1. 학습 기간 및 계획1월 31일 부터 시험 당일인 3월 5일, 총 34일 걸려 AWS Certified AI Practitioner 취득했습니다. 학습 자료로 AWS Skill Builders가 제공하는 무료 강의와 Examtopics의 AIF-C01 dump를 적극 활용했습니다. 1) AWS Skill Builders AI 관련 강의는 각 1시간 분량으로 12개 정도 존재하는데, 저는 필요한 부분만 빠르게 훑어서 제대로 완료한 건 3개 정도 였습니다. 2) Examtopics의 AIF-C01 dump (중요)회사생활로 세밀하게 공부할 시간이 없어 1주일 정도 강의를 듣다가 바로 Dump로 전환했습니다. Examtopics는 AIF-C01 항목으로 총 143 문제가 준비되었는데 그 중 32번 까지 무..
오늘날 Digital / Cloud 환경에서 사용자의 인증과 권한 관리는 매우 중요한 문제다. 이 글에서는 OAuth와 JWT(JSON Web Token)가 무엇이며, 어떻게 동작하는지, 각각의 사용 사례와 장단점에 대해 살펴보고자 한다. OAuth 란?OAuth(Open Authorization) 는 제 3자 애플리케이션이 사용자의 비밀번호를 요구하지 않고도 제한된 자원에 접근할 수 있도록 허용하는 인증 프로토콜이다. OAuth는 보통 1) 클라이언트, 2) 리소스 소유자(사용자), 3) 인증 서버, 4) 리소스 서버의 네 가지 구성 요소를 포함한다. 작동 방식 사용자가 클라이언트를 통해 리소스에 접근하려고 요청한다.클라이언트는 인증 서버에 권한 승인을 요청한다.사용자가 인증을 완료하면, 인증 서버는 ..
Azure Active Directory Azure Active Directory (a.k.a. Microsoft Entra)는 Identity and Access Management (IAM) 서비스로, Azure resource 및 애플리케이션에 대한 안전한 접근 및 효과적인 관리를 위해 만들어졌다. Azure AD는 1) 안전한 회원 가입, 2) 역할 관리, 그리고 3) Azure 및 Azure와 연동된 서비스에 대한 접근 통제를 제공한다.Azure DirectoryAzure AD는 Directory (또는 Tenant) 단위로 운영된다.Directory는 최고 수준의 컨테이너로, 사용자와 그룹, 애플리케이션과 다른 resource를 보유하고 있다.Azure directories는 Azure sub..
Virtual MachineVirtual Machine은 물리적 서버에 존재하는 가상 서버로, applications를 실행하는 host다. 구조 : Host OS > Hypervisor > Guest OS > Code / Libraries 비용 : VM > Disk > IP > StorageSLA for VMsSLA (Service-Level Agreement)는 CSP와 고객 간 성능 중재에 대한 표준으로, Azure VM의 경우 배포 유형에 따라 SLA가 다양하다. Fault domain & Update domain FD는 장애가 발생할 경우 데이터의 손실을 막기 위한 방식이다.기존 데이터 센터는 재해 복구를 위해 다른 Region 간에 데이터를 분산 저장하는 경우가 있는데, FD가 이에 해당한다...
Region-ZoneRegionMicrosft Azure가 운영 중인 데이터센터가 존재하는 지리적 위치로, 사용자는 자신과 가까운 위치의 Region을 택함으로써 최적의 성능과 지연도, 그리고 가용성을 보장받을 수 있다. (Availability) ZoneRegion 내에 존재하는 고유한(분별되는) 물리적 장소들로, Region 내 특정 데이터 센터의 실패로 인한 데이터 손실을 방지하고, 고가용성을 보장한다.Azure Resource Infrastructure HierarchyManagement groupsSubscriptions를 관리하기 위한 groups. SubscriptionsAzure accounts와 연결된 Azure service 들의 논리적 단위로, 해당 account에서 사용된 Azur..
Cloud의 특징1. On-Demand : Cloud는 사용자가 원할 때 원하는 만큼 사용할 수 있는 크기와 용량을 제공할 수 있어야 한다.2. Network : Cloud는 public이든 private이든 network 상에 배포되어 동작해야 한다.3. Resource Pooling : Cloud는 사용자에게 필요한 resource(e.g. Compute, Network, Security)를 제공할 수 있어야 한다.4. Elasticity : Cloud는 네트워크 트래픽량, 사용자 요구사항 등에 따라 인프라를 scale-in, scale-out 할 수 있어야 한다.5. Measured Services : Cloud는 사용자의 service 사용량을 추적하여 사용한 service에 대해서만 비용을 부과..
또 틀린 거 (14 문제)⭐⭐3. 실패한 AWS Storage Gateway로부터 데이터를 복구하는 방법정답저장된 볼륨 게이트웨이에 대해, 볼륨의 가장 최신 Amazon EBS 스냅샷으로부터 데이터를 복구할 수 있다.게이트웨이 혹은 가상머신에 오류가 발생하면, AWS에 업로드되어 Amazon S3 볼륨에 저장된 데이터를 복구할 수 있다.캐시된 볼륨 게이트웨이에 대해, 복구 스냅샷을 사용하여 데이터를 복구할 수 있다.저장된 볼륨 게이트웨이에 대해, 해당 볼륨의 가장 최신 EBS 스냅샷으로 데이터를 복구할 수 있다.tape 게이트웨이에 대해, 복구점에서 한 개 이상의 tape를 복구할 수 있다.파일 시스템이 오염된다면, 'fsck' 명령어를 사용하여 이를 복구할 수 있다. (틀림)파일 시스템을 복구할 수 있..
또 틀림⭐1. S3 내에 데이터 백업본을 암호화된 상태로 저장하고, 암호화 키를 제공하지 않지만 이에 대한 감사 추적을 허용하는 S3 암호화 옵션정답) S3 사용자 데이터에 대해 SSE-KMS를 사용하여 암호화한다.SSE-KMS는 AES의 256 bit 암호화를 사용하여 Amazon S3 내 데이터를 암호화하는 관리형 AWS 서비스다.가장 주된 특징은 등록된 암호화 키가 누구에게 사용되었는지 등을 감사/추적할 수 있다는 점이다.또한 키 관리 기능을 제공한다. => AWS가 키 스토리지의 복잡도와 키 교환 및 보호를 수행하는 동안, 사용자는 AWS 관리형 CMK와 고객 관리형 CMK 모두를 사용할 수 있다. 다른 옵션에 대한 설명CSE w. client-provied key암호화 키와 암호화 과정을 직접 ..
EC2 인스턴스가 인터넷에 액세스하지 못하는 문제주제Internet Gateway(IGW)를 VPC에 연결했지만, EC2 인스턴스가 여전히 인터넷에 액세스할 수 없는 문제 발생 부연 설명정답) 보안그룹이 network in을 허용하지 않았다.보안 그룹은 기본적으로 상태를 유지하는(stateful) 방식을 사용한다.즉, 아웃바운드 트래픽이 허용되면 그에 대한 응답 트래픽(인바운드 트래픽)은 자동으로 허용된다. EC2 인스턴스가 인터넷에 액세스할 수 없는 예상 원인 3가지서브넷의 라우팅 테이블이 IGW를 가리키고 있지 않음각 서브넷에는 라우팅 테이블이 있어야 하며, 이 테이블에 IGW로의 경로(`0.0.0.0/0`가 설정된 IGW) 설정이 있어야 한다. 해당 경로가 없으면, 서브넷 내 인스턴스가 인터넷에 ..
AWS WAF & ShieldAWS Shield와 AWS WAF는 모두 AWS에서 제공하는 보안 서비스로, 웹 애플리케이션을 보호하는 역할을 수행한다. AWS ShieldAWS Shield는 DDoS(Ditributed Denial of Service) 공격으로부터 애플리케이션을 보호하는 서비스로, 두 가지 주요 버전이 존재한다.AWS Shield Standard모든 AWS 고객에게 자동으로 제공되며, 기본적인 DDoS 공격 방어를 포함함추가 비용 없이 사용 가능하며, 일반적인 네트워크(L3) 및 전송(L4) 계층 공격으로부터 보호함AWS Shield Advanced더 높은 수준의 보호를 제공하며, 더 복잡한 DDoS 공격으로부터 보호한다추가 비용이 발생하며, 실시간 공격 탐지, 24/7 전문가 지원, ..
