일단 무조건 IPv4는 있어야 해. (아마 internal DHCP 서버가 인스턴스들을 관리하기 위한거겠지?) Egress-Only Internet Gateway

잘 보면, AWS Direct Connect Location이 따로 있다. 그 말인 즉슨, 전용선을 끌어다 쓸 때는, 그냥 선만 있는게 아니라 그 선을 관리하는 컴퓨팅 리소스가 있어야한다는 뜻일거같음. 뭐 당연하겠지만... 일종의 Direct Connect만을 위한 데이터 센터가 있나보다. VPN Direct Connect는 기본적으로 private이긴 하지만 encryption이 안된다. 그래서 전송간 encryption를 하고 싶으면, VPN을 해서 IPSEC등을 이용해서 암호화를 해야한다. 최대로 Resiliency를 구현하려면, 하나의 location에 2개의 connection을 두면 된다. (total 4개) Direct Connect도 Hosted와 Dedicated 두 개가 있구나... D..

1) CGW에서 VGW에 VPN 연결하고 2) Dynamic routing 설정하고 3) Route table 설정하면 된다. 그러면 고객 온프렘 네트워크끼리 통신이 된다. (물론 인터넷을 거쳐서 가겠지만)

이걸 왜 써? Serverless 서비스의 경우, AWS가 소유한 VPC에 리소스가 위치한다. 그러니까 아마존 글로벌 인프라스트럭처 내에 존재하니깐 Internet을 거치지 않고, 밑단 네트워크를 보면 VPC - VPC 연결이 되는거다. 그런데 AWS가 소유한 VPC는 사용자에게 보이면 안되니까 VPC Endpoint라는 이름으로 서비스를 만든 것 같다. (추정) Interface Endpoints는 모든 경우에 다 쓸 수 있고, Gateway Endpoints는 S3나 DynamoDB의 경우에 쓸 수 있다. 그럼 S3와 DynamoDB에 Interface Endpoints를 쓰는 경우도 있어? 1) 온프레미스에서 연결을하거나 2) 다른 VPC 혹은 다른 Region에서 연결을 할 때 쓴다.

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ijoos&logNo=221564391066 S3 server side client side encryption 데이터 보호를 위해서 S3에서 추가해줄 수 있는 보안요소는 (트랜잭션에 대한 보안을 제외하고) 두가지가 ... blog.naver.com 그니까... TLS로 전송할 때 보안을 확보하고 (in transit) SSE/CSE로 보관할 때 보안을 확보한다. (at rest) KMS Access Control List -> 오답 KMS IAM Policy -> 오답 KMS Key Policies -> 정답.. KMS Key Policy 안에 IAM Policy가 있는 것 같은데...