◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
"Trusted advisor"는 신뢰할 수 있는 조언자 또는 컨설턴트를 나타내는 용어이다.
일반적으로 비즈니스에서 사용된다.
Optimize costs(비용 최적화), improve performance(성능 개선), address security gaps(보안 격차 해소)
AWS Trusted Advisor
AWS Trusted Advisor는 사용 중인 AWS 계정의 리소스를 분석하고 개선할 수 있는 사항을 제안 해주는 서비스이다.
→ AWS의 Best Practice를 알려준다
기본적으로 AWS 클라우드 운영중에서 아래 3가지를 개선하기 위한 서비스이다.
- 비용 (costs)
- 성능 (performance)
- 보안 (security)
간단한 영상 설명: https://youtu.be/i0IkKN9NoPk?si=zzbmvaLM6Wg0fdkh
Trusted Advisor 요금
Trusted Advisor는 기본적으로 무료 서비스이다.
하지만 선택한 AWS Support Plan에 따라서 Trusted Advisor의 내용이 달라진다.
– "Basic", "Developer" 플랜에서는 6개의 보안 체크와 50개의 서비스 한도 체크가 가능하다.
– "Business", "Enterprise On-Ramp", "Enterprise" 플랜에서는 Trusted Advisor의 모든 항목을 체크해준다.
👨🏫 어떤 부분에서 Trusted Advisor는 조언을 주는가???
- 💰 비용 최적화 (Cost Optimization)
- 🛡️ 보안 (Security)
- 🚧 서비스 제한 (Service Limits)
- ⚡ 성능 (Performance)
- 👨🏿🤝👨🏼 장애 조치 (Fault Tolerance)
AWS의 현재 사용량 (→ Performance 카테고리)과 서비스의 제한량 (→ Service Limits 카테고리)을 확인 할 수 있다.
예시) VPC를 나머지 1개 밖에 만들 수 없다.
1. 💰 비용 최적화 (Cost Optimization)
- 사용 중인 리소스의 비용 효율성 평가
- 불필요한 리소스 제거 권고
- 예시) EC2 예약 인스턴스의 최적화: 예약 인스턴스의 이용 상황을 기준으로 최적의 구매 수를 산출하고, 비용 절감이 가능한지 확인한다.
2. 🛡️ 보안 (Security)
보안 그룹의 권한 설정을 분석하여 보안 취약점을 찾는다. 권한이 필요한 리소스에 대한 적절한 권한을 제안한다
- 예시1) 불필요한 포트가 열린 보안 그룹 권고
- 예시2) MFA(Multi-Factor Authentication) 비활성화된 사용자 정리 권고
- 예시3) Amazon S3 버킷의 퍼블릭 액세스 권고
- 예시) 열린 포트: 접근 제한이 없는(0.0.0.0/0) 보안 그룹이 정의되어 있지 않은지 확인하고, 포트 번호에 따라 경고를 표시한다.
3. 🚧 서비스 제한 (Service Limits)
AWS 서비스의 제한 사항에 대한 정보를 제공하고, 사용 중인 리소스가 해당 제한을 초과하는 경우 경고를 발생시킵니다.
- 각 서비스에 설정된 제한치와 사용 상황을 조회하여, 사용률이 제한에 도달하거나 임박하지 않았는지 확인한다.
- 현재 사용 중인 서비스 제한을 초과하는 경우 경고
- 제한을 늘리거나 조정할 필요가 있는 서비스 제한 권고
4. ⚡ 성능 (Performance)
리소스의 성능에 대한 조언을 제공하여 최적의 성능을 확보하고 병목 현상을 개선할 수 있도록 도움을 준다.
- 예시1) 가용성을 높이기 위한 다중 가용 영역 활용 권고
- 예시2) 사용 중인 EC2 인스턴스 유형의 최적화 권고
- 예시3) CloudFront의 캐싱 설정 최적화 권고
- 예시) EC2 인스턴스의 사용률: 최근 14일 동안 하루 CPU 사용률이 90% 이상인 날이 자주 발생하고 있지 않은지 확인한다.
5. 👨🏿🤝👨🏼 장애 조치 (Fault Tolerance)
※ Fault tolerance: 시스템에 장애가 발생했을 때에도, 다른 시스템으로 전환하여 정상적으로 작동을 계속 유지하는 능력.
가용성 및 장애 조치에 관한 조언을 제공하여 시스템의 신뢰성을 향상시킬 수 있는 방법을 안내합니다.
- 예시1) Auto Scaling을 통한 애플리케이션의 가용성 향상 권고
- 예시2) 다중 가용 영역에서 Amazon RDS를 활용한 데이터베이스 복제 권고
- 예시) 로드 밸런서(ELB) 최적화: ELB 아래의 인스턴스들이 여러 가용 영역(AZ)에서 작동하고 있는지 확인한다.
Unrestricted access increases opportunities for malicious activity, such as hacking, denial-of-service attacks, or loss of data.
🤔 SysOps 문제
회사가 AWS Trusted Advisor를 사용하여 보안 및 컴플라이언스를 구현하고 있습니다. 회사의 SysOps 팀은 접근할 수 있는 Trusted Advisor 체크 항목 목록을 검증하고 있습니다.
어떤 요소가 Trusted Advisor 체크 항목 수에 영향을 미칠까요?
- 하나 이상의 Amazon EC2 인스턴스가 실행 상태에 있는지 여부
- AWS Support 플랜
- AWS Organizations 서비스 컨트롤 정책(SCP)
- AWS 계정 루트 사용자가 다중 인증(MFA)을 활성화했는지 여부
정답
정답 2번
🤔 SysOps 문제
보안 팀은 환경에서 사용되는 AWS Identity and Access Management (IAM) 정책의 수가 증가하고 있어 우려하고 있습니다. 팀은 SysOps 관리자에게 현재 사용 중인 IAM 정책의 수와 사용 가능한 총 IAM 정책 수를 보고할 수 있도록 요청했습니다.
어떤 AWS 서비스를 사용하여 현재 IAM 정책 사용량이 현재 서비스 한도와 어떻게 비교되는지 확인해야 합니까?
- AWS Trusted Advisor
- Amazon Inspector
- AWS Config
- AWS Organizations
정답
정답. 1번
service limits(서비스 한도) 와 연관된 서비스는 AWS Trusted Advisor이다.
