습니다.

블로그에서 더 자세히 살펴보기

AWS CloudTrail 전체 고객 적용 – AWS CloudTrail을 현재 모든 AWS 고객에게 기본적으로 제공됩니다. CloudTrail의 주요 이점을 검토하고 이벤트 기록을 검토하고 단일 이벤트에서 심도 깊게 학습하는 방법을 보여주었습니다. 그녀는 CloudWatch CloudWatch Events와 함께 사용하기 위해 두 번째 트레일을 만드는 방법을 보여주었습니다.

블로그에서 더 자세히 살펴보기

Amazon EFS를위한 데이터 암호화 – 새 파일 시스템을 만들 때 파일 시스템의 파일 내용을 암호화하는 데 사용할 키를 선택할 수 있는 옵션이 있습니다. 암호화는 업계 표준 AES-256 알고리즘을 사용하여 수행됩니다.

영문 블로그에서 자세히 살펴보기

AWS CloudHSM 업데이트 – AWS CloudHSM 서비스는 AWS 클라우드 내의 전용 HSM(Hardware Security Module) 어플라이언스를 사용하여 데이터 보안에 대한 기업의 계약 및 규제 준수 요구 사항을 충족할 수 있도록 지원합니다. CloudHSM을 대폭 업그레이드하여 하드웨어 기반 키 관리의 이점을 더 많은 사람들이 이용할 수 있도록 했습니다. 이 서비스는 지불 방식대로 제공되며 완전히 관리됩니다. 다중 API, 프로그래밍 언어 및 암호화 확장을 지원하므로 개방형이며 표준을 준수합니다.

영문 블로그에서 자세히 살펴보기

기조 연설 동영상 보기
Adrian Cockcroft와 Matt Wood 그리고 FICO, Zocdoc, Hulu 등 다양한 AWS  글로벌 주요 고객 사례를 함께 보실 수 있습니다.

Channy(윤석찬);

Amazon DynamoDB에 대한 VPC 엔드포인트 추가

오늘부터 Amazon DynamoDB에 대한 Amazon Virtual Private Cloud (VPC)  엔드 포인트를 (서울 리전 포함) 모든 AWS 리전에서 사용할 수 있습니다. AWS 관리 콘솔 또는 AWS 명령줄 인터페이스 (CLI)를 사용하여 즉시 엔드 포인트를 프로비저닝 할 수 있습니다. DynamoDB의 VPC 엔드 포인트 사용에는 추가 비용이 들지 않습니다.

AWS 고객은 각자 자원에 대한 통신 보안 또는 외부 격리가 필요한 이유로 Amazon VPC (Virtual Private Cloud) 내에서 애플리케이션을 실행합니다. 이전에는 VPC내 EC2 인스턴스가 DynamoDB에 접속하려면 두 가지 옵션이 있었습니다.

먼저 인터넷 게이트웨이 (NAT 게이트웨이 또는 인스턴스 공용 IP 할당)를 사용하거나 VPN 또는 AWS Direct Connect를 통해 로컬 인프라로 모든 트래픽을 라우팅 한 다음 DynamoDB로 다시 라우팅 할 수 있습니다. 이러한 솔루션은 데이터 보안 및 네트워크 처리량에 영향을 미치기 때문에 NACL 또는 보안 그룹을 구성하여 DynamoDB에 대한 접근만 제한 할 수 있습니다. 아래 그림은 이러한 이전 방식의 아키텍처 입니다.

엔드 포인트 만들기

이제 DynamoDB에 대한 VPC 엔드포인트를 만들어 보겠습니다. DescribeVpcEndpointServices API 호출로 지원 여부를 알 수 있습니다.

Bash

aws ec2 describe-vpc-endpoint-services --region ap-northeast-2
{
    "ServiceNames": [
        "com.amazonaws.ap-northeast-2.dynamodb",
        "com.amazonaws.ap-northeast-2.s3"
    ]
}

다양한 API를 사용하여, 엔드포인트 설정도 가능합니다.

이제 콘솔 사용 방법을 알려 드리겠습니다. 먼저 VPC 콘솔로 이동하여, 사이드 바에서 “Endpoints”를 선택합니다. 거기에서 “Create Endpoint”를 클릭하면 됩니다.

엔드포인트에 대한 AWS Identity and Access Management (IAM) 정책 섹션을 확인할 수 있습니다. 이는 일반 IAM 정책에서 DynamoDB가 지원하는 모든 세분화된 접근 제어를 지원하며 IAM 정책 조건에 따라 접속을 제한 할 수 있습니다.

현재 VPC 내 인스턴스에 대한 전체 접속 권한을 부여하고 “Next Step”를 클릭하십시오.

이를 통해 VPC 경로 테이블 목록을 가져오고, 경로 테이블 중 어느 쪽에 내 엔드포인트를 할당할지 선택하고 “Create Endpoint”를 선택합니다.

콘솔에서 나오는 경고 메시지에서 공용 IP 주소를 기반으로 DynamoDB에 대한 소스 제한 사항이 있는 경우, DynamoDB에 접근하는 인스턴스의 소스 IP가 사설 IP 주소가됩니다

DynamoDB 용 VPC Endpoint를 VPC에 추가 한 후,  아키텍처는 아래와 같이 단순화 됩니다.

진짜 간단하게 끝낼 수 있습니다. 오늘 부터 바로 사용 가능하며 더 자세한 사항은 기술 문서를 참고하시기 바랍니다.

– Randall;

이 글은 New – VPC Endpoints for DynamoDB의 한국어 번역입니다.

Amazon Macie 신규 출시 – 기계 학습 기반 자동 콘텐츠 검색, 분류 및 보안 설정 서비스

Amazon Macie는 Amazon S3에 저장된 데이터를 기계 학습 기반으로 자동으로 검색하고 분류 할 수 있는  서비스입니다. 데이터가 Macie에 의해 분류되면, 각 데이터 항목에 비즈니스 가치를 할당 한 다음 데이터를 지속적으로 모니터링하여 접근 패턴을 기반으로 의심스러운 활동을 탐지합니다. 이를 통해 서비스명의 뜻 그대로 여러분의 안전한 무기(Weapon)이 될 수 있습니다.

Macie 서비스의 주요 기능은 다음과 같습니다.

  • 데이터 보안 자동화 : 데이터를 분석, 분류 및 처리하여 기록 패턴, 데이터에 대한 사용자 인증, 데이터 접근 위치 및 시간을 파악
  • 데이터 보안 및 모니터링 : CloudWatch Events 및 Lambda를 통해보고 된 문제의 자동 해결과 함께 탐지 된 예외에 대한 사용 로그 데이터를 적극적으로 모니터링
  • 사전 손실 방지를 위한 데이터 가시성 : 스토리지 데이터의 세부 사항에 대한 관리 가시성을 제공하는 동시에 매뉴얼 방식 없는 즉시 보호 기능 제공
  • 데이터 연구 및 리포트 : 데이터 리포트 및 경고 관리 요구 사항에 대한 관리 구성 허용

Macie는 자연어 처리 (NLP)를 위한 기계 학습 알고리즘을 사용하여  S3 버킷의 데이터 분류를 자동화 할 수 있습니다. 또한, Macie의 예측 분석 알고리즘을 활용하여 데이터 접근 패턴을 동적으로 분석 할 수 있습니다. 모델 학습은 가능한 정보를 알려주고 가능한 의심스러운 행동에 대해 알려주는 데 사용됩니다. Macie는 또한 개인 식별 정보 (PII) 또는 민감한 개인 정보 (SP)의 일반적인 출처를 탐지하기 위해 특별히 엔진을 실행합니다. Macie는 AWS CloudTrail을 활용하고 S3 버킷의 PUT 요청에 대한 Cloudtrail 이벤트를 지속적으로 확인하고, 새로운 개체를 거의 실시간으로 자동 분류합니다.

Macie는 AWS 클라우드 보안 및 데이터 보호를 위한 강력한 도구이면서, 자원 관리, 표준 규정 준수 요구 사항 및 감사 표준을 지원할 수도 있습니다. 2018년 5월 25일 시행 될 수 있는 EU의 GDPR (General Protection Data Regulation)은 가장 엄격한 개인 정보 보호 규정입니다. Amazon Macie는 개인 식별 정보 (PII)를 확인하고, 고객에게 대시 보드를 제공합니다 이를 통해 고객이 데이터 암호화 및 익명화에 관한 GDPR 규정을 준수 할 수 있습니다. AWS Lambda와 결합하면 Macie는 GDPR 문제를 해결하는 데 도움이 되는 강력한 도구가 됩니다.

Amazon Macie 살펴 보기
이제 서비스를 잠깐 돌아 보겠습니다. 먼저 Macie 콘솔에서 Get Started을 클릭하여 데이터 분류 및 보호를 시작합니다.

아래에서 보시다시피 Amazon Macie 서비스를 사용하려면 서비스에 적합한 IAM 역할을 만들어야 하며 AWS CloudTrail을 활성화해야 합니다. (오늘 부터 AWS CloudTrail은 모든 고객이 자동으로 활성화 되었습니다.)

Macie를 쉽게 설정할 수 있도록 Macie User Guide에서 제공되는 CloudFormation 용 샘플 템플릿을 활용하여 필요한 IAM 역할 및 정책을 설정하면, 사용자가 직접 IAM 역할 및 정책을 설정하기 만하면 됩니다. (CloudTrail 시작하기 문서 참고)

AWS 계정이 여러 가지인 경우, Macie 서비스를 사용하는 마스터 계정과 다른 계정은 Macie 서비스와 통합 할 수 있습니다. 회원 계정의 사용자는 Macie 콘솔에 접근하기 위해 IAM 역할을 사용하여 마스터 계정에 대한 접근을 허가 받아야 합니다.

이제 IAM 역할이 만들어지고 CloudTrail이 활성화되었으므로 Enable Macie 버튼을 클릭하여 Macie의 데이터 모니터링 및 보호를 시작합니다.


여러분 계정에서 Macie가 서비스를 시작하면, 서비스 메인 화면이 나타나고 계정의 기존 알림이 표시됩니다. 방금 서비스 이용을 시작했기 때문에 현재 현재 현재 알림이 없습니다.

Macie 서비스를 사용해 보기 위해, S3 버킷 중 일부는 Macie와 연결해 보겠습니다. 그러나, 이미 AWS CloudTrail Management API를 사용하여 정보를 분석하고 처리하고 있기 때문에, Macie가 모니터링을 시작할 S3 버킷을 지정할 필요가 없습니다. 여기서는 CloudTrail의 특정 버킷에서 개체 수준의 API 이벤트를 모니터링 해 보겠습니다.

Amazon S3와 통합하기 위해 Macie 콘솔의 Integrations 탭으로 이동합니다. Integrations 탭에서 AccountsServices라는 두 가지 옵션이 표시됩니다. 계정 옵션은 회원 계정을 Macie와 통합하고 데이터 보존 정책을 설정하는 데 사용됩니다. 특정 S3 버킷을 Macie와 통합하려는 경우, Services 옵션을 클릭하고 Services 탭으로 이동합니다.


이제 Macie를 S3 서비스와 통합하면, S3 데이터 이벤트에 대한 로그를 저장하기 위한 Cloudtrails과 S3 버킷이 생성됩니다. 이제 계정 선택드롭 다운을 사용하여, Select an account 합니다. 여러분 계정을 선택하면 통합에 사용할 수 있는 서비스가 표시됩니다. Add 버튼을 클릭하여 Amazon S3 서비스를 선택하겠습니다.

이제 Macie가 분석 할 버킷을 선택할 수 있습니다. Review and Save 버튼을 선택하면 Save 버튼을 클릭하여 객체 수준 로깅을 확인하는 화면으로 이동합니다.

다음으로 Macie 데이터 분류를 맞춤 설정할 수 있는 방법을 살펴 보겠습니다.

앞에서 설명 드린 대로 Macie는 데이터를 자동으로 모니터링하고 분류합니다. Macie가 데이터를 식별하면, 데이터 개체를 파일 및 콘텐츠 유형 별로 분류합니다. Macie는 SVM (Support Vector Machine) 분류를 사용하여, 파일의 메타 데이터 외에도 S3 객체 내의 내용을 분류합니다.  딥러닝/기계 학습 분야에서 SVM은 데이터 분류 및 회귀 분석에 사용되는 학습 알고리즘이 있는 학습 모델입니다. Macie는 작성할 수 있는 소스 코드를 포함하여 데이터 콘텐츠의 정확한 탐지를 지원하기 위해 최적화 된 다양한 콘텐츠 유형의 데이터를 사용하여 SVM 분류를 학습합니다.

Macie는 데이터 개체 또는 파일 당 하나의 콘텐츠 형식만 할당하지만, 이러한 개체를 분류하는 Macie 서비스에서  콘텐츠 형식 및 파일 확장명을 사용하거나 사용하지 않도록 설정할 수 있습니다. Macie가 데이터를 분류하면, 개체의 위험 수준을 1에서 10 사이의 값으로 지정합니다. 위험도가 가장 높은 위험도는 10이며 가장 낮은 위험도는 1입니다.

Macie에서 데이터 분류를 맞춤 설정하려면 Settings 탭으로 이동합니다. 이제 Macie 분류 설정을 활성화 또는 비활성화 할 수 있는 선택 항목이 표시됩니다.


예를 들어, Macie의 File extension을 선택합니다.  Macie가 분류를 위해 추적하고 사용하는 파일 확장자 목록이 제시됩니다.

테스트로 Android 애플리케이션 설치 파일의 apk 파일 확장명을 편집하고, 드롭 다운에서 No – disabled를 선택하고 Save 버튼을 클릭하면, 파일의 모니터링을 비활성화합니다. 물론, 나중에 안드로이드 개발 바이너리를 포함하여 데이터 파일의 전체 컬렉션을 안전하게 유지하고자 할 때, 이 기능을 다시 사용하도록 설정할 수 있습니다.

마지막 한가지는 Macie를 통한 데이터 분류는 개인 혹은 비즈니스와 표준 규정 등 중요한 정보를 취급하기 위해 저장된 데이터와 자원을 쉽게 분류하여 가시성을 제공합니다.

이제 Macie를 통해 분류하고 모니터하는 데이터를 탐험을 시작하면, 마지막에는 Macie 서비스 콘솔 대시 보드를 살펴 보게 됩니다.

Macie 대시 보드는 Macie가 여러분의 데이터를 모니터하고 분류함에 따라 수집 된 모든 데이터와 활동에 대한 완벽한 시각화를 제공합니다. 대시 보드에는 범주별로 그룹화 된 측정 항목 및 보기가 표시되어 데이터에 대한 다양한 시각적 시각을 제공합니다. 대시 보드 화면에서 통계 관점으로 직접 Research 탭으로 이동하여 통계치를 기반으로 쿼리를 작성하고 실행할 수 있습니다. 이 쿼리는 가능한 보안 문제 또는 문제에 대한 알림을 위해, 사용자 지정된 경고를 설정하는 데 사용할 수 있습니다. ResearchAlerts 탭을 둘러 볼 기회는 없었지만, Macie 사용자 가이드에서 이러한 기능에 대한 자세한 정보를 확인할 수 있습니다.

대시 보드로 되돌아 가면, Macie 대시 보드에는 투어 중 생중계, 통계 및 기능 등 많은 리소스가 있으므로, 이들 기능의 개요를 알려 드리겠습니다.

Dashboard 통계치는 아래와 같습니다.

  • 고위험 S3 개체 – 10까지 8의 경우, 위험 수준 데이터 객체
  • 총 이벤트 발생 – Macie 이후의 모든 이벤트 발생의 총량
  • 총 사용자 세션 – 데이터 CloudTrail의 5 분 스냅 샷

Dashboard Views – 모니터링 데이터 및 활동의 다양한 항목을 표시

  • S3 objects for a selected time range
  • S3 objects
  • S3 objects by personally identifiable information (PII)
  • S3 objects by ACL
  • CloudTrail events and associated users
  • CloudTrail errors and associated users
  • Activity location
  • AWS CLoudTrail events
  • Activity ISPs
  • AWS CloudTrail user identity types

요약

지금까지 Amazon Macie 서비스에 대해 간략히 알아보았습니다. Macie는 S3에 저장된 데이터를 보호하는 데, 기계 학습 및 딥러닝을 활용한 신규 데이터 보안 서비스입니다.  Macie에 자연 언어 처리 (NLP)를 사용하면, 쉽게 단순히 서비스를 사용하여 높은 정확도 분류 및 즉각적인 데이터 보호를 시작 할 수 있습니다. 대화형 대시 보드는  데이터, 데이터 접근 및 API 호출의 거대한 흐름을 분석 할 수 있는 가시성을 제공합니다.

더 자세한 것은 제품 페이지 또는 사용 설명 문서를 참고 하시기 바랍니다.

Tara

이 글은 Launch – Hello Amazon Macie: Automatically Discover, Classify, and Secure Content at Scale 의 한국어 편집본입니다.

AWS CloudTrail 서비스 전체 AWS 고객 기본 제공 시작

AWS 서비스 API 호출에 대한 정보를 기록하는 AWS CloudTrail 이 모든 AWS 고객에게 기본적으로 활성화되되고, 별도 설정 없이 지난 7 일간의 계정 활동에 대한 가시성을 제공합니다. ‘상시 가동’ 기능은 CloudTrail 이벤트 기록을 통해 계정 활동을 검색 및 다운로드하는 기능을 통해 보안성을 높일 수 있습니다.

아직 AWS CloudTrail을 이용하지 않은 분들의 경우, 이제 모든 AWS 계정에 기본적으로 적용되기 때문에 운영 문제 해결 및 검토, 표준 규정 준수, 감사 및 보안을 위한 필수 서비스를 제공하게 됩니다.

AWS CloudTrail은 AWS 계정에서 지원되는 서비스에 대한 계정 활동 및 이벤트를 수집하고, 이벤트 로그 파일을 Amazon Simple Storage Service (S3), CloudWatch Logs, CloudWatch Events로 보냅니다. CloudTrail을 사용하면 일반적으로 계정 활동 및 이벤트 로깅을 가능하게 하는 구성을 생성합니다. AWS 계정에서 발생하는 API 활동에 대한 가시성을 제공하여 운영 및 보안 문제를 신속하게 분석합니다. 또한, 멀티 리전 구성을 지원하며 CloudWatch와 통합하여 모니터링을 원하는 이벤트에 대한 트리거를 만들거나 구독 기능을 AWS Lambda 함수와 연동할 수 있습니다. CloudTrail 서비스를 이용하면 AWS 명령 줄 인터페이스 (CLI), AWS 관리 콘솔 AWS SDK를 통해 다른 AWS 서비스의 모든 API 호출을 검색 할 수 있습니다.

AWS CloudTrail의 주요 기능은 다음과 같습니다.

  • 항상 실행: 별도 설정 없이 모든 AWS 계정에서 계정 활동을 기록
  • 이벤트 내역 : 최근 AWS 계정 활동보기, 검색 및 다운로드
  • 자원 관리 수준 이벤트 : EC2 인스턴스 또는 S3 버킷의 생성, 삭제 및 수정과 같은 세부 관리 작업 가능
  • 데이터 관리 수준 이벤트 : Amazon S3 객체에 모든 API 동작을 기록하고 API 동작에 대한 정보 수신 가능
  • 로그 파일 무결성 검증 : S3 버킷에 저장된 로그 파일의 무결성 검증
  • 로그 파일 암호화 : S3 서버 측 암호화 (SSE)를 사용하여 S3 버킷에 전달되는 모든 로그 파일을 암호화 가능. (AWS 키 관리 서비스 (AWS KMS)로 로그 파일을 암호화 설정 가능)
  • 멀티 리전 설정 : 여러 리전에서 로그 파일을 전송하도록 서비스 설정

AWS CloudTrail 기능에 대한 더 자새한 것은 서비스 페이지를 참고하시기 바랍니다.

제 동료 인 랜달 헌트(Randall Hunt)는 고객의 문제를 해결할 때 CloudTrail이 반드시 필요하다고 이야기했습니다. “Enable CloudTrail” 로 인해 고객 계정에서 어떤 일이 일어났는지, 스스로 알아 볼 수 있고 세부 사항을 검토 할 수 있습니다.

앞에서 말씀 드린 대로 이제 모든 AWS 고객이 CloudTrail에 로그인하고 Event History을 검토 할 수 있습니다. 아래 보기에서 지난 7 일간의 데이터 뿐만 아니라 더 많은 정보를 볼 수도 있습니다.

물론, 사내 규정 감사를 위해 CloudTrail 로그 파일에 직접 접근하거나 로그를 보관하려는 경우에도 로그 파일을 만들 S3 버킷을 지정할 수 있습니다. Cloudtrails 서비스로 CloudWatch Logs 및 CloudWatch Events에 이벤트를 전달할 수 있습니다.

CloudTrail 콘솔에 로그인 한 후 Create a trail 버튼을 클릭하기 만하면됩니다.

그런 다음 Trail name 텍스트 상자에 이름을 입력하고 모든 리전 혹은 현재 리전에만 적용하는 옵션에 대한 라디오 버튼을 선택합니다. 아래 화면에서는 TEW-USEast-Region-Trail라는 이름을 정하고 Apply trail to all regions 라디오 버튼에서 No를 선택합니다. 즉, 현재 리전인 미국-동부 (버지니아 북동부) 이벤트만 추적합니다. (참고 : 글로벌 리전을 사용하는 경우, AWS 계정과 관련된 모든 이벤트를 캡처하려면 전체 리전에 대해 추적하는게 좋습니다.)


Management events에서 CloudTrail이 추적하도록 하려는 작업에 대한 Read/Write events 라디오 단추 옵션을 선택합니다. 이 경우 All 옵션을 선택합니다.

다음 단계는 S3 객체 변경 작업을 추적하고자 하는 버킷을 선택합니다. 이것은 선택적 단계이지만, 기본적으로 AWS Cloudtrail은 데이터 이벤트를 기록하지 않습니다. 따라서, S3 객체 이벤트 활동을 추적하려는 경우, 데이터 이벤트 섹션에서 지정한 버킷의 오브젝트에 대한 데이터 이벤트를 추적하도록 추적을 구성 할 수 있습니다. aws-blog-tew-posts S3 버킷을 선택하고 기본 옵션을 유지하여 all Read/Write을 추적할 수 있습니다.

마지막 단계는  Storage Location 섹션에서 CloudTrail 로그를 저장할 S3 버킷을 선택하는 것입니다. CloudTrail을 대신하여 새 버킷을 만들거나, 계정에서 기존 버킷을 선택할 수 있습니다. CloudTrail에서 새 버킷을 만들어서 텍스트 상자에 고유 한 버킷 이름 인 tew-cloudtrail-logbucket을 입력하도록 선택합니다. 로그를 쉽게 찾을 수 있도록 저장소 위치의 고급 섹션을 확장하고 접두어를 추가합니다. 이 기능은 버킷에 저장된 로그에 검색 기준을 추가하려는 경우에 가장 유용합니다.  접두어로 tew-2017를 설정하고, Encrypt log files, Enable log file validationSend SNS notification for every log file delivery 등  Advanced 옵션에 대한 기본 값을 유지합니다.

이제 설정을 마치고, Create 버튼을 클릭하면  CloudTrail의 트레일을 성공적으로 만들었습니다.

지금 시작하기

AWS CloudTrail 에 대한 자세한 내용은 서비스 제품 페이지, CloudTrail 설명서 또는 AWS CloudTrail FAQ를 참조하십시오.  이제 모든 AWS 고객을위한 CloudTrail 기본 제공을 잘 활용하여 얻을 수 있는 모든 장점을 즐기십시오!

Tara

이 글은 New – Amazon Web Services Extends CloudTrail to All AWS Customers의 한국어 번역입니다.