기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 배포 계획
이 섹션은 AWS의 Cloud Migration Factory 솔루션에 대한 비용, 보안, AWS 리전 및 배포 유형을 계획하는 데 도움이 됩니다.
# 비용
이 솔루션을 실행하는 동안 사용되는 AWS 서비스의 비용은 사용자의 책임입니다. 이 개정을 기준으로, 미국 동부(버지니아 북부) 리전에서 기본 설정으로 이 솔루션을 실행하고 이 솔루션으로 한 달에 200대의 서버를 마이그레이션한다고 가정할 때 드는 예상 비용은 약 **월 \$114.31**입니다. 이 솔루션을 실행하는 데 드는 비용은 다음 테이블에 표시된 것처럼 로드, 요청, 저장, 처리 및 표시되는 데이터의 양에 따라 달라집니다.
| AWS 서비스 | 요소 | 비용/월 [USD] |
| --- | --- | --- |
| **핵심 서비스** | | |
| Amazon API Gateway | 요청 10,000건/월 x (\$13.50/백만) | 0.035 USD |
| AWS Lambda | 간접 호출 10,000건/월 (평균 3,000ms의 지속 시간 및 128MB의 메모리) | 0.065 USD |
| Amazon DynamoDB | 쓰기 요청 20,000건/월 x (\$11.25/백만) 읽기 요청 40,000건/월 x (\$10.25/백만) 데이터 스토리지: 1GB x \$10.25 | 0.035 USD |
| Amazon S3 | 스토리지(10MB) 및 가져오기 요청 50,000건/월 | 0.25 USD |
| Amazon CloudFront | 리전 데이터를 인터넷으로 전송: 처음 10TB 리전 데이터를 오리진으로 전송: 모든 데이터 전송 HTTPS 요청: 요청 50,000건/월 X (\$10.01/요청 10,000건) | 0.92 USD |
| AWS Systems Manager | 10,000단계/월 | 0.00 USD |
| AWS Secrets Manager | 암호 5개 x 소요 시간 30일 | 2.00 USD |
| Amazon Cognito(직접 로그인) | AWS 프리 티어가 적용되는 월간 활성 사용자(MAU) 최대 50,000명 | 0.00 USD |
| Amazon Athena | 매일 10MB x 스캔한 데이터 TB당 \$15.00 | \$10.0015 |
| **선택적 서비스** | | |
| AWS Glue(선택 사항인 마이그레이션 트래커) | 일 2분 x 기본값 10 DPU x DPU 시간당 \$10.44 | 4.40 USD |
| AWS WAF | 웹 ACLs 2개 월 5.00 USD(시간당 비례 배분)2 규칙 월 1.00 USD(시간당 비례 배분) 요청 10,000건 x (요청 1백만 건당 \$10.60) | 6.60 USD |
| Amazon Cognito(SAML 로그인) | AWS Free TierAbove에서 다루는 최대 50MAUs50MAUs, \$10.015/MAU | 0.00 USD |
| | **합계:** | **\$1\$114.31/월** |
## (권장) 자동화 스크립트 실행에 도움이 되도록 Amazon Elastic Compute Cloud 인스턴스 배포
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 배포하여 솔루션의 APIs 및 IAM 역할이 있는 AWS Boto3 APIs에 대한 연결을 자동화하는 것이 좋습니다. 다음 예상 비용은 Amazon EC2 인스턴스가 `us-east-1` 리전에 위치하며 하루 8시간, 주 5일 실행된다고 가정한 것입니다.
| AWS 서비스 | 요소 | 비용/월 [USD] |
| --- | --- | --- |
| Amazon EC2 | 월 176시간 x 시간당 \$10.1108(`t3.large`) | 19.50 USD |
| Amazon Elastic Block Store(Amazon EBS) | 30GB x \$10.08/월 GB(gp3) x (176시간/720시간) | 0.59 USD |
| | **합계:** | **\$1\$120.09** |
요금은 변경될 수 있습니다. 자세한 내용은이 솔루션에서 사용할 각 AWS 서비스의 요금 웹 페이지를 참조하세요.
# 보안
AWS 인프라에 시스템을 빌드하면 보안 책임은 사용자와 AWS가 분담합니다. 이 [공유 모델은](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어할 때 운영 부담을 줄일 수 있습니다. AWS의 보안에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security) 참조하십시오.
## IAM 역할
AWS Identity and Access Management(IAM) 역할을 사용하면 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 AWS Lambda 함수에이 솔루션에 사용되는 다른 AWS 서비스에 대한 액세스 권한을 부여하는 IAM 역할을 생성합니다.
## Amazon Cognito
이 솔루션으로 생성된 Amazon Cognito 사용자는 이 솔루션의 RestAPI에만 액세스할 수 있는 권한을 가진 로컬 사용자입니다. 이 사용자는 AWS 계정의 다른 서비스에 액세스할 권한이 없습니다. 자세한 내용은 Amazon Cognito 개발자 안내서의 [Amazon Cognito 사용자 풀](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)을 참조하세요.**
이 솔루션은 연동 자격 증명 공급자 구성 및 Amazon Cognito의 호스팅된 UI 기능을 통해 외부 SAML 로그인을 선택적으로 지원합니다.
## Amazon CloudFront
이 기본 솔루션은 Amazon S3 버킷에 [호스팅된](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) 웹 콘솔을 배포합니다. 지연 시간을 줄이고 보안을 개선하기 위해 이 솔루션에는 솔루션의 웹 사이트 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 데 도움이 되는 CloudFront의 특수 사용자인 오리진 액세스 ID가 있는 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 배포가 포함되어 있습니다. 자세한 내용을 알아보려면 Amazon CloudFront 개발자 안내서의 [오리진 액세스 ID(OAI)를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)을 참조하세요.**
스택 배포 중에 **프라이빗** 배포 유형을 선택한 경우 CloudFront 배포는 배포되지 않으며, 웹 콘솔을 호스팅하는 데 다른 웹 호스팅 서비스를 사용해야 합니다.
## AWS WAF - Web Application Firewall
스택에서 선택한 배포 유형이 [AWS WAF](https://aws.amazon.com/waf/)에서 퍼블릭인 경우 CloudFormation은 CMF 솔루션에서 생성된 CloudFront, API Gateway 및 Cognito 엔드포인트를 보호하도록 구성된 필수 AWS WAF 웹 ACLs 및 규칙을 배포합니다. 이러한 엔드포인트는 지정된 소스 IP 주소만 이러한 엔드포인트에 액세스하는 것을 허용하도록 제한됩니다. 스택 배포 중에는 AWS WAF 콘솔을 통해 배포한 후 규칙을 추가하려면 두 개의 CIDR 범위를 시설에 제공해야 합니다.
**중요**
WAF IP 제한을 구성할 때 CMF 자동화 서버의 IP 주소 또는 발신 NAT 게이트웨이 IP가 허용된 CIDR 범위에 포함되어 있는지 확인합니다. 이는 솔루션의 API 엔드포인트에 액세스해야 하는 CMF 자동화 스크립트의 적절한 작동에 매우 중요합니다.
## Amazon API Gateway
이 솔루션은 Amazon API Gateway REST APIs 배포하고 기본 API 엔드포인트와 SSL 인증서를 사용합니다. 기본 API 엔드포인트는 TLSv1 보안 정책을 지원합니다. TLS\$11\$12 보안 정책을 사용하여 사용자 지정 도메인 이름과 사용자 지정 SSL 인증서로 TLSv1.2\$1를 적용하는 것이 좋습니다. 자세한 내용은 *Amazon API Gateway * [API Gateway 개발자 안내서의 API Gateway에서 사용자 지정 도메인의 최소 TLS 버전 선택](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) 및 [사용자 지정 도메인 구성을](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) 참조하세요.
## Amazon CloudWatch 경보/카나리아
Amazon CloudWatch 경보는 솔루션의 기능 및 보안 가정이 준수되고 있는지 모니터링하는 데 도움이 됩니다. 솔루션에는 AWS Lambda 함수 및 API Gateway 엔드포인트에 대한 로깅 및 지표가 포함되어 있습니다. 특정 사용 사례에 대해 추가 모니터링이 필요한 경우 다음을 모니터링하도록 CloudWatch 경보를 구성할 수 있습니다.
+ **API Gateway 모니터링:**
+ 4XX 및 5XX 오류에 대한 경보를 설정하여 무단 액세스 시도 또는 API 문제 감지
+ API Gateway 지연 시간을 모니터링하여 성능 보장
+ API 요청 수를 추적하여 비정상적인 패턴 식별
+ **AWS Lambda 함수 모니터링:**
+ Lambda 함수 오류 및 제한 시간에 대한 경보 생성
+ Lambda 함수 기간을 모니터링하여 최적의 성능 보장
+ 병목 현상을 방지하기 위해 동시 실행에 대한 경보 설정
CloudWatch 콘솔을 사용하거나 AWS CloudFormation 템플릿을 통해 이러한 경보를 생성할 수 있습니다. CloudWatch 경보 생성에 대한 자세한 지침은 [ Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 경보 생성을 참조하세요](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). *Amazon CloudWatch *
## 고객 관리형 AWS KMS 키
이 솔루션은 저장 데이터 암호화를 사용하여 데이터를 보호하고 고객 데이터에 AWS 관리형 키를 사용합니다. 이러한 키는 스토리지 계층에 기록되기 전에 데이터를 자동으로 투명하게 암호화하는 데 사용됩니다. 일부 사용자는 데이터 암호화 프로세스를 더 잘 제어하기를 원할 수 있습니다. 이 접근 방식을 사용하면 자체 보안 자격 증명을 관리하여 더 높은 수준의 제어 및 가시성을 제공할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 [기본 개념](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) 및 AWS KMS 키를 참조하세요. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) *AWS Key Management Service *
## 로그 보존
이 솔루션은 계정에서 Amazon CloudWatch logs를 캡처합니다. 기본적으로 로그는 10년 동안 보관됩니다. 각 로그 그룹에 대해 LogRetentionPeriod 파라미터를 조정하거나, 무기한 보존으로 전환하거나, 요구 사항에 따라 1일에서 10년 사이의 보존 기간을 선택할 수 있습니다. 자세한 내용은 [ Amazon CloudWatch Logs 사용 설명서의 Amazon CloudWatch Logs란 무엇입니까?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features)*를 참조하세요 Amazon CloudWatch*.
## Amazon Bedrock
솔루션은 CloudFormation 스택 배포 중에 해당 리전에 가장 적합한 파운데이션 모델을 자동으로 선택합니다. 선택 프로세스는를 호출`list_foundation_models()`하고이 우선 순위에서 사용 가능한 첫 번째 모델을 선택하는 Lambda 함수를 사용합니다.
1. `anthropic.claude-sonnet-4-20250514-v1:0` (Sonnet 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0` (Sonnet 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0` (Sonnet 3.5v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0` (Sonnet 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0` (Sonnet 3)
1. `amazon.nova-pro-v1:0` (노바 프로)
GenAI 기능을 사용하려면 Bedrock 콘솔을 통해 AWS 계정에서 선택한 모델을 활성화해야 합니다. 이 솔루션의 핵심 기능은 GenAI 기능을 활성화하지 않고도 완벽하게 작동합니다. 고객은 AI 지원 기능을 사용하지 않으려는 경우 수동 입력과 함께 도구를 사용하도록 선택할 수 있습니다.
배포 후 WPMStack의 `GenAISelectedModelArn` 필드 아래에 있는 CloudFormation 스택 출력에서 선택한 모델 ARN을 찾을 수 있습니다.
![\[선택한 GenAI 모델 ARN을 보여주는 CloudFormation 스택 출력\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Amazon Bedrock 모델 활성화 인터페이스\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
이 솔루션의 기본 구성은 다음을 위해 Amazon Bedrock 가드레일을 배포합니다.
+ 유해한 콘텐츠 필터링
+ 사용 사례와 관련이 없는 블록 프롬프트 주입
![\[Amazon Bedrock Guardrails 구성 인터페이스\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
자세한 내용은 [Amazon Bedrock Guardrails](https://aws.amazon.com/bedrock/guardrails/)를 참조하세요. CMF 솔루션에서 가드레일을 옵트아웃하려면 템플릿 파라미터 섹션에서 false를 선택할 수 있습니다.
# 지원되는 AWS 리전
이 솔루션은 현재 특정 AWS 리전에서만 사용할 수 있는 Amazon Cognito 및 Amazon QuickSight를 사용합니다. 따라서 이러한 서비스를 사용할 수 있는 리전에서 이 솔루션을 시작해야 합니다. 리전별 최신 서비스 가용성은 [AWS 리전 서비스 목록을](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 참조하세요.
**참고**
마이그레이션 프로세스 중의 데이터 전송은 리전 배포의 영향을 받지 않습니다.
AWS의 Cloud Migration Factory는 다음 AWS 리전에서 사용할 수 있습니다.
| 리전 이름 | |
| --- | --- |
| 미국 동부(오하이오) | 캐나다(중부) |
| 미국 동부(버지니아 북부) | \$1캐나다 서부(캘거리) |
| 미국 서부(캘리포니아 북부) | 유럽(프랑크푸르트) |
| 미국 서부(오리곤) | 유럽(아일랜드) |
| \$1아프리카(케이프타운) | 유럽(런던) |
| \$1아시아 태평양(홍콩) | \$1유럽(밀라노) |
| \$1아시아 태평양(하이데라바드) | \$1유럽(스페인) |
| \$1아시아 태평양(자카르타) | 유럽(파리) |
| \$1아시아 태평양(멜버른) | 유럽(스톡홀름) |
| 아시아 태평양(뭄바이) | \$1유럽(취리히) |
| 아시아 태평양(오사카) | \$1이스라엘(텔아비브) |
| 아시아 태평양(서울) | \$1중동(바레인) |
| 아시아 태평양(싱가포르) | \$1중동(UAE) |
| 아시아 태평양(시드니) | 남아메리카(상파울루) |
| 아시아 태평양(도쿄) | |
**중요**
\$1Amazon CloudFront 액세스 로깅으로 인해 프라이빗 배포 유형에만 사용할 수 있습니다. 최신 세부 정보는 Amazon CloudFront 개발자 안내서의 [표준 로그(액세스 로그) 구성 및 사용하기](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html)를 참조하세요.**
AWS의 Cloud Migration Factory는 다음 AWS 리전에서 사용할 수 없습니다.
| 리전 이름 | 사용할 수 없는 서비스 또는 서비스 옵션 |
| --- | --- |
| AWS GovCloud(US-East) | Amazon Cognito |
| AWS GovCloud (US-West) | Amazon Cognito |
# 할당량
서비스 할당량(제한이라고도 함)은 AWS 계정의 최대 서비스 리소스 또는 작업 수입니다.
## 이 솔루션의 AWS 서비스에 대한 할당량
[이 솔루션에 구현된 각 서비스](aws-services-in-this-solution.md)의 할당량이 충분한지 확인하세요. 자세한 내용은 [AWS 서비스 할당량을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
다음 링크 중 하나를 선택하여 해당 서비스에 대한 페이지로 이동합니다. 페이지를 전환하지 않고 설명서의 모든 AWS 서비스에 대한 서비스 할당량을 보려면 PDF 대신 [서비스 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) 페이지에서 정보를 확인하세요.
## AWS CloudFormation 할당량
AWS 계정에는이 솔루션의 스택을 시작할 때 알아야 할 CloudFormation 할당량이 있습니다. 이러한 할당량을 이해하면 이 솔루션을 성공적으로 배포하지 못하는 제한 오류를 방지할 수 있습니다. 자세한 내용은 [AWS CloudFormation 사용 설명서의 AWS CloudFormation 할당량을 참조하세요](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html). *AWS CloudFormation *