AWS SAA-C03 Examtopics (1001 ~ 1019)

AWS Certified Solutions Architect - Associate 공부하면서 작성된 글로 일부오류가있을수있습니다.

 

■ Question #1001

한 회사가 음식 배달 서비스를 운영합니다. 최근 성장으로 인해 회사의 주문 처리 시스템은 최대 트래픽 시간 동안 확장 문제를 겪고 있습니다. 현재 아키텍처에는 애플리케이션에서 주문을 수집하는 Auto Scaling 그룹의 Amazon EC2 인스턴스가 포함됩니다. Auto Scaling 그룹의 두 번째 EC2 인스턴스 그룹은 주문을 이행합니다. 주문 수집 프로세스는 빠르게 진행되지만 주문 이행 프로세스는 더 오래 걸릴 수 있습니다. 확장 이벤트로 인해 데이터가 손실되어서는 안 됩니다. 솔루션 아키텍트는 주문 수집 프로세스와 주문 이행 프로세스가 모두 최대 트래픽 시간 동안 적절하게 확장될 수 있도록 해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족할까요?

A. Amazon CloudWatch를 사용하여 두 Auto Scaling 그룹의 각 인스턴스에 대한 CPUUtilization 메트릭을 모니터링합니다. 각 Auto Scaling 그룹의 최소 용량을 구성하여 피크 워크로드 값을 충족합니다.

B. Amazon CloudWatch를 사용하여 두 Auto Scaling 그룹의 각 인스턴스에 대한 CPUUtilization 메트릭을 모니터링합니다. CloudWatch 알람을 구성하여 Amazon Simple Notification Service (Amazon SNS) 토픽을 호출하여 필요에 따라 추가 Auto Scaling 그룹을 만듭니다.

C. 두 개의 Amazon Simple Queue Service(Amazon SQS) 대기열을 프로비저닝합니다. 주문 수집에 하나의 SQS 대기열을 사용합니다. 주문 이행에 두 번째 SQS 대기열을 사용합니다. EC2 인스턴스가 해당 대기열을 폴링하도록 구성합니다. 대기열이 보내는 알림에 따라 자동 확장 그룹을 확장합니다.

D. 두 개의 Amazon Simple Queue Service(Amazon SQS) 대기열을 프로비저닝합니다. 주문 수집에 하나의 SQS 대기열을 사용합니다. 주문 이행에 두 번째 SQS 대기열을 사용합니다. EC2 인스턴스가 해당 대기열을 폴링하도록 구성합니다. 각 대기열의 메시지 수에 따라 자동 확장 그룹을 확장합니다.

요구사항 분석
- 주문 수집과 이행 프로세스를 분리하여 처리하고,
- 데이터 손실 없이 시스템을 확장 가능하게 만들어야 하며,
- 최대 트래픽 시간 동안 주문 수집과 이행이 적절하게 확장될 수 있어야 합니다.

D. 두 개의 Amazon Simple Queue Service(Amazon SQS) 대기열을 프로비저닝합니다. 주문 수집에 하나의 SQS 대기열을 사용합니다. 주문 이행에 두 번째 SQS 대기열을 사용합니다. EC2 인스턴스가 해당 대기열을 폴링하도록 구성합니다. 각 대기열의 메시지 수에 따라 자동 확장 그룹을 확장합니다.

- Amazon SQS는 주문 수집과 주문 이행을 처리하는 두 개의 독립된 대기열을 사용하여, 두 프로세스를 효율적으로 분리할 수 있습니다. 이를 통해 주문 수집 단계에서 빠르게 데이터를 수집한 후, 이행 단계에서 더 오랜 시간이 걸리더라도 문제없이 처리할 수 있습니다.

- SQS 대기열을 사용하면 각 단계의 메시지를 안전하게 저장할 수 있으며, 데이터 손실을 방지할 수 있습니다. 또한 대기열의 메시지 수를 모니터링하여 각 프로세스의 부하에 맞춰 자동 확장을 수행할 수 있습니다.

- 각 대기열의 메시지 수에 따라 Auto Scaling 그룹을 확장하면, CPU 사용률과 같은 시스템 메트릭을 기반으로 하는 것보다 더욱 유연하게 확장할 수 있으며, 주문 이행 프로세스가 더 많은 시간이 걸리더라도 안정적으로 확장할 수 있습니다.

---

■ Question #1002

온라인 게임 회사가 회사의 성장하는 사용자 기반을 지원하기 위해 사용자 데이터 저장소를 Amazon DynamoDB로 전환하고 있습니다. 현재 아키텍처에는 사용자 프로필, 업적 및 게임 내 거래가 포함된 DynamoDB 테이블이 포함됩니다. 이 회사는 사용자에게 원활한 게임 경험을 유지하기 위해 견고하고 지속적으로 사용 가능하며 회복성이 있는 DynamoDB 아키텍처를 설계해야 합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족할 솔루션은 무엇입니까?

A. 단일 AWS 리전에서 DynamoDB 테이블을 만듭니다. 온디맨드 용량 모드를 사용합니다. 글로벌 테이블을 사용하여 여러 리전에 데이터를 복제합니다.

B. DynamoDB Accelerator(DAX)를 사용하여 자주 액세스하는 데이터를 캐시합니다. 단일 AWS 리전에 테이블을 배포하고 자동 확장을 활성화합니다. 추가 리전에 대한 크로스 리전 복제를 수동으로 구성합니다.

C. 여러 AWS 리전에 DynamoDB 테이블을 만듭니다. 주문형 용량 모드를 사용합니다. 리전 간 크로스 리전 복제를 위해 DynamoDB Streams를 사용합니다.

D. DynamoDB 글로벌 테이블을 사용하여 자동 다중 리전 복제를 수행합니다. 여러 AWS 리전에 테이블을 배포합니다. 프로비저닝된 용량 모드를 사용합니다. 자동 스케일링을 활성화합니다.

D. DynamoDB 글로벌 테이블을 사용하여 자동 다중 리전 복제를 수행합니다. 여러 AWS 리전에 테이블을 배포합니다. 프로비저닝된 용량 모드를 사용합니다. 자동 스케일링을 활성화합니다.
- DynamoDB 글로벌 테이블은 다중 리전에 걸쳐 데이터가 자동으로 복제되므로, 고가용성과 복원력을 제공합니다. 여러 리전에 데이터를 분산시켜 특정 리전에 장애가 발생해도 다른 리전에서 지속적으로 서비스를 제공할 수 있습니다.

- 프로비저닝된 용량 모드와 자동 스케일링을 조합하면 비용을 효과적으로 관리하면서 트래픽 변화에 따라 동적으로 용량을 조절할 수 있습니다. 특히, 고정된 사용 패턴이 있는 경우 프로비저닝된 용량 모드는 비용을 절감할 수 있습니다.

- 여러 리전에 배포된 테이블은 사용자들에게 지리적으로 더 가까운 리전에서 데이터를 제공할 수 있어 지연 시간을 줄여 원활한 사용자 경험을 제공합니다.

---

■ Question #1003

한 회사가 온프레미스에서 미디어 렌더링 애플리케이션을 실행합니다. 이 회사는 스토리지 비용을 절감하고자 하며 모든 데이터를 Amazon S3로 옮겼습니다. 온프레미스 렌더링 애플리케이션은 스토리지에 대한 저지연 액세스가 필요합니다. 이 회사는 애플리케이션을 위한 스토리지 솔루션을 설계해야 합니다. 스토리지 솔루션은 원하는 애플리케이션 성능을 유지해야 합니다.

어떤 스토리지 솔루션이 가장 비용 효율적인 방식으로 이러한 요구 사항을 충족할까요?

A. Amazon S3의 Mountpoint를 사용하여 온프레미스 애플리케이션의 Amazon S3에 있는 데이터에 액세스합니다.

B. 온프레미스 애플리케이션에 대한 저장소를 제공하도록 Amazon S3 파일 게이트웨이를 구성합니다.

C. Amazon S3에서 Amazon FSx for Windows File Server로 데이터를 복사합니다. 온프레미스 애플리케이션에 대한 스토리지를 제공하도록 Amazon FSx File Gateway를 구성합니다.

D. 온프레미스 파일 서버를 구성합니다. Amazon S3 API를 사용하여 S3 스토리지에 연결합니다. 온프레미스 파일 서버에서 스토리지에 액세스하도록 애플리케이션을 구성합니다.

B. 온프레미스 애플리케이션에 대한 저장소를 제공하도록 Amazon S3 파일 게이트웨이를 구성합니다.

- Amazon S3 파일 게이트웨이는 온프레미스 애플리케이션에 대해 NFS 또는 SMB 프로토콜을 통해 로컬 캐시를 제공하여, 저지연으로 S3 스토리지에 접근할 수 있도록 해줍니다. 이는 대규모 파일 작업이 빈번히 발생하는 미디어 렌더링 애플리케이션에 적합합니다.

- S3 파일 게이트웨이는 자주 접근하는 데이터를 로컬 캐시에 저장하여, 애플리케이션이 반복적으로 액세스해야 하는 파일을 빠르게 제공합니다. 이를 통해 스토리지 비용을 줄이면서 성능을 유지할 수 있습니다.

- S3 파일 게이트웨이를 사용하면, 온프레미스와 클라우드 스토리지를 원활하게 통합할 수 있어 데이터 전송과 관리의 복잡성을 줄일 수 있습니다.

---

■ Question #1004

한 회사가 us-east-1 지역에서 자사의 ERP(Enterprise Resource Planning) 시스템을 호스팅합니다. 이 시스템은 Amazon EC2 인스턴스에서 실행됩니다. 고객은 EC2 인스턴스에서 호스팅되는 퍼블릭 API를 사용하여 ERP 시스템과 정보를 교환합니다. 국제 고객은 데이터 센터에서 API 응답 시간이 느리다고 보고합니다.

어떤 솔루션이 국제 고객의 응답 시간을 가장 비용 효율적으로 개선할까요?

A. 각 고객의 데이터 센터에서 us-east-1로의 연결을 제공하기 위해 퍼블릭 가상 인터페이스(VIF)가 있는 AWS Direct Connect 연결을 만듭니다. Direct Connect 게이트웨이를 사용하여 ERP 시스템 API로 고객 API 요청을 라우팅합니다.

B. API 앞에 Amazon CloudFront 배포를 설정합니다. CachingOptimized 관리형 캐시 정책을 구성하여 캐시 효율성을 개선합니다.

C. AWS Global Accelerator를 설정합니다. 필요한 포트에 대한 리스너를 구성합니다. 트래픽을 분산하기 위해 적절한 리전에 대한 엔드포인트 그룹을 구성합니다. API에 대한 그룹에 엔드포인트를 만듭니다.

D. AWS Site-to-Site VPN을 사용하여 Regions와 고객 네트워크 간에 전용 VPN 터널을 설정합니다. VPN 연결을 통해 API로 트래픽을 라우팅합니다.

B. Amazon CloudFront 배포를 설정합니다. CachingOptimized 관리형 캐시 정책을 구성하여 캐시 효율성을 개선합니다.
- Amazon CloudFront는 전 세계에 분포된 엣지 로케이션을 통해 콘텐츠를 사용자에게 더 가까운 위치에서 제공함으로써, 지연 시간을 줄이는 데 매우 효과적입니다. 이는 API 응답 시간 개선에 큰 도움이 됩니다.

- 특히 정적 콘텐츠 또는 캐시 가능한 동적 콘텐츠가 포함된 API라면, CloudFront를 통해 캐싱을 적용하여 응답 속도를 크게 향상시킬 수 있습니다.

- CloudFront를 사용하면 인터넷 경로 최적화가 가능해져, 사용자와 가장 가까운 엣지 로케이션에서 데이터를 제공할 수 있습니다.

- CachingOptimized 관리형 캐시 정책을 사용하여, 콘텐츠를 최적화된 방식으로 캐싱하고, 필요에 따라 TTL(Time to Live)을 구성해 캐싱 효율성을 높일 수 있습니다.

- AWS Global Accelerator (C)는 모든 트래픽을 AWS의 글로벌 네트워크를 통해 최적화하여 빠르게 전달할 수 있는 장점이 있습니다. 그러나 Global Accelerator는 동적 트래픽과 실시간 애플리케이션에 더 적합하며, 정적 콘텐츠나 캐시 가능한 데이터를 많이 포함하는 API라면 CloudFront가 비용 효율적입니다.

---

■ Question #1005

한 회사는 회사가 웹사이트에 호스팅하는 설문 조사를 사용하여 고객 만족도를 추적합니다. 설문 조사는 때때로 매시간 수천 명의 고객에게 도달합니다. 설문 조사 결과는 현재 회사 직원이 결과를 수동으로 검토하고 고객 감정을 평가할 수 있도록 이메일 메시지로 회사에 전송됩니다. 회사는 고객 설문 조사 프로세스를 자동화하려고 합니다. 설문 조사 결과는 지난 12개월 동안 사용할 수 있어야 합니다.

어떤 솔루션이 가장 확장 가능한 방식으로 이러한 요구 사항을 충족할까요?

A. 설문 조사 결과 데이터를 Amazon Simple Queue Service(Amazon SQS) 대기열에 연결된 Amazon API Gateway 엔드포인트로 보냅니다. SQS 대기열을 폴링하고, 감정 분석을 위해 Amazon Comprehend를 호출하고, 결과를 Amazon DynamoDB 테이블에 저장하는 AWS Lambda 함수를 만듭니다. 모든 레코드의 TTL을 미래 365일로 설정합니다.

B. Amazon EC2 인스턴스에서 실행되는 API로 설문 조사 결과 데이터를 보냅니다. API를 구성하여 설문 조사 결과를 Amazon DynamoDB 테이블에 새 레코드로 저장하고, 감정 분석을 위해 Amazon Comprehend를 호출하고, 두 번째 DynamoDB 테이블에 결과를 저장합니다. 모든 레코드의 TTL을 미래 365일로 설정합니다.

C. 설문 조사 결과 데이터를 Amazon S3 버킷에 씁니다. S3 Event Notifications를 사용하여 AWS Lambda 함수를 호출하여 데이터를 읽고 Amazon Rekognition을 호출하여 감정 분석을 수행합니다. 감정 분석 결과를 두 번째 S3 버킷에 저장합니다. 각 버킷에서 S3 수명 주기 정책을 사용하여 365일 후에 객체를 만료시킵니다.

D. 설문 조사 결과 데이터를 Amazon Simple Queue Service(Amazon SQS) 대기열에 연결된 Amazon API Gateway 엔드포인트로 보냅니다. SQS 대기열을 구성하여 감정 분석을 위해 Amazon Lex를 호출하고 결과를 Amazon DynamoDB 테이블에 저장하는 AWS Lambda 함수를 호출합니다. 모든 레코드의 TTL을 미래 365일로 설정합니다.

요구사항 분석

- 확장성: 설문 조사 결과가 수천 명의 고객에게 도달할 수 있으므로 높은 트래픽을 처리할 수 있어야 합니다.

- 자동화: 수작업 과정을 제거하고 고객 감정을 자동으로 평가할 수 있어야 합니다.

- 데이터 저장: 지난 12개월(365일) 동안의 데이터를 유지해야 합니다.

A.설문 조사 결과 데이터를 Amazon Simple Queue Service(Amazon SQS) 대기열에 연결된 Amazon API Gateway 엔드포인트로 보냅니다. SQS 대기열을 폴링하고, 감정 분석을 위해 Amazon Comprehend를 호출하고, 결과를 Amazon DynamoDB 테이블에 저장하는 AWS Lambda 함수를 만듭니다. 모든 레코드의 TTL을 미래 365일로 설정합니다.

- Amazon API Gateway 엔드포인트를 통해 설문 조사 데이터를 수집하고 Amazon SQS 대기열에 저장합니다.

- AWS Lambda 함수가 SQS 대기열에서 메시지를 폴링하고 Amazon Comprehend를 호출하여 감정 분석을 수행합니다.

- 결과는 Amazon DynamoDB에 저장되며, 레코드 TTL (Time to Live)을 365일로 설정하여 데이터가 자동으로 삭제됩니다.

장점

- 확장성: SQS와 Lambda는 트래픽 급증을 자동으로 처리할 수 있습니다.

- 자동화: Lambda와 Comprehend를 통해 감정 분석이 자동으로 처리됩니다.

- 비용 효율성: SQS와 DynamoDB의 사용은 이벤트 기반으로 비용을 최적화합니다.

- 데이터 관리: TTL을 사용해 365일 동안 데이터를 유지합니다.

---

■ Question #1006

한 회사에서는 Amazon EC2 인스턴스의 일상적인 관리 및 패치에 AWS Systems Manager를 사용합니다. EC2 인스턴스는 Application Load Balancer(ALB) 뒤의 IP 주소 유형 대상 그룹에 있습니다. 새로운 보안 프로토콜은 패치 중에 회사에서 EC2 인스턴스를 서비스에서 제거하도록 요구합니다. 회사가 다음 패치 중에 보안 프로토콜을 따르려고 하면 패치 창에서 오류가 발생합니다.

어떤 솔루션 조합이 오류를 해결할 수 있을까요? (두 가지를 선택하세요.)

A. 대상 그룹의 대상 유형을 IP 주소 유형에서 인스턴스 유형으로 변경합니다.

B. ALB 뒤에 있는 IP 주소 유형 대상 그룹의 인스턴스를 처리하도록 이미 최적화되어 있으므로 기존 Systems Manager 문서를 변경 없이 계속 사용합니다.

C. AWSEC2-PatchLoadBalanacerInstance Systems Manager Automation 문서를 구현하여 패치 프로세스를 관리합니다.

D. 시스템 관리자 유지 관리 창을 사용하여 인스턴스를 서비스에서 자동으로 제거하여 인스턴스에 패치를 적용합니다.

E. Systems Manager State Manager를 구성하여 서비스에서 인스턴스를 제거하고 패치 일정을 관리합니다. ALB 상태 검사를 사용하여 트래픽을 다시 라우팅합니다.

C. AWSEC2-PatchLoadBalancerInstance Systems Manager Automation 문서를 구현하여 패치 프로세스를 관리합니다.
- AWS가 제공하는 'AWSEC2-PatchLoadBalancerInstance' Systems Manager Automation 문서는 패치 적용 중 인스턴스를 안전하게 ALB에서 제거하고 패치 완료 후 다시 추가하는 자동화된 프로세스를 제공합니다.

적합성

- 이 문서를 사용하면 IP 주소 또는 인스턴스 유형 대상 그룹에 관계없이 작업을 처리할 수 있습니다.

- ALB와 통합하여 EC2 인스턴스가 패치 중에 트래픽을 처리하지 않도록 보장합니다.

D. 시스템 관리자 유지 관리 창을 사용하여 인스턴스를 서비스에서 자동으로 제거하여 인스턴스에 패치를 적용합니다.

- Maintenance Window는 패치 작업이 발생하는 시간을 사전에 계획하고 관리할 수 있게 해주는 AWS Systems Manager의 기능입니다.

- 이 기능은 패치 적용 시간 동안 인스턴스를 서비스에서 자동으로 제거하고 작업이 완료된 후 다시 서비스에 추가합니다.

적합성

- 보안 프로토콜 준수를 위해 패치 중 인스턴스를 서비스에서 제거해야 하는 요구 사항을 충족합니다.
- ALB 뒤에 있는 IP 주소 유형 대상 그룹에도 적용 가능합니다.

---

■ Question #1007

의료 회사가 여러 고객으로부터 얻은 방대한 양의 임상 시험 데이터에 대한 변환을 수행하려고 합니다. 이 회사는 고객 데이터가 포함된 관계형 데이터베이스에서 데이터를 추출해야 합니다. 그런 다음 이 회사는 일련의 복잡한 규칙을 사용하여 데이터를 변환합니다. 이 회사는 변환이 완료되면 Amazon S3에 데이터를 로드합니다. 모든 데이터는 회사가 Amazon S3에 데이터를 저장하기 전에 처리되는위치에서 암호화되어야 합니다. 모든 데이터는 고객별 키를 사용하여 암호화되어야 합니다.

어떤 솔루션이 최소한의 운영 노력으로 이러한 요구 사항을 충족할까요?

A. 각 고객에 대해 하나의 AWS Glue 작업을 만듭니다. Amazon S3 관리 키(SSE-S3)를 사용하여 서버 측 암호화를 사용하는 각 작업에 보안 구성을 연결하여 데이터를 암호화합니다.

B. 각 고객에 대해 하나의 Amazon EMR 클러스터를 만듭니다. 사용자 지정 클라이언트 측 루트 키(CSE-Custom)로 데이터를 암호화하는 클라이언트 측 암호화를 사용하는 각 클러스터에 보안 구성을 연결합니다.

C. 각 고객에 대해 하나의 AWS Glue 작업을 만듭니다. AWS KMS 관리 키(CSE-KMS)를 사용하여 데이터를 암호화하는 클라이언트 측 암호화를 사용하는 각 작업에 보안 구성을 연결합니다.

D. 각 고객에 대해 하나의 Amazon EMR 클러스터를 만듭니다. AWS KMS 키(SSE-KMS)를 사용하여 데이터를 암호화하는 서버 측 암호화를 사용하는 각 클러스터에 보안 구성을 연결합니다.

C. 각 고객에 대해 하나의 AWS Glue 작업을 만듭니다. AWS KMS 관리 키(CSE-KMS)를 사용하여 데이터를 암호화하는 클라이언트 측 암호화를 사용하는 각 작업에 보안 구성을 연결합니다.

- AWS Glue는 완전 관리형 데이터 통합 서비스로, ETL(추출, 변환, 로드) 작업을 수행하는 데 적합합니다. Glue를 사용하면 복잡한 변환 작업을 자동화하고 관리 오버헤드를 줄일 수 있습니다.

- 클라이언트 측 암호화(CSE-KMS)는 데이터를 처리 위치에서 암호화한 후 Amazon S3로 저장할 수 있습니다. 이를 통해 데이터는 처리 중에 AWS KMS(Key Management Service)에서 제공하는 고객별 키로 안전하게 암호화됩니다.

- AWS KMS를 사용하면 각 고객에 대해 개별적으로 관리되는 고객별 키를 쉽게 생성하고 관리할 수 있습니다.

- Glue 작업은 서버를 직접 관리할 필요 없이 자동으로 확장되므로, 운영 부담이 크게 줄어듭니다.

---

■ Question #1008

한 회사가 단일 Amazon EC2 On-Demand 인스턴스에서 웹사이트 분석 애플리케이션을 호스팅합니다. 분석 애플리케이션은 매우 회복성이 뛰어나고 상태 비저장 모드로 실행되도록 설계되었습니다. 이 회사는 바쁜 시간에 애플리케이션이 성능 저하 징후를 보이고 5xx 오류가 표시된다는 것을 알아챘습니다. 이 회사는 애플리케이션을 원활하게 확장해야 합니다.

어떤 솔루션이 이러한 요구 사항을 가장 비용 효율적으로 충족할까요?

A. 웹 애플리케이션의 Amazon Machine Image(AMI)를 만듭니다. AMI를 사용하여 두 번째 EC2 On-Demand 인스턴스를 시작합니다. Application Load Balancer를 사용하여 두 EC2 인스턴스에 부하를 분산합니다.

B. 웹 애플리케이션의 Amazon Machine Image (AMI)를 만듭니다. AMI를 사용하여 두 번째 EC2 On-Demand 인스턴스를 시작합니다. Amazon Route 53 가중 라우팅을 사용하여 두 EC2 인스턴스에 부하를 분산합니다.

C. EC2 인스턴스를 중지하고 인스턴스 유형을 변경하기 위한 AWS Lambda 함수를 만듭니다. CPU 사용률이 75%를 넘을 때 Lambda 함수를 호출하기 위한 Amazon CloudWatch 알람을 만듭니다.

D. 웹 애플리케이션의 Amazon Machine Image(AMI)를 만듭니다. AMI를 실행 템플릿에 적용합니다. 실행 템플릿을 포함하는 Auto Scaling 그룹을 만듭니다. Spot Fleet을 사용하도록 실행 템플릿을 구성합니다. Auto Scaling 그룹에 Application Load Balancer를 연결합니다.

D. 웹 애플리케이션의 Amazon Machine Image(AMI)를 만듭니다. AMI를 실행 템플릿에 적용합니다. 실행 템플릿을 포함하는 Auto Scaling 그룹을 만듭니다. Spot Fleet을 사용하도록 실행 템플릿을 구성합니다. Auto Scaling 그룹에 Application Load Balancer를 연결합니다.활용해 비용을 절감합니다.
- ALB는 트래픽을 적절히 분산하여 성능을 유지합니다.

장점
- Auto Scaling 그룹으로 트래픽 변화에 따른 자동 확장
- Spot 인스턴스를 사용하여 비용 최적화
- ALB로 부하 분산을 자동화

- 비용 효율성: Spot 인스턴스를 사용하여 비용 절감이 가능하며, 자동화로 효율성 극대화

---

■ Question #1009

한 회사가 Amazon S3 버킷에 데이터가 저장된 환경을 운영합니다. 객체는 하루 종일 자주 액세스됩니다. 이 회사는 S3 버킷에 저장된 데이터에 대해 엄격한 데이터 암호화 요구 사항을 가지고 있습니다. 이 회사는 현재 암호화를 위해 AWS Key Management Service (AWS KMS)를 사용합니다. 이 회사는 AWS KMS에 대한 추가 호출 없이 S3 객체를 암호화하는 데 따른 비용을 최적화하려고 합니다.

어떤 솔루션이 이러한 요구 사항을 충족할까요?

A. Amazon S3 관리 키 (SSE-S3)를 사용하여 서버 측 암호화를 사용합니다.

B. AWS KMS 키 (SSE-KMS)를 사용하여 새 객체의 서버 측 암호화를 위한 S3 버킷 키를 사용합니다.

C. AWS KMS 고객 관리 키로 클라이언트 측 암호화를 사용합니다.

D. AWS KMS에 저장된 고객 제공 키 (SSE-C)를 사용하여 서버 측 암호화를 사용합니다.

B. AWS KMS 키 (SSE-KMS)를 사용하여 새 객체의 서버 측 암호화를 위한 S3 버킷 키를 사용합니다.
- S3 버킷 키 (S3 Bucket Keys)는 AWS KMS와의 통합을 유지하면서, S3 객체에 대한 암호화 시 KMS 호출 수를 줄이는 방법입니다. 이를 통해 AWS KMS의 비용을 최적화하면서 여전히 엄격한 데이터 암호화 요구 사항을 충족할 수 있습니다.

- SSE-KMS를 계속 사용하되, S3 버킷 키를 활성화하면 AWS KMS 호출이 기존 객체의 재암호화 대신에 한 번의 호출로 해당 키를 사용하는 여러 객체에 대해 암호화할 수 있게 됩니다.

- 이는 특히 자주 액세스되는 객체가 있는 상황에서 KMS 호출 비용을 줄이는 데 유리합니다.

---

■ Question #1010

한 회사가 온프레미스 데이터 센터의 가상 머신(VM)에서 여러 워크로드를 실행합니다. 회사는 빠르게 확장하고 있습니다. 온프레미스 데이터 센터는 비즈니스 요구 사항을 충족할 만큼 빠르게 확장할 수 없습니다. 회사는 워크로드를 AWS로 마이그레이션하려고 합니다. 마이그레이션은 시간에 민감합니다. 회사는 비중요 워크로드에 리프트 앤 시프트 전략을 사용하려고 합니다.

이러한 요구 사항을 충족하는 단계의 조합은 무엇입니까? (세 가지를 선택하십시오.)

A. AWS Schema Conversion Tool(AWS SCT)을 사용하여 VM에 대한 데이터를 수집합니다.

B. AWS 애플리케이션 마이그레이션 서비스를 사용합니다. VM에 AWS 복제 에이전트를 설치합니다.

C. VM의 초기 복제를 완료합니다. 테스트 인스턴스를 시작하여 VM에서 수락 테스트를 수행합니다.

D. VM에서 모든 작업을 중지합니다. 컷오버 인스턴스를 시작합니다.

E. AWS App2Container(A2C)를 사용하여 VM에 대한 데이터를 수집합니다.

F. AWS Database Migration Service(AWS DMS)를 사용하여 VM을 마이그레이션합니다.

B. AWS 애플리케이션 마이그레이션 서비스를 사용합니다. VM에 AWS 복제 에이전트를 설치합니다.

- AWS Application Migration Service(MGN)는 온프레미스 워크로드를 AWS로 빠르고 안전하게 복제하는 데 사용됩니다.

- VM에 복제 에이전트를 설치하면 AWS로 데이터를 지속적으로 복제할 수 있으며, 리프트 앤 시프트 전략에 적합합니다.

C. VM의 초기 복제를 완료합니다. 테스트 인스턴스를 시작하여 VM에서 수락 테스트를 수행합니다.

- 초기 복제를 완료한 후, AWS에서 테스트 인스턴스를 실행하여 애플리케이션이 정상적으로 작동하는지 확인하는 단계입니다.

- 이 과정은 서비스 연속성을 보장하기 위한 중요한 절차입니다.

D. VM에서 모든 작업을 중지합니다. 컷오버 인스턴스를 시작합니다.

- 컷오버 (cutover)는 최종 마이그레이션 단계에서 실행되는 과정입니다. 작업을 중지한 뒤 복제된 AWS 인스턴스를 활성화하여 실제 트래픽을 처리하도록 전환합니다.

- 마이그레이션의 마지막 단계로 필요합니다.

단계 요약
1. 복제 에이전트 설치: AWS MGN을 사용하여 VM의 데이터를 복제합니다.

2. 초기 복제 완료 및 테스트: AWS에서 복제본을 테스트합니다.

3. 컷오버 전환: 온프레미스 작업을 중단하고 AWS 인스턴스를 활성화합니다.

이 접근 방식은 시간에 민감한 리프트 앤 시프트 전략에 적합하며, 마이그레이션 후 성능 테스트 및 운영 전환을 원활히 수행 할 수 있습니다.

---

 

■ Question #1011

한 회사가 프라이빗 서브넷에 애플리케이션을 호스팅합니다. 이 회사는 이미 애플리케이션을 Amazon Cognito와 통합했습니다. 이 회사는 Amazon Cognito 사용자 풀을 사용하여 사용자를 인증합니다. 이 회사는 애플리케이션이 Amazon S3 버킷에 사용자 문서를 안전하게 저장할 수 있도록 애플리케이션을 수정해야 합니다.

어떤 단계 조합이 Amazon S3를 애플리케이션과 안전하게 통합할까요? (두 가지를 선택하세요.)

A. 사용자가 성공적으로 로그인할 때 안전한 Amazon S3 액세스 토큰을 생성하기 위해 Amazon Cognito 자격 증명 풀을 생성합니다.

B. 기존 Amazon Cognito 사용자 풀을 사용하여 사용자가 성공적으로 로그인하면 Amazon S3 액세스 토큰을 생성합니다.

C. 회사에서 애플리케이션을 호스팅하는 동일한 VPC에 Amazon S3 VPC 엔드포인트를 생성합니다.

D. 회사가 애플리케이션을 호스팅하는 VPC에 NAT 게이트웨이를 만듭니다. Amazon Cognito에서 시작되지 않은 모든 요청을 거부하기 위해 S3 버킷에 정책을 할당합니다.

E. 사용자의 IP 주소에서만 액세스할 수 있도록 하는 정책을 S3 버킷에 연결합니다.

A. 사용자가 성공적으로 로그인할 때 안전한 Amazon S3 액세스 토큰을 생성하기 위해 Amazon Cognito 자격 증명 풀을 생성합니다.
- Amazon Cognito 자격 증명 풀 (Federated Identity)은 사용자 인증 이후 사용자가 AWS 서비스에 액세스할 수 있는 임시 자격 증명을 제공합니다.

- 사용자 풀 (User Pool)은 인증에 사용되고, 자격 증명 풀 (Credentials Pool)은 인증된 사용자에게 AWS 리소스에 접근할 수 있는 자격 증명을 제공합니다.

- 이 단계는 인증된 사용자에게 Amazon S3에 액세스할 수 있는 권한을 안전하게 부여하는 데 필수적입니다.

C. 회사에서 애플리케이션을 호스팅하는 동일한 VPC에 Amazon S3 VPC 엔드포인트를 생성합니다.

- S3 VPC 엔드포인트를 생성하면 데이터가 인터넷을 통해 이동하지 않고, AWS 네트워크를 통해 안전하게 S3와 통신합니다.

- 이 구성은 S3와의 연결을 안전하게 유지하는 데 매우 유용합니다.

- Amazon Cognito 자격 증명 풀은 사용자 인증 후 임시 AWS 자격 증명을 제공하여 S3와 같은 AWS 서비스에 안전하게 액세스할 수 있도록 합니다. 이를 통해 IAM 역할과 정책을 설정하여 세밀하게 접근을 제어할 수 있습니다.

- S3 VPC 엔드포인트는 인터넷을 통하지 않고 AWS 네트워크 내에서 S3와 애플리케이션 간의 데이터를 전송하므로 보안성이 향상됩니다.

추가적인 보안
- S3 버킷 정책에서 aws:userid 조건을 사용하여 특정 Cognito 사용자에게만 접근 권한을 부여할 수 있습니다.
- S3 버킷의 퍼블릭 액세스를 비활성화하고 필요시 암호화를 활성화할 수 있습니다.

 

---

■ Question #1012

한 회사에는 고객의 주문을 처리하는 3계층 웹 애플리케이션이 있습니다. 웹 계층은 애플리케이션 로드 밸런서 뒤에 있는 Amazon EC2 인스턴스로 구성됩니다. 처리 계층은 EC2 인스턴스로 구성됩니다. 이 회사는 Amazon Simple Queue Service (Amazon SQS)를 사용하여 웹 계층과 처리 계층을 분리했습니다. 스토리지 계층은 Amazon DynamoDB를 사용합니다. 피크 타임에 일부 사용자는 주문 처리 지연과 홀을 보고합니다. 이 회사는 이러한 지연 중에 EC2 인스턴스가 100% CPU 사용률로 실행되고 SQS 대기열이 가득 찬다는 것을 알아챘습니다. 피크 타임은 가변적이고 예측할 수 없습니다. 이 회사는 애플리케이션의 성능을 개선해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족할까요?

A. Amazon EC2 Auto Scaling에 예약된 스케일링을 사용하여 피크 사용 시간 동안 처리 계층 인스턴스를 스케일 아웃합니다. CPU 사용률 메트릭을 사용하여 스케일링 시기를 결정합니다.

B. DynamoDB 백엔드 티어 앞에 Amazon ElastiCache for Redis를 사용합니다. 타겟 활용도를 메트릭으로 사용하여 확장 시기를 결정합니다.

C. Amazon CloudFront 배포를 추가하여 웹 계층에 대한 응답을 캐시합니다. HTTP 대기 시간을 메트릭으로 사용하여 확장 시기를 결정합니다.

D. Amazon EC2 Auto Scaling 대상 추적 정책을 사용하여 처리 계층 인스턴스를 확장합니다. ApproximateNumberOfMessages 속성을 사용하여 확장 시기를 결정합니다.

D. Amazon EC2 Auto Scaling 대상 추적 정책을 사용하여 처리 계층 인스턴스를 확장합니다. ApproximateNumber OfMessages 속성을 사용하여 확장 시기를 결정합니다.
- SQS 대기열의 메시지 수를 기반으로 처리 계층을 확장하면, 피크 시간 동안 가득 찬 SQS 대기열에 효율적으로 대응할 수 있습니다.
- Auto Scaling의 대상 추적 정책 (Target Tracking Policy)은 특정 메트릭에 따라 자동으로 인스턴스를 확장합니다. 이 경우 ApproximateNumberOfMessages 속성을 사용하여 SQS 대기열에 누적된 메시지 수가 증가할 때 처리 계층 인스턴스를 자동으로 확장할 수 있습니다.
- ApproximateNumberOfMessages는 대기열의 현재 처리되지 않은 메시지 수를 나타내므로, 이를 기반으로 확장함으로써 유연하게 피크 시간에 대처할 수 있습니다.
- 이 접근법은 가변적이고 예측할 수 없는 피크 시간에 맞게 처리 계층의 EC2 인스턴스를 동적으로 확장할 수 있어, 필요할 때에만 자원을 확장함으로써 비용도 최적화할 수 있습니다.

---

■ Question #1013

회사의 프로덕션 환경은 월요일부터 토요일까지 끊임없이 실행되는 Amazon EC2 On-Demand 인스턴스로 구성되어 있습니다. 인스턴스는 일요일에 12시간만 실행되어야 하며 중단을 허용할 수 없습니다. 회사는 프로덕션 환경의 비용을 최적화하고자 합니다.

어떤 솔루션이 이러한 요구 사항을 가장 비용 효율적으로 충족할까요?

A. 일요일에 12시간만 실행되는 EC2 인스턴스에 대해 예약된 예약 인스턴스를 구매합니다. 월요일과 토요일 사이에 지속적으로 실행되는 EC2 인스턴스에 대해 표준 예약 인스턴스를 구매합니다.

B. 일요일에 12시간만 실행되는 EC2 인스턴스에 대해 Convertible Reserved Instances를 구매합니다. 월요일부터 토요일까지 지속적으로 실행되는 EC2 인스턴스에 대해 Standard Reserved Instances를 구매합니다.

C. 일요일에 12시간만 실행되는 EC2 인스턴스에는 Spot Instances를 사용합니다. 월요일부터 토요일까지 지속적으로 실행되는 EC2 인스턴스에는 Standard Reserved Instances를 구매합니다.

D. 일요일에 12시간만 실행되는 EC2 인스턴스에는 Spot Instances를 사용합니다. 월요일부터 토요일까지 지속적으로 실행되는 EC2 인스턴스에는 Convertible Reserved Instances를 구매합니다.

A. 일요일에 12시간만 실행되는 EC2 인스턴스에 대해 예약된 예약 인스턴스를 구매합니다. 월요일과 토요일 사이에 지속적으로 실행되는 EC2 인스턴스에 대해 표준 예약 인스턴스를 구매합니다.

- 일요일에 12시간만 인스턴스가 필요: 예약된 예약 인스턴스(Reserved Scheduled Instances)는 특정 시간 동안만 인스턴스를 실행해야 할 때 적합한 옵션입니다. 일요일 12시간 동안만 인스턴스를 실행해야 하므로, 이 일정에 맞춰 예약된 예약 인스턴스를 사용하면 그 시간에만 비용이 발생하도록 할 수 있습니다.

- 장기 실행 인스턴스를 위한 표준 예약 인스턴스: 월요일부터 토요일까지 계속 실행되는 인스턴스에는 표준 예약 인스턴스 (Standard Reserved Instances)를 사용하여 비용을 절감할 수 있습니다. 표준 예약 인스턴스는 장기적으로 지속되는 EC2 인스턴스에 대해 높은 비용 절감 효과를 제공합니다.

- 고정된 일정: 이 시나리오에서는 인스턴스를 일요일 12시간 동안만 실행해야 하는 고정된 일정이 있으며, 이러한 고정된 시간대에 인스턴스를 실행하는 경우에는 예약된 예약 인스턴스가 매우 효율적입니다.

- 비용 최적화: 예약된 예약 인스턴스는 정해진 시간 동안 실행되는 인스턴스에 대해 할인된 요금을 제공하며, 표준 예약 인스턴스는 장기적으로 계속 실행되는 인스턴스에 대해 할인된 요금을 제공합니다. 두 가지 인스턴스를 조합함으로써 운영 비용을 최소화할 수 있습니다.

- Convertible Reserved Instances는 유연한 용량 관리가 가능하다는 장점이 있지만, 비용 절감율이 표준 예약 인스턴스에 비해 상대적으로 낮습니다. Convertible Reserved Instances는 인스턴스 유형을 변경할 수 있는 유연성이 필요할 때 좋지만, 이 시나리오에서는 고정된 일정과 인스턴스 유형이 확정된 상황이므로 추가적인 유연성이 큰 필요가 없습니다.

---

■ Question #1014

디지털 이미지 처리 회사가 온프레미스 모놀리식 애플리케이션을 AWS 클라우드로 마이그레이션하려고 합니다. 이 회사는 수천 개의 이미지를 처리하고 처리 워크플로의 일부로 대용량 파일을 생성합니다. 이 회사는 증가하는 이미지 처리 작업을 관리할 솔루션이 필요합니다. 이 솔루션은 또한 이미지 처리 워크플로의 수동 작업을 줄여야 합니다. 이 회사는 솔루션의 기본 인프라를 관리하고 싶어하지 않습니다.

어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?

A. Amazon EC2 Spot Instances와 함께 Amazon Elastic Container Service(Amazon ECS)를 사용하여 이미지를 처리합니다. Amazon Simple Queue Service (Amazon SQS)를 구성하여 워크플로를 조정합니다. 처리된 파일을 Amazon Elastic File System (Amazon EFS)에 저장합니다.

B. AWS Batch 작업을 사용하여 이미지를 처리합니다. AWS Step Functions를 사용하여 워크플로를 조정합니다. 처리된 파일을 Amazon S3 버킷에 저장합니다.

C. AWS Lambda 함수와 Amazon EC2 Spot Instances를 사용하여 이미지를 처리합니다. 처리된 파일을 Amazon FSx에 저장합니다.

D. 이미지를 처리하기 위해 Amazon EC2 인스턴스 그룹을 배포합니다. AWS Step Functions를 사용하여 워크플로를 조정합니다. 처리된 파일을 Amazon Elastic Block Store(Amazon EBS) 볼륨에 저장합니다.

요구사항 분석
- 증가하는 이미지 처리 작업을 관리할 수 있어야 하며,
- 수동 작업을 줄이고,
- 기본 인프라를 관리하지 않고,
- 대용량 파일을 생성하는 워크플로를 지원해야 합니다.

B. AWS Batch 작업을 사용하여 이미지를 처리합니다. AWS Step Functions를 사용하여 워크플로를 조정합니다. 처리된 파일을 Amazon S3 버킷에 저장합니다.

- AWS Batch는 대규모의 배치 작업을 자동으로 실행하고, 인프라를 관리하지 않고도 필요한 컴퓨팅 리소스를 프로비저닝하여 확장할 수 있습니다. 이는 증가하는 이미지 처리 작업에 대해 자동으로 확장 가능하도록 지원합니다.

- AWS Step Functions는 워크플로의 모든 단계를 자동으로 오케스트레이션하여 수동 작업을 줄이는 데 효과적입니다. 복잡한 처리 흐름을 시각화하고 모니터링할 수 있습니다.

- Amazon S3는 대용량 파일을 안전하게 저장하고, 스토리지 용량의 제약 없이 확장할 수 있습니다. 이는 이미지 처리 워크플로에서 생성되는 대용량 파일을 효율적으로 관리할 수 있는 솔루션입니다.

- AWS Batch와 Step Functions를 사용함으로써, 기본 인프라를 직접 관리하지 않아도 되는 서버리스 방식으로 운영 오버헤드를 최소화할 수 있습니다.

---

■ Question #1015

한 회사의 이미지 호스팅 웹사이트는 전 세계 사용자에게 모바일 기기에서 이미지를 업로드, 보기, 다운로드할 수 있는 기능을 제공합니다. 이 회사는 현재 Amazon S3 버킷에서 정적 웹사이트를 호스팅하고 있습니다. 웹사이트의 인기가 높아짐에 따라 웹사이트 성능이 저하되었습니다. 사용자는 이미지를 업로드하고 다운로드할 때 지연 문제가 있다고 보고했습니다. 이 회사는 웹사이트의 성능을 개선해야 합니다.

어떤 솔루션이 최소한의 구현 노력으로 이러한 요구 사항을 충족할까요?

A. S3 버킷에 대한 Amazon CloudFront 배포를 구성하여 다운로드 성능을 개선합니다. S3 Transfer Acceleration을 활성화하여 업로드 성능을 개선합니다.

B. 여러 AWS 지역에서 적절한 크기의 Amazon EC2 인스턴스를 구성합니다. 애플리케이션을 EC2 인스턴스로 마이그레이션합니다. Application Load Balancer를 사용하여 웹사이트 트래픽을 EC2 인스턴스에 균등하게 분산합니다. AWS Global Accelerator를 구성하여 낮은 지연 시간으로 글로벌 수요를 처리합니다.

C. S3 버킷을 오리진으로 사용하는 Amazon CloudFront 배포를 구성하여 다운로드 성능을 개선합니다. CloudFront를 사용하여 이미지를 업로드하여 업로드 성능을 개선하도록 애플리케이션을 구성합니다. 여러 AWS 리전에서 S3 버킷을 만듭니다. 버킷에 대한 복제 규칙을 구성하여 사용자의 위치를 기반으로 사용자 데이터를 복제합니다. 각 사용자의 위치에 가장 가까운 S3 버킷으로 다운로드를 리디렉션합니다.

D. 네트워크 성능을 개선하기 위해 S3 버킷에 대한 AWS Global Accelerator를 구성합니다. S3 버킷 대신 Global Accelerator를 사용하도록 애플리케이션에 대한 엔드포인트를 만듭니다.

요구사항 분석
- 전 세계 사용자에게 낮은 지연 시간으로 이미지를 업로드, 보기, 다운로드할 수 있어야 하며,
- 성능 문제가 사용자 경험에 영향을 미치고 있습니다.
- 최소한의 구현 노력으로 성능을 개선해야 합니다.

A. S3 버킷에 대한 Amazon CloudFront 배포를 구성하여 다운로드 성능을 개선합니다. S3 Transfer Acceleration을 활성화하여 업로드 성능을 개선합니다.

- Amazon CloudFront는 전 세계적으로 분산된 엣지 로케이션을 통해 콘텐츠를 제공하여, 사용자와 가장 가까운 위치에서 이미지를 캐싱하고 다운로드할 수 있도록 해줍니다. 이를 통해 다운로드 성능을 크게 개선할 수 있습니다.

- S3 Transfer Acceleration은 업로드 시, 사용자에게 가까운 엣지 로케이션을 통해 데이터를 전송하여 업로드 성능을 최적화합니다. S3 Transfer Acceleration을 활성화하면, 사용자는 가장 가까운 엣지 로케이션에 데이터를 업로드하고, 이 데이터는 전용 경로를 통해 S3로 빠르게 전송됩니다.

- 이 접근 방식은 이미지 업로드와 다운로드 성능을 모두 향상시킬 수 있으며, 구현 노력도 최소화됩니다. 기존 S3 버킷에 대한 CloudFront 배포와 Transfer Acceleration을 구성하는 것만으로도 상당한 성능 개선이 가능합니다.

---

■ Question #1016

한 회사가 VPC의 Application Load Balancer(ALB) 뒤에 있는 프라이빗 서브넷에서 애플리케이션을 실행합니다. VPC에는 NAT 게이트웨이와 인터넷 게이트웨이가 있습니다. 애플리케이션은 Amazon S3 API를 호출하여 객체를 저장합니다. 회사의 보안 정책에 따라 애플리케이션의 트래픽은 인터넷을 통과해서는 안 됩니다.

어떤 솔루션이 이러한 요구 사항을 가장 비용 효율적으로 충족할까요?

A. S3 인터페이스 엔드포인트를 구성합니다. Amazon S3로의 아웃바운드 트래픽을 허용하는 보안 그룹을 만듭니다.

B. S3 게이트웨이 엔드포인트를 구성합니다. 엔드포인트를 사용하도록 VPC 경로 테이블을 업데이트합니다.

C. NAT 게이트웨이에 할당된 Elastic IP 주소에서 트래픽을 허용하도록 S3 버킷 정책을 구성합니다.

D. 레거시 애플리케이션이 배포된 동일한 서브넷에 두 번째 NAT 게이트웨이를 만듭니다. 두 번째 NAT 게이트웨이를 사용하도록 VPC 경로 테이블을 업데이트합니다.

B. S3 게이트웨이 엔드포인트를 구성합니다. 엔드포인트를 사용하도록 VPC 경로 테이블을 업데이트합니다.

- S3 게이트웨이 엔드포인트는 VPC 내에서 인터넷을 거치지 않고 Amazon S3에 직접 연결할 수 있는 경로를 제공합니다. 게이트웨이 엔드포인트를 사용하면 트래픽이 AWS 네트워크를 통해 안전하게 전송되므로 보안 정책을 준수할 수 있습니다.

- 또한, 게이트웨이 엔드포인트는 사용에 따른 추가 비용 없이 구성할 수 있으며, 데이터 전송 시 비용이 적게 발생합니다. 이로 인해 비용 효율적입니다.

- VPC의 경로 테이블을 업데이트하여, S3로의 아웃바운드 트래픽이 게이트웨이 엔드포인트를 통해 전송되도록 설정하면, 모든 S3 트래픽이 AWS 내부에서 안전하게 처리됩니다.

---

■ Question #1017

한 회사에 Amazon EC2 인스턴스의 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에서 실행되는 애플리케이션이 있습니다. 이 애플리케이션에는 Amazon DynamoDB를 사용하는 UI와 애플리케이션 배포의 일부로 Amazon S3를 사용하는 데이터 서비스가 있습니다. 이 회사는 UI용 EKS Pod가 Amazon DynamoDB에만 액세스할 수 있고 데이터 서비스용 EKS Pod가 Amazon S3에만 액세스할 수 있도록 해야 합니다. 이 회사는 AWS Identity and Access Management (IAM)를 사용합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 필요한 권한으로 Amazon S3 및 DynamoDB 액세스에 대한 별도의 IAM 정책을 만듭니다. 두 IAM 정책을 EC2 인스턴스 프로필에 연결합니다. 역할 기반 액세스 제어(RBAC)를 사용하여 해당 EKS Pod에 대한 Amazon S3 또는 DynamoDB 액세스를 제어합니다.
B. 필요한 권한으로 Amazon S3 및 DynamoDB 액세스에 대한 별도의 IAM 정책을 만듭니다. Amazon S3 IAM 정책을 데이터 서비스의 EKS Pod에 직접 연결하고 DynamoDB 정책을 UI의 EKS Pod에 연결합니다.

C. UI 및 데이터 서비스에 대해 별도의 Kubernetes 서비스 계정을 만들어 IAM 역할을 맡습니다. AmazonS3FullAccess 정책을 데이터 서비스 계정에 연결하고 AmazonDynamoDBFullAccess 정책을 UI 서비스 계정에 연결합니다.

D. UI 및 데이터 서비스에 대해 별도의 Kubernetes 서비스 계정을 만들어 IAM 역할을 맡습니다. IAM Role for Service Accounts (IRSA)를 사용하여 UI의 EKS Pod에 대한 액세스를 Amazon S3에 제공하고 데이터 서비스의 EKS Pod에 대한 액세스를 DynamoDB에 제공합니다.

C. UI 및 데이터 서비스에 대해 별도의 Kubernetes 서비스 계정을 만들어 IAM 역할을 맡습니다. AmazonS3FullAccess 정책을 데이터 서비스 계정에 연결하고 AmazonDynamoDBFullAccess 정책을 UI 서비스 계정에 연결합니다.

- IAM Role for Service Accounts (IRSA)를 사용하여 Kubernetes 서비스 계정에 IAM 역할을 직접 연결할 수 있습니다. 이는 각 Pod가 특정 권한을 가진 역할을 통해 AWS 리소스에 액세스할 수 있도록 합니다.

- 각 Kubernetes 서비스 계정에 필요한 IAM 정책을 연결하여, 해당 Pod가 특정 리소스에만 접근할 수 있도록 제한할 수 있습니다. 이 방식은 세밀한 액세스 제어를 제공합니다.

- IRSA를 사용하면 EC2 인스턴스 프로필과 달리 각 서비스 계정 수준에서 IAM 역할을 할당할 수 있으므로, Pod별로 AWS 리소스 접근 권한을 분리할 수 있습니다.

---

■ Question #1018

한 회사는 보안 정책을 준수하는 방식으로 전 세계적으로 분산된 개발 팀에 회사의 AWS 리소스에 대한 보안 액세스를 제공해야 합니다. 이 회사는 현재 내부 인증을 위해 온프레미스 Active Directory를 사용합니다. 이 회사는 AWS Organizations를 사용하여 여러 프로젝트를 지원하는 여러 AWS 계정을 관리합니다. 이 회사는 기존 인프라와 통합하여 중앙 집중식 ID 관리 및 액세스 제어를 제공하는 솔루션이 필요합니다.

어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?

A. AWS Directory Service를 설정하여 AWS에서 AWS 관리형 Microsoft Active Directory를 만듭니다. 온프레미스 Active Directory와 신뢰 관계를 설정합니다. Active Directory 그룹에 할당된 IAM 로트를 사용하여 회사의 AWS 계정 내에서 AWS 리소스에 액세스합니다.

B. 각 개발자에 대해 IAM 사용자를 만듭니다. 각 프로젝트에 대한 각 사용자의 참여에 따라 각 IAM 사용자에 대한 권한을 수동으로 관리합니다. 추가 보안 계층으로 다중 요소 인증 (MFA)을 적용합니다.

C. AWS Directory Service에서 AD Connector를 사용하여 온프레미스 Active Directory에 연결합니다. AD Connector를 AWS IAM Identity Center와 통합합니다. 각 AD 그룹에 특정 AWS 계정 및 리소스에 대한 액세스 권한을 부여하도록 권한 집합을 구성합니다.

D. Amazon Cognito를 사용하여 ID 페더레이션 솔루션을 배포합니다. ID 페더레이션 솔루션을 온프레미스 Active Directory와 통합 합니다. Amazon Cognito를 사용하여 개발자가 AWS 계정 및 리소스에 액세스할 수 있도록 액세스 토큰을 제공합니다.

C. AWS Directory Service에서 AD Connector를 사용하여 온프레미스 Active Directory에 연결합니다. AD Connector를 AWS IAM Identity Center와 통합합니다. 각 AD 그룹에 특정 AWS 계정 및 리소스에 대한 액세스 권한을 부여하도록 권한 집합을 구성합니다.

장점
- AD Connector를 통해 온프레미스 Active Directory와 AWS를 통합하므로 중앙 집중식 관리가 가능합니다.
- AWS IAM Identity Center와의 통합으로 여러 계정과 리소스에 대해 권한 집합을 쉽게 구성할 수 있습니다.
- 추가적인 운영 인프라가 필요하지 않아 운영 오버헤드가 적습니다.

- 적합성: 이 옵션은 요구 사항에 가장 적합합니다.

---

■ Question #1019

한 회사가 AWS 클라우드에서 애플리케이션을 개발하고 있습니다. 애플리케이션의 HTTP API에는 Amazon API Gateway에 게시된 중요한 정보가 포함되어 있습니다. 중요한 정보는 회사 내부 네트워크에 속하는 신뢰할 수 있는 IP 주소의 제한된 집합에서만 액세스할 수 있어야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족할까요?

A. API Gateway 개인 통합을 설정하여 미리 정의된 IP 주소 집합에 대한 액세스를 제한합니다.

B. 특별히 허용되지 않은 IP 주소에 대한 액세스를 거부하는 API에 대한 리소스 정책을 만듭니다.

C. 프라이빗 서브넷에 API를 직접 배포합니다. 네트워크 ACL을 만듭니다. 특정 IP 주소에서 트래픽을 허용하는 규칙을 설정합니다.

D. 신뢰할 수 있는 IP 주소에서만 인바운드 트래픽을 허용하도록 API Gateway에 연결된 보안 그룹을 수정합니다.

B. 특별히 허용되지 않은 IP 주소에 대한 액세스를 거부하는 API에 대한 리소스 정책을 만듭니다.
- Amazon API Gateway 리소스 정책은 API Gateway에서 HTTP API의 액세스를 제어하는 데 가장 적합한 방법입니다.

- 리소스 정책을 사용하면 신뢰할 수 있는 IP 주소에서만 액세스를 허용하고, 모든 다른 IP 주소의 요청을 거부하는 규칙을 정의할 수 있습니다.

- 이 접근법은 내부 네트워크의 제한된 IP 주소 집합만 API에 접근할 수 있도록 하며, Amazon API Gateway의 기본 기능을 활용해 보안이 강화됩니다.