AWS 머신러닝 핵심 서비스 및 활용 가이드

1. AWS 머신러닝 서비스 개요

2. SageMaker 핵심 기능 및 활용

• 노트북 인스턴스: 데이터 탐색, 실험 환경 제공
• 자동 모델 학습(AutoML): 복잡한 모델 튜닝 자동화
• 분산 학습: 대규모 데이터 학습 지원
• 모델 배포: 실시간 또는 배치 예측 가능
• 모니터링: 모델 성능 추적 및 관리

3. 서비스별 활용 맥락 및 추천

4. AWS 머신러닝 서비스 비교

AWS 데이터 분석 서비스 완벽 가이드

1. AWS 데이터 분석 서비스 주요 종류

2. 서비스별 활용 맥락

Amazon Athena

• S3에 저장된 CSV, JSON, Parquet 데이터에 대해 간단히 SQL 쿼리 실행 가능
• 서버리스라 관리할 인프라 없음, 비용도 쿼리 처리량만큼만 지불

Amazon Redshift

• 대규모 데이터 웨어하우스로, 복잡한 쿼리와 BI 도구와 연동 가능
• 빠른 쿼리 처리 위해 컬럼형 저장과 병렬 처리 지원

AWS Glue

• 데이터 카탈로그 자동 생성 및 관리
• ETL 작업을 코드 없이 GUI 또는 스크립트로 손쉽게 구현

Amazon EMR

• 하둡/스파크 기반 대용량 분산 처리
• 복잡한 데이터 변환, 머신러닝 작업에 적합

Amazon Kinesis

• 실시간 스트리밍 데이터 수집 및 처리
• 대용량 로그, IoT 센서 데이터, 실시간 분석 파이프라인 구축에 활용

AWS Data Pipeline

• 다양한 AWS 서비스와 온프레미스 시스템 간 데이터 이동 및 처리 자동화
• 정해진 일정에 따라 작업 수행 가능

Amazon QuickSight

• 빠른 데이터 시각화와 대시보드 제작
• AI 기반 이상 징후 감지 기능도 제공

3. 서비스 간 비교

4. 추천 활용 시나리오

• 빠른 ad hoc 분석 → Athena
• 전사 데이터 웨어하우스 구축 → Redshift
• 데이터 파이프라인 자동화 및 ETL → Glue + Data Pipeline
• 빅데이터 처리 및 머신러닝 전처리 → EMR
• 실시간 로그/이벤트 처리 → Kinesis
• 비즈니스 인텔리전스 시각화 → QuickSight

SES, SNS, SQS

1. 서비스별 개요

2. 핵심 차이점

3. 용어 쉽게 정리

• SES = 이메일 서비스 (메일 보내는 데 특화)
• SNS = 알림·이벤트를 여러 대상에게 푸시하는 서비스 (예: 앱 알림, SMS, 이메일 등)
• SQS = 메시지를 큐에 쌓아 두었다가, 필요할 때 꺼내서 처리하는 서비스 (비동기 작업 처리)

4. 사용 예시

• SES: 회원가입 확인 이메일, 주문 확인 메일 발송
• SNS: 서버 장애 발생 시 관리자에게 SMS·이메일 동시 알림, 여러 시스템에 이벤트 전파
• SQS: 주문 처리 시스템에서 주문 메시지를 큐에 넣고, 배송 시스템이 메시지를 받아 순차 처리

✅ VPC 핵심 개념 요약 (시험 대비용)

🔹 1. VPC란?

• AWS에서 제공하는 논리적으로 격리된 네트워크 공간
• 사용자가 직접 IP 주소 범위, 서브넷, 라우팅, NAT, 보안 설정 등을 구성

📌 VPC 구성 요소 & 역할

✅ 시험에 자주 나오는 시나리오별 포인트

📌 1. 퍼블릭 vs 프라이빗 서브넷

📌 2. NAT Gateway vs NAT Instance

📌 3. 보안 그룹 vs NACL

📌 4. VPC 피어링 vs VPC Endpoint vs Transit Gateway

📌 5. 고가용성 아키텍처에서의 구성 예

• 2개 이상 AZ에 퍼블릭/프라이빗 서브넷 배치
• 퍼블릭 서브넷 → ALB + NAT Gateway
• 프라이빗 서브넷 → EC2 + RDS
• 라우트 테이블로 인터넷 접근 권한 조절
• 보안 그룹과 NACL로 접근 제어

🧠 예시 문제 (시험 스타일)

Q. 퍼블릭 인터넷에 노출되지 않고 S3에 접근할 수 있도록 구성하려고 한다. 가장 적절한 방법은?

✅ 정답: VPC Endpoint (Gateway 타입)

Q. 퍼블릭 서브넷에서 EC2가 인터넷에 접근 가능하게 하려면 반드시 필요한 구성 요소는?

✅ 정답: Internet Gateway (IGW)

Q. 프라이빗 서브넷의 EC2 인스턴스가 소프트웨어 업데이트를 위해 외부와 통신해야 한다. 어떤 구성 요소를 추가해야 하는가?

✅ 정답: NAT Gateway

VPC 활용 시 자주 나오는 구성 예시

• 2개 이상 AZ에 퍼블릭 서브넷 + 프라이빗 서브넷 구성
  고가용성과 장애 조치를 위한 베스트 프랙티스
• 퍼블릭 서브넷에 NAT Gateway 배치 → 프라이빗 서브넷 인스턴스가 인터넷 아웃바운드 가능
• VPC Endpoint로 인터넷 없이 S3 접근
• VPC Peering으로 서로 다른 VPC 간 안전한 통신

✍️ 정리 포인트

• VPC는 모든 AWS 아키텍처의 기반
• 퍼블릭/프라이빗 서브넷과 IGW/NAT 구성은 반드시 숙지
• 보안 그룹/ACL은 시험에서 자주 비교 문제로 나옴
• VPC Endpoints, Peering, Transit Gateway의 차이 꼭 기억

✅ 6. 마이그레이션 및 하이브리드 아키텍처 핵심 개념

🎯 주요 목적

• 온프레미스 → AWS 클라우드 이전
• 온프레미스와 AWS 간의 안정적 연결
• 점진적 전환/테스트 전략 포함
• 데이터 전송 방식 및 도구 선정

📌 자주 등장하는 서비스 및 전략

① AWS Direct Connect

• 온프레미스 ↔ AWS 간 전용 네트워크 연결
• 지연 시간 최소화, 안정적인 데이터 전송
• 기업 환경에서 하이브리드 클라우드 구현 시 주로 사용

📌 시험 포인트:

빠르고 안정적인 온프레미스 ↔ 클라우드 연결 필요할 때는 항상 Direct Connect

② VPN Gateway (Site-to-Site VPN)

• 온프레미스와 VPC 간 암호화된 연결
• Public internet 경유 (비용 저렴, Direct Connect보다 지연 큼)
• 테스트 또는 단기 연결에 적합

📌 시험 포인트:

온프레미스 시스템을 VPC에 연결하려면?
✅ VPN Gateway 또는 Direct Connect

③ AWS Storage Gateway

• 온프레미스와 클라우드 간 스토리지 연동
• 세 가지 모드:
  • File Gateway: 파일 → S3로 전송
  • Volume Gateway: iSCSI 볼륨 캐싱
  • Tape Gateway: 백업 테이프 → 클라우드로 가상화

📌 시험 포인트:

기존 백업 시스템을 클라우드로 이전하는 데 필요한 게이트웨이는?
✅ Tape Gateway

④ AWS Snow Family (Snowcone / Snowball / Snowmobile)

• 대용량 데이터 오프라인 전송 솔루션
• Snowball: 50TB ~ 80TB, Snowmobile: 엑사바이트(Exabyte) 규모
• 인터넷으로 전송이 어렵거나 시간이 오래 걸릴 때 사용

📌 예시:

“500TB 데이터를 AWS로 전송해야 하는데, 네트워크 전송은 너무 느리다. 가장 적절한 방법은?”
✅ Snowball

⑤ AWS Migration Hub

• 다양한 마이그레이션 도구의 중앙 대시보드 역할
• 진행 상태 추적, 작업 통합 관리

⑥ AWS Application Migration Service (MGN)

• 온프레미스 서버를 AWS로 리프트-앤-시프트 방식으로 이전
• 실시간 복제, 중단 최소화

📌 시험 포인트:

운영 중인 서버를 AWS로 최소한의 중단 시간으로 이전하려면?
✅ Application Migration Service

⑦ AWS Database Migration Service (DMS)

• DB 마이그레이션 전용 도구
• 동종 또는 이기종 간 마이그레이션 가능 (예: Oracle → Aurora)
• 실시간 데이터 복제 가능 → 다운타임 최소화

📌 자주 묻는 조건:

• 마이그레이션 중에도 기존 DB는 계속 사용해야 함 (→ 실시간 동기화 필요)

⑧ CloudEndure (현재는 MGN에 통합됨)

• 재해 복구, 서버 복제 기능 제공
• EC2로 자동 변환, 다운타임 최소화

🧠 예시 시나리오 문제

Q. 현재 온프레미스에 있는 애플리케이션을 EC2로 이전하려고 한다. 마이그레이션 중 다운타임을 최소화하고, 자동으로 EC2 인스턴스로 변환하려면 어떤 서비스를 사용하는 것이 적절한가?

✅ 정답: AWS Application Migration Service

Q. 대규모 비디오 파일(총 100TB)을 AWS로 전송하려고 한다. 네트워크가 느려 직접 전송이 어려울 경우 적절한 서비스는?

✅ 정답: AWS Snowball

Q. 온프레미스 DB를 Amazon RDS로 이전하면서 중단 없이 실시간 동기화를 유지하려면?

✅ 정답: AWS DMS (Database Migration Service)

📝 정리 포인트

• 온프레미스 ↔ 클라우드 연결은 Direct Connect 또는 VPN
• 대규모 데이터 이전은 Snow Family
• DB 마이그레이션은 DMS, 서버 마이그레이션은 MGN
• Storage Gateway는 하이브리드 스토리지 구현
• 마이그레이션 진행 추적은 Migration Hub

✅ Domain 4: 비용 최적화된 아키텍처 설계 - 서비스 비교, 활용 맥락, 추천 설계 방식 요약

Auto Scaling

• EC2 인스턴스를 수요에 따라 자동으로 증/감 → 불필요한 리소스 제거로 비용 절감
• EC2뿐 아니라 ECS, DynamoDB에도 적용 가능 (예: DDB Auto Scaling)

AWS Trusted Advisor

• AWS 계정의 보안, 성능, 비용, 고가용성 등 진단
• 비용 관련 권장사항: 미사용 EC2 인스턴스, 미사용 EBS 볼륨, 미사용 ELB 등 제거 제안

AWS Compute Optimizer

• 실제 사용량 데이터를 기반으로 인스턴스 크기 조정 권장
• 비용 절감을 위한 자동화된 리소스 최적화 제안 제공

Cost Explorer / AWS Budgets

• Cost Explorer: 비용 및 사용량 시각화
• Budgets: 특정 서비스/리소스에 예산을 설정하고 초과 시 경고

Savings Plans

• 컴퓨팅 서비스 사용량에 따라 1년/3년 약정 시 비용 절감
• EC2, Fargate, Lambda 등에 적용 가능
• Reserved Instance보다 유연함

Lambda – 서버리스 요금 모델

• 사용한 만큼만 요금 부과 (GB-초 + 요청 수 기준)
• 인프라를 계속 켜둘 필요 없어 간헐적 처리에 매우 비용 효율적

데이터 전송 비용 최적화

• 동일 AZ 내 통신은 무료
• 리전 간 전송은 유료 → 트래픽 최적화 필요
• CloudFront 사용 시 사용자 가까이에서 데이터 제공 → 글로벌 전송 비용 절감

🔹 1. 인스턴스 요금 모델 비교

활용 포인트

• Spot: 분석, 인코딩, CI/CD
• RI: 프로덕션 웹 서버
• Savings Plan: 다양한 컴퓨팅 서비스 통합 할인

🔹 2. 스토리지 비용 최적화: S3 Storage Class 비교

활용 팁

• Lifecycle Policy로 자동 이동 설정
• 접근 빈도 모니터링 후 전환

🔹 3. 서버리스 아키텍처 활용

활용 포인트

• EC2 → Lambda로 대체 가능성 검토
• 간헐적 트래픽엔 서버리스가 일반 서버보다 경제적

🔹 4. 모니터링 및 비용 관리 도구

✅ 사례 1: 인스턴스 과금 최적화

문제
스타트업에서 신규 서비스의 트래픽 예측이 어려워 EC2 인스턴스를 유동적으로 운영하려 한다. 하지만 비용이 빠르게 증가하고 있어 최적화가 필요하다. 어떤 인스턴스 요금 모델이 가장 적절한가?
정답: ✅ Savings Plan
해설

• 트래픽 예측은 어렵지만 EC2는 계속 사용됨 → RI는 너무 고정적
• Spot은 중단 위험 있음
• Savings Plan은 다양한 인스턴스 유형/리전에도 할인 적용

추천 설계

• Compute Savings Plan 적용 (1년 약정)
• Cost Explorer로 사용량 분석 → 적정 약정량 설정

✅ 사례 2: 정적 자산 스토리지 비용 과다

문제
마케팅 부서에서 업로드한 이미지 및 동영상 파일이 S3에 장기간 저장되고 있다. 하지만 조회 빈도는 점점 줄어들고, 스토리지 요금이 너무 높다. 어떻게 대응해야 하는가?
정답: ✅ S3 Intelligent-Tiering 또는 S3 Lifecycle Policy 사용
해설

• 수동 전환은 번거롭고 예측 어려움 → Intelligent-Tiering 자동 이동
• 일정 기간 후 Glacier로 이동 설정도 가능

추천 설계

• S3 버킷에 Lifecycle Policy 설정 (30일 후 IA, 90일 후 Glacier)
• S3 Storage Class 분석 보고서 확인

✅ 사례 3: 배치 작업 서버 비용 문제

문제
매일 새벽 3시에 실행되는 대용량 데이터 처리 배치 작업이 EC2에서 실행되고 있다. 하지만 인스턴스가 하루 1시간만 사용되는데도 하루 종일 요금이 청구되고 있다. 어떻게 개선할 수 있는가?
정답: ✅ AWS Lambda 또는 Spot Instance로 전환
해설

• 간헐적/예측 가능한 작업 → Lambda 적합
• 중단 가능하지만 빠른 처리 요구 시 Spot도 고려 가능

추천 설계

• Lambda + S3 + Step Functions 설계 (서버리스 방식)
• 혹은 Spot Fleet 설정으로 단기 고성능 인스턴스 확보

✅ 사례 4: API 서버 과금 최적화

문제
고객 대상 REST API를 운영 중인데, 평균 호출 수는 적고 피크 타임에만 사용량이 급증한다. 비용을 줄이기 위한 구조는?
정답: ✅ API Gateway + AWS Lambda 조합
해설

• 사용량이 낮을 땐 EC2는 비효율적
• Lambda는 호출 수 + 실행 시간 기반 요금 → 비용 효율

추천 설계

• API Gateway로 외부 요청 수신
• Lambda로 요청 처리
• CloudWatch로 호출 수 모니터링

✅ 사례 5: 전체 비용 초과 사전 방지

문제
팀별 예산이 정해져 있고, 이를 초과하지 않도록 알림을 받고 싶다. 어떤 서비스를 설정해야 할까?
정답: ✅ AWS Budgets
해설

• Cost Explorer는 확인만 가능
• AWS Budgets는 조건부 경고 가능 (예산 80% 초과 시 알림 등)

추천 설계

• 서비스별 예산 설정 + 이메일 경고
• S3, EC2, CloudFront 등 분류별 예산 분리

✅ Domain 3: 보안 아키텍처 설계 - 서비스 간 비교, 활용 맥락, 추천 설계 방식

✅ 3. 보안 및 접근 제어 관련 핵심 개념과 서비스

🔒 핵심 목표

• 리소스에 대한 최소 권한 원칙(Least Privilege)
• 인증(Authentication)과 권한 부여(Authorization) 구분
• 데이터 보호(암호화, 접근 통제)

📌 자주 출제되는 보안 관련 서비스 및 개념

① IAM (Identity and Access Management)

• AWS 사용자/그룹/역할/정책을 관리
• 정책(Policy)을 통해 리소스 접근 제어 (JSON 형식)
• 유형:
  • 사용자(User): 사람 계정
  • 그룹(Group): 사용자 묶음
  • 역할(Role): 다른 서비스나 사용자에게 임시 권한 부여
  • 정책(Policy): 권한을 정의 (예: S3 접근 가능)

📌 예시 문제:
“EC2 인스턴스가 S3에 접근해야 할 때 가장 안전한 방식은?”
✅ 정답: IAM 역할(Role)을 인스턴스에 할당

② IAM Policy

• JSON 문서로 구성
• 두 종류:
  • 관리형 정책(Managed Policy): AWS 또는 사용자가 만든 정책
  • 인라인 정책(Inline Policy): 특정 사용자/그룹/역할에 직접 연결된 정책

🔍 Policy 예시

{ "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::my-bucket/*" }

③ IAM Role + AssumeRole

• EC2, Lambda 등 AWS 리소스가 다른 리소스에 접근할 수 있도록 역할을 부여
• AssumeRole: 다른 계정이나 서비스가 일시적으로 역할을 "가정"할 수 있음

④ Amazon KMS (Key Management Service)

• 데이터 암호화 및 키 관리 서비스
• S3, EBS, RDS, Lambda 등에서 **기본 또는 고객 관리형 키(CMK)**로 암호화 가능
• CloudTrail과 함께 키 사용 이력 추적 가능

📌 출제 포인트:

• 어떤 암호화 방식/키 사용이 가장 적절한지 선택

⑤ S3 버킷 정책 vs ACL

• 버킷 정책(Bucket Policy): JSON 기반, S3 리소스에 대한 권한 부여
• ACL(Access Control List): 세부적인 객체 수준 권한 (구식 방식 – 가급적 피해야 함)
• 블록 퍼블릭 액세스 설정: 실수로 퍼블릭 공개 방지

⑥ 보안 그룹(Security Group) vs NACL(Network ACL)

📌 문제 예시:

Q. 보안 그룹은 상태 저장인가요, 상태 비저장인가요?

✅ 정답: 상태 저장 (Stateful)

⑦ AWS WAF (Web Application Firewall)

• 웹 애플리케이션을 SQL Injection, XSS 등의 공격으로부터 보호
• CloudFront, ALB, API Gateway와 연동 가능

⑧ AWS Shield / AWS Shield Advanced

• DDoS 공격 보호
• 기본 Shield는 모든 고객에게 자동 제공 (무료)
• Advanced는 더 강력한 보호 + SLA + 실시간 대응 지원

⑨ AWS Organizations + SCP (Service Control Policies)

• 여러 계정 관리를 위한 통합 서비스
• SCP로 각 계정의 리소스 사용 제약 가능 (예: 특정 계정에서 S3만 허용)

⑩ CloudTrail / CloudWatch

• CloudTrail: AWS 계정의 API 호출 로그 기록 (감사 및 추적용)
• CloudWatch Logs: EC2, Lambda 등에서 애플리케이션 로그 모니터링 가능
• 보안 사건 추적과 분석에 자주 사용됨

🔹 IAM 정책 및 최소 권한 원칙 (Least Privilege)

🔹 암호화 관련 서비스 비교

🔹 네트워크 보안: Security Group vs NACL

🔹 로깅 및 감시: CloudTrail vs AWS Config

🔹 인증 및 접근 제어 서비스 요약

✅ 사례 1: 최소 권한 원칙 위반 방지

문제
한 개발자가 실수로 회사의 모든 S3 버킷에 대한 읽기 및 쓰기 권한을 가진 IAM 정책을 요청했다. 보안팀은 최소 권한 원칙을 따르기를 원한다. 어떻게 대응하는 것이 가장 적절한가?
정답: ✅ IAM 정책을 수정하여 특정 S3 리소스에만 제한
해설

• IAM 정책은 리소스별로 권한을 세밀하게 제어 가능
• 최소 권한 원칙(Least Privilege)은 AWS 보안의 핵심 원칙

추천 설계

• Resource 항목에 특정 버킷 ARN만 명시
• 필요 없는 s3:* 권한은 제거

✅ 사례 2: 암호화된 데이터 저장 요구

문제
보안 규정상 모든 데이터는 저장 시 암호화되어야 한다. S3, EBS, RDS에서 이 요구를 만족하려면 어떻게 해야 하는가?
정답: ✅ SSE-KMS for S3, Encryption at Rest for RDS/EBS
해설

• S3는 SSE-KMS를 통해 KMS 키 기반 서버측 암호화 가능
• RDS, EBS는 생성 시 암호화 옵션으로 AES-256 자동 암호화 가능

추천 설계

• KMS 키를 정의해 CMK 기반 통일된 암호화 관리
• CloudTrail로 키 사용 내역 로깅

✅ 사례 3: 웹 애플리케이션 보안 제어

문제
EC2 기반 웹 애플리케이션이 외부에서 공격받고 있다. 트래픽을 제한하려고 할 때, 가장 먼저 점검해야 할 것은?
정답: ✅ Security Group 설정
해설

• Security Group은 인스턴스 단위 가상 방화벽
• 상태 저장이므로 응답 트래픽은 자동 허용

추천 설계

• 특정 IP만 80/443 포트 접근 허용
• SSH(22번)는 사내 IP로 제한

✅ 사례 4: 감사 로그 수집

문제
감사팀이 "누가 S3 버킷을 삭제했는지" 확인하려고 한다. 어떤 서비스를 사용해야 할까?
정답: ✅ AWS CloudTrail
해설

• CloudTrail은 AWS API 호출을 추적
• S3 버킷 생성/삭제/조회 모두 로깅 가능

추천 설계

• 로그를 S3에 저장 + CloudWatch와 연동
• 특정 이벤트 발생 시 알림 전송 설정 (SNS 연동)

✅ 사례 5: 사용자 인증 통합

문제
모바일 앱에서 Google, Facebook 계정으로 로그인 기능을 제공하고 싶다. 어떤 서비스를 활용할 수 있을까?
정답: ✅ Amazon Cognito
해설

• Cognito는 사용자 인증, 소셜 로그인, 사용자 풀 관리 지원
• AWS 서비스 접근 권한 연동 가능

추천 설계

• Cognito User Pool 생성 + Federation 연동
• 앱에서 Cognito 토큰으로 인증 처리