AWS Certified Solutions Architect - Associate 공부하면서 작성된 글로 일부오류가있을수있습니다. |
■ Question #601
한 회사가 Amazon RDS for PostgreSQL DB 인스턴스에서 중요한 데이터베이스를 실행합니다. 이 회사는 최소한의 다운타임과 데이터 손실로 Amazon Aurora PostgreSQL로 마이그레이션하려고 합니다.
어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?
A. RDS for PostgreSQL DB 인스턴스의 DB 스냅샷을 생성하여 새로운 Aurora PostgreSQL DB 클러스터를 채웁니다.
B. RDS for PostgreSQL DB 인스턴스의 Aurora 읽기 복제본을 만듭니다. Aurora 읽기 복제본을 새 Aurora PostgreSQL DB 클러스터로 승격합니다.
C. Amazon S3에서 데이터 가져오기를 사용하여 데이터베이스를 Aurora PostgreSQL DB 클러스터로 마이그레이션합니다.
D. pg_dump 유틸리티를 사용하여 RDS for PostgreSQL 데이터베이스를 백업합니다. 백업을 새 Aurora PostgreSQL DB 클러스터로 복원합니다.
B. RDS for PostgreSQL DB 인스턴스의 Aurora 읽기 복제본을 만듭니다. Aurora 읽기 복제본을 새 Aurora PostgreSQL DB 클러스터로 승격합니다.
최소한의 다운타임과 데이터 손실
- Aurora 읽기 복제본을 생성하면 원본 RDS PostgreSQL 데이터베이스와 동기화 상태를 유지할 수 있습니다.
- 동기화가 완료된 후 복제본을 Aurora PostgreSQL DB 클러스터로 승격하면 다운타임이 거의 없으며 데이터 손실 위험이 최소화됩니다.
자동화된 프로세스
- AWS는 RDS PostgreSQL에서 Aurora PostgreSQL로의 복제를 자동으로 관리하므로 운영 오버헤드가 매우 적습니다.
- 데이터 동기화 및 복제 프로세스가 AWS에 의해 처리됩니다.
안정성 및 확장성
- Aurora PostgreSQL은 기존 RDS PostgreSQL과 호환되며, 마이그레이션 후 더 높은 성능과 가용성을 제공합니다.
■ Question #602
회사의 인프라는 Amazon Elastic Block Store(Amazon EBS) 스토리지를 사용하는 수백 개의 Amazon EC2 인스턴스로 구성되어 있습니다. 솔루션 아키텍트는 재해 발생 후 모든 EC2 인스턴스를 복구할 수 있도록 해야 합니다.
솔루션 아키텍트는 최소한의 노력으로 이 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. 각 EC2 인스턴스에 연결된 EBS 스토리지의 스냅샷을 찍습니다. EBS 스토리지에서 새 EC2 인스턴스를 시작하기 위한 AWS CloudFormation 템플릿을 만듭니다.
B. 각 EC2 인스턴스에 연결된 EBS 스토리지의 스냅샷을 찍습니다. AWS Elastic Beanstalk를 사용하여 EC2 템플릿을 기반으로 환경을 설정하고 EBS 스토리지를 연결합니다.
C. AWS Backup을 사용하여 EC2 인스턴스 전체 그룹에 대한 백업 계획을 설정합니다. AWS Backup API 또는 AWS CLI를 사용하여 여러 EC2 인스턴스의 복원 프로세스를 가속화합니다.
D. 각 EC2 인스턴스에 연결된 EBS 스토리지의 스냅샷을 찍고 Amazon Machine Images(AMI)를 복사하는 AWS Lambda 함수를 만듭니다. 복사된 AMI로 복원을 수행하고 EBS 스토리지를 연결하는 또 다른 Lambda 함수를 만듭니다.
C. AWS Backup을 사용하여 EC2 인스턴스 전체 그룹에 대한 백업 계획을 설정합니다. AWS Backup API 또는 AWS CLI를 사용하여 여러 EC2 인스턴스의 복원 프로세스를 가속화합니다.
재해 복구 자동화
- AWS Backup은 EC2 인스턴스와 연결된 모든 Amazon EBS 볼륨을 포함한 리소스에 대한 백업을 자동화합니다.
- 백업 정책을 설정하여 모든 인스턴스에 대한 스냅샷 및 데이터를 체계적으로 관리할 수 있습니다.
- 재해가 발생하면 AWS Backup을 통해 여러 EC2 인스턴스를 한 번에 복원할 수 있습니다.
최소한의 운영 노력
- AWS Backup은 중앙에서 관리되며, 백업 일정과 유지 기간을 쉽게 설정할 수 있습니다.
- 추가로 Lambda 함수를 작성하거나 CloudFormation 템플릿을 관리할 필요가 없습니다.
확장성과 간편한 복원
- AWS Backup은 EC2, EBS, RDS 등 여러 AWS 서비스와 통합되어 있으며, 대규모 인프라에서도 확장 가능합니다.
- AWS Backup 콘솔, CLI, 또는 API를 사용하여 빠르게 복원 프로세스를 수행할 수 있습니다.
■ Question #603
한 회사가 최근 AWS 클라우드로 이전했습니다. 이 회사는 반구조화된 데이터 세트의 대규모 병렬 주문형 처리를 위한 서버리스 솔루션을 원합니다. 이 데이터는 Amazon S3에 저장된 로그, 미디어 파일, 판매 거래 및 IoT 센서 데이터로 구성됩니다. 이 회사는 이 솔루션이 데이터 세트의 수천 개 항목을 병렬로 처리하기를 원합니다.
어떤 솔루션이 이러한 요구 사항을 가장 높은 운영 효율성으로 충족할까요?
A. AWS Step Functions Map 상태를 인라인 모드로 사용하여 데이터를 병렬로 처리합니다.
B. AWS Step Functions Map 상태를 분산 모드로 사용하여 데이터를 병렬로 처리합니다.
C. AWS Glue를 사용하여 데이터를 병렬로 처리합니다.
D. 여러 AWS Lambda 함수를 사용하여 데이터를 병렬로 처리합니다.
B. AWS Step Functions Map 상태를 분산 모드로 사용하여 데이터를 병렬로 처리합니다.
대규모 병렬 처리
- AWS Step Functions의 분산 모드 Map 상태는 반구조화된 데이터를 병렬로 처리하는 데 최적화되어 있습니다. 이 모드는 수천 개의 항목을 병렬로 처리할 수 있도록 설계되어, 회사의 요구 사항에 적합합니다.
운영 효율성
- 분산 모드는 병렬로 Lambda 함수를 호출하여 각 데이터 항목을 처리합니다.
- Step Functions는 상태 관리와 작업 흐름을 자동으로 처리하며, 병렬 처리의 복잡성을 추상화하여 운영 오버헤드를 줄입니다.
유연성과 확장성
- Step Functions는 AWS Lambda, Amazon S3 및 기타 AWS 서비스와의 통합을 지원합니다.
- 분산 모드는 대규모 작업을 처리하는 데 뛰어난 확장성을 제공합니다.
■ Question #604
한 회사가 6주 안에 10PB의 데이터를 Amazon S3로 마이그레이션할 예정입니다. 현재 데이터 센터는 인터넷으로 500Mbps 업링크를 가지고 있습니다. 다른 온프레미스 애플리케이션은 업링크를 공유합니다. 이 회사는 이 일회성 마이그레이션 작업에 인터넷 대역폭의 80%를 사용할 수 있습니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. AWS DataSync를 구성하여 데이터를 Amazon S3로 마이그레이션하고 자동으로 데이터를 확인합니다.
B. rsync를 사용하여 데이터를 Amazon S3로 직접 전송합니다.
C. AWS CLI와 여러 복사 프로세스를 사용하여 데이터를 Amazon S3로 직접 전송합니다.
D. 여러 AWS Snowball 디바이스를 주문합니다. 디바이스에 데이터를 복사합니다. 디바이스를 AWS로 보내 데이터를 Amazon S3에 복사합니다.
D. 여러 AWS Snowball 디바이스를 주문합니다. 디바이스에 데이터를 복사합니다. 디바이스를 AWS로 보내 데이터를 Amazon S3에 복사합니다.
데이터 크기와 전송 속도
- 10PB(페타바이트)의 데이터는 인터넷 대역폭(500Mbps)의 80%를 사용하더라도 6주 안에 전송하기 어렵습니다.
- 계산:
- 500Mbps × 0.8(80%) = 400Mbps
- 400Mbps = 50MB/s
- 6주(604,800초) 동안 전송 가능한 데이터 = 50MB/s × 604,800초 ≈ 30TB.
- 이는 10PB와 비교하면 전송 속도가 턱없이 부족합니다.
AWS Snowball의 이점
- AWS Snowball Edge 스토리지 최적화 디바이스는 대량의 데이터를 물리적으로 AWS로 전송할 수 있는 효율적인 솔루션입니다.
- 각 Snowball 디바이스는 최대 80TB의 데이터를 처리할 수 있으며, 여러 디바이스를 병렬로 사용할 수 있습니다.
- 네트워크 제한 없이 대량 데이터를 처리할 수 있으며, 데이터 전송 중에도 보안이 강화됩니다.
운영 효율성과 시간 준수
- Snowball 디바이스를 사용하면 네트워크 대역폭을 우려할 필요 없이 빠르게 데이터를 마이그레이션할 수 있습니다.
- 디바이스 배송 및 데이터 복사 프로세스를 병렬화하여 6주라는 기한 내에 데이터를 Amazon S3로 마이그레이션할 수 있습니다.
■ Question #605
한 회사에 온프레미스 인터넷 소형 컴퓨터 시스템 인터페이스(ISCSI) 네트워크 스토리지 서버가 여러 대 있습니다. 이 회사는 AWS 클라우드로 이전하여 이러한 서버의 수를 줄이고자 합니다. 솔루션 아키텍트는 자주 사용되는 데이터에 대한 저지연 액세스를 제공하고 최소한의 인프라 변경으로 온프레미스 서버에 대한 종속성을 줄여야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. Amazon S3 파일 게이트웨이를 배포합니다.
B. Amazon S3에 백업하여 Amazon Elastic Block Store(Amazon EBS) 스토리지를 배포합니다.
C. 저장된 볼륨으로 구성된 AWS Storage Gateway 볼륨 게이트웨이를 배포합니다.
D. 캐시 볼륨으로 구성된 AWS Storage Gateway 볼륨 게이트웨이를 배포합니다.
D. 캐시 볼륨으로 구성된 AWS Storage Gateway 볼륨 게이트웨이를 배포합니다.
캐시 볼륨의 특징
- 캐시 볼륨은 자주 사용되는 데이터를 로컬에서 캐싱하여 저지연 액세스를 제공합니다.
- 데이터는 Amazon S3에 안전하게 저장되므로, 온프레미스 스토리지 서버의 종속성을 줄일 수 있습니다.
- 덜 자주 사용되는 데이터는 Amazon S3에서 가져와 필요할 때 액세스할 수 있습니다.
최소한의 인프라 변경
- 캐시 볼륨은 기존 ISCSI 기반 온프레미스 서버와 호환되므로 최소한의 인프라 변경으로 클라우드로 이전이 가능합니다.
- 회사는 기존 워크플로를 유지하면서 스토리지를 AWS로 점진적으로 이전할 수 있습니다.
저지연 및 클라우드 저장
- 로컬 캐싱은 자주 사용되는 데이터를 온프레미스에서 빠르게 액세스하도록 합니다.
- 덜 자주 사용되는 데이터는 S3에서 가져오므로 효율적입니다.
■ Question #606
솔루션 아키텍트는 비즈니스 사용자가 Amazon S3에 객체를 업로드할 수 있는 애플리케이션을 설계하고 있습니다. 솔루션은 객체 내구성을 극대화해야 합니다. 또한 객체는 언제든지, 얼마든지 사용할 수 있어야 합니다. 사용자는 객체가 업로드된 후 처음 30일 동안 객체에 자주 액세스하지만, 30일이 지난 객체에 액세스할 가능성은 훨씬 낮습니다.
이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?
A. 모든 객체를 S3 Standard에 저장하고 30일 후에 객체를 S3 Glacier로 전환하기 위한 S3 Lifecycle 규칙을 적용합니다.
B. 30일 후에 객체를 S3 Standard-Infrequent Access(S3 Standard-IA)로 전환하기 위한 S3 Lifecycle 규칙을 사용하여 모든 객체를 S3 Standard에 저장합니다.
C. 30일 후에 객체를 S3 One Zone-Infrequent Access(S3 One Zone-IA)로 전환하기 위한 S3 Lifecycle 규칙과 함께 모든 객체를 S3 Standard에 저장합니다.
D. 30일 후에 객체를 S3 Standard-Infrequent Access(S3 Standard-IA)로 전환하기 위한 S3 Lifecycle 규칙을 사용하여 모든 객체를 S3 Intelligent-Tiering에 저장합니다.
요구 사항 분석
- 내구성 극대화: Amazon S3 Standard 및 S3 Standard-IA는 99.999999999%의 내구성(11 9s)을 제공하므로 데이터 손실 위험이 없습니다.
- 언제든지 사용 가능 : S3 Standard와 S3 Standard-IA는 요청 시 즉각적인 데이터 액세스를 보장합니다.
- 비용 효율성 : 처음 30일 동안 S3 Standard를 사용하고 이후 S3 Standard-IA로 전환하면 비용을 절감할 수 있습니다. S3 Standard-IA는 데이터 액세스 빈도가 낮은 객체에 대해 스토리지 비용을 절감하는 데 적합합니다.
B. 30일 후에 객체를 S3 Standard-Infrequent Access(S3 Standard-IA)로 전환하기 위한 S3 Lifecycle 규칙을 사용하여 모든 객체를 S3 Standard에 저장합니다.
- 설명: 30일이 지난 후에도 데이터를 언제든지 액세스할 수 있어야 하지만 액세스 빈도가 낮은 경우 적합합니다.
- 비용 효율성: 30일이 지난 데이터를 S3 Standard-IA로 전환하면 S3 Standard에 비해 스토리지 비용이 더 저렴합니다.
Lifecycle 규칙
- S3 Lifecycle 규칙을 사용하여 데이터를 자동으로 S3 Standard-IA로 전환할 수 있습니다. 이는 운영 오버헤드를 줄이고 비용 최적화를 보장합니다.
■ Question #607
한 회사가 온프레미스 데이터 센터에서 AWS 클라우드로 2계층 애플리케이션을 마이그레이션했습니다. 데이터 계층은 12TB의 범용 SSD Amazon Elastic Block Store(Amazon EBS) 스토리지가 있는 Amazon RDS for Oracle의 다중 AZ 배포입니다. 이 애플리케이션은 평균 문서 크기가 6MB인 바이너리 대형 개체(BLOB)로 데이터베이스에서 문서를 처리하고 저장하도록 설계되었습니다.
데이터베이스 크기가 시간이 지남에 따라 커져 성능이 저하되고 스토리지 비용이 증가했습니다. 이 회사는 데이터베이스 성능을 개선해야 하며 고가용성과 복원력이 뛰어난 솔루션이 필요합니다.
이러한 요구 사항을 가장 비용 효율적으로 충족할 솔루션은 무엇일까요?
A. RDS DB 인스턴스 크기를 줄입니다. 스토리지 용량을 24TiB로 늘립니다. 스토리지 유형을 Magnetic으로 변경합니다.
B. RDS DB 인스턴스 크기를 늘립니다. 스토리지 용량을 24Ti로 늘립니다. 스토리지 유형을 Provisioned IOPS로 변경합니다.
C. Amazon S3 버킷을 만듭니다. S3 버킷에 문서를 저장하도록 애플리케이션을 업데이트합니다. 기존 데이터베이스에 객체 메타데이터를 저장합니다.
D. Amazon DynamoDB 테이블을 만듭니다. DynamoDB를 사용하도록 애플리케이션을 업데이트합니다. AWS Database Migration Service(AWS DMS)를 사용하여 Oracle 데이터베이스에서 DynamoDB로 데이터를 마이그레이션합니다.
문제 분석
- 애플리케이션은 BLOB 데이터를 데이터베이스에 저장하고 있으며, 평균 크기가 6MB인 문서를 처리합니다.
- 시간이 지남에 따라 데이터베이스 크기가 커지면서 성능 저하와 스토리지 비용 증가가 발생했습니다.
- 데이터베이스는 트랜잭션 데이터와 같은 고속 질의 처리에 최적화되어 있습니다. 그러나 BLOB 데이터는 객체 스토리지에 저장하는 것이 더 효율적입니다.
C. Amazon S3 버킷을 만듭니다. S3 버킷에 문서를 저장하도록 애플리케이션을 업데이트합니다. 기존 데이터베이스에 객체 메타데이터를 저장합니다.
- 문서 스토리지 최적화: Amazon S3는 BLOB 데이터 저장에 적합하며 고가용성과 복원력을 제공합니다.
- 비용 효율성: S3는 데이터베이스 스토리지에 비해 비용이 훨씬 낮으며, 사용량에 따라 비용이 청구됩니다.
- 내구성 및 고가용성: S3는 99.999999999%(11 9s)의 내구성을 보장합니다.
데이터베이스 메타데이터 저장
- 데이터베이스는 객체의 메타데이터만 저장하도록 설계됩니다. 예를 들어, S3 버킷에서 객체를 참조하는 URL 또는 키를 저장할 수 있습니다.
- 이를 통해 데이터베이스의 크기를 줄이고 성능을 개선할 수 있습니다.
■ Question #608
한 회사에 전 세계 20,000개가 넘는 리테일 매장에 배치된 고객에게 서비스를 제공하는 애플리케이션이 있습니다. 이 애플리케이션은 포트 443에서 HTTPS를 통해 노출되는 백엔드 웹 서비스로 구성되어 있습니다. 이 애플리케이션은 ALB(Application Load Balancer) 뒤에 있는 Amazon EC2 인스턴스에서 호스팅됩니다. 리테일 매장은 공용 인터넷을 통해 웹 애플리케이션과 통신합니다. 이 회사는 각 리테일 매장이 로컬 ISP에서 할당한 IP 주소를 등록하도록 허용합니다.
이 회사의 보안 팀은 리테일 매장에서 등록한 IP 주소로만 액세스를 제한하여 애플리케이션 엔드포인트의 보안을 강화할 것을 권장합니다.
솔루션 아키텍트는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. AWS WAF 웹 ACL을 ALB와 연결합니다. ALB에서 IP 규칙 세트를 사용하여 트래픽을 필터링합니다. 규칙의 IP 주소를 업데이트하여 등록된 IP 주소를 포함합니다.
B. AWS Firewall Manager를 배포하여 AL을 관리합니다. AL로의 트래픽을 제한하기 위한 방화벽 규칙을 구성합니다. 등록된 IP 주소를 포함하도록 방화벽 규칙을 수정합니다.
C. IP 주소를 Amazon DynamoDB 테이블에 저장합니다. ALB에서 AWS Lambda 권한 부여 함수를 구성하여 들어오는 요청이 등록된 IP 주소에서 온 것인지 확인합니다.
D. ALB의 퍼블릭 인터페이스가 포함된 서브넷에서 네트워크 ACL을 구성합니다. 등록된 각 IP 주소에 대한 항목으로 네트워크 ACL의 인그레스 규칙을 업데이트합니다.
문제 요구 사항 분석
- 애플리케이션은 ALB 뒤에서 호스팅되며 HTTPS(포트 443)를 통해 서비스됩니다.
- 보안 팀은 등록된 리테일 매장 IP 주소로만 애플리케이션 엔드포인트에 접근할 수 있도록 제한하려고 합니다.
- 등록된 IP 주소는 동적으로 관리될 가능성이 있습니다.
A. AWS WAF 웹 ACL을 ALB와 연결합니다. ALB에서 IP 규칙 세트를 사용하여 트래픽을 필터링합니다. 규칙의 IP 주소를 업데이트하여 등록된 IP 주소를 포함합니다.
- AWS WAF는 ALB(Application Load Balancer)와 직접 통합되어 트래픽을 필터링할 수 있습니다.
- WAF 웹 ACL을 생성하고 IP 집합(IP Set)을 사용하여 등록된 리테일 매장의 IP 주소만 허용하는 규칙을 설정합니다.
- IP 주소를 동적으로 관리하려면 IP 집합을 업데이트하면 됩니다. AWS WAF는 즉시 변경 사항을 적용합니다.
AWS WAF의 장점
- IP 집합을 사용하여 동적으로 관리되는 IP 주소를 쉽게 업데이트할 수 있습니다.
- 트래픽 필터링은 ALB와 완벽하게 통합되어 성능 저하 없이 작동합니다.
- 세부적인 규칙 작성이 가능하며, 다른 보안 규칙과도 조합하여 사용할 수 있습니다.
■ Question #609
한 회사가 AWS Lake Formation을 사용하여 AWS에서 데이터 분석 플랫폼을 구축하고 있습니다. 이 플랫폼은 Amazon S3 및 Amazon RDS와 같은 다양한 소스에서 데이터를 수집합니다. 이 회사는 민감한 정보가 포함된 데이터 일부에 대한 액세스를 차단하는 보안 솔루션이 필요합니다.
어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?
A. Lake Formation 테이블에 액세스할 수 있는 권한이 포함된 IAM 역할을 만듭니다.
B. 행 수준 보안 및 셀 수준 보안을 구현하기 위해 데이터 필터를 만듭니다.
C. Lake Formation이 데이터를 수집하기 전에 민감한 정보를 제거하는 AWS Lambda 함수를 생성합니다.
D. Lake Formation 테이블에서 민감한 정보를 주기적으로 쿼리하고 제거하는 AWS Lambda 함수를 만듭니다.
문제 요구 사항 분석
- 다양한 데이터 소스(Amazon S3, Amazon RDS 등)에서 데이터를 수집하고 이를 분석 플랫폼으로 사용합니다.
- 일부 민감한 데이터에 대한 접근을 차단해야 하며, 보안 솔루션이 필요합니다.
- 운영 오버헤드를 최소화해야 합니다.
B. 행 수준 보안 및 셀 수준 보안을 구현하기 위해 데이터 필터를 만듭니다.
AWS Lake Formation의 보안 기능
- AWS Lake Formation은 데이터 레이크 관리 및 보안을 위한 고급 기능을 제공합니다.
- 행 수준 보안(Row-Level Security)과 셀 수준 보안(Cell-Level Security)은 데이터를 필터링하여 민감한 정보에 대한 접근을 제어할 수 있는 강력한 메커니즘을 제공합니다.
- 데이터 필터(Data Filter)를 사용하면 특정 사용자나 그룹에 대해 보이는 데이터 범위를 제한할 수 있습니다.
- 이러한 접근 방식은 데이터 소스를 변경하지 않고, 관리 오버헤드를 최소화하면서도 세분화된 보안을 제공합니다.
행 수준 및 셀 수준 보안의 장점
- 운영 오버헤드 감소: 데이터 소스와 애플리케이션을 변경하지 않고도 민감한 데이터 접근을 관리할 수 있습니다.
- 유연성: 사용자의 역할, 그룹, 속성에 따라 동적으로 데이터 접근을 제어할 수 있습니다.
- 보안 강화: 민감한 데이터에 대한 세분화된 접근 제어를 제공하여 규정 준수를 지원합니다.
■ Question #610
한 회사가 VPC에서 실행되는 Amazon EC2 인스턴스를 배포합니다. EC2 인스턴스는 소스 데이터를 Amazon S3 버킷에 로드하여 나중에 데이터를 처리할 수 있도록 합니다. 규정 준수법에 따라 데이터는 퍼블릭 인터넷을 통해 전송되어서는 안 됩니다. 회사의 온프레미스 데이터 센터에 있는 서버는 EC2 인스턴스에서 실행되는 애플리케이션의 출력을 사용합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. Amazon EC2에 대한 인터페이스 VPC 엔드포인트를 배포합니다. 회사와 VPC 간에 AWS Site-to-Site VPN 연결을 만듭니다.
B. Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 배포합니다. 온프레미스 네트워크와 VPC 간에 AWS Direct Connect 연결을 설정합니다.
C. VPC에서 S3 버킷으로 AWS Transit Gateway 연결을 설정합니다. 회사와 VPC 사이에 AWS Site-to-Site VPN 연결을 만듭니다.
D. NAT 게이트웨이로 가는 경로가 있는 프록시 EC2 인스턴스를 설정합니다. 프록시 EC2 인스턴스를 구성하여 S3 데이터를 가져오고 애플리케이션 인스턴스에 공급합니다.
요구 사항 분석
- 데이터는 퍼블릭 인터넷을 통해 전송되어서는 안 됨
- Amazon S3에 데이터를 로드해야 함
- 온프레미스 데이터 센터에서 EC2 애플리케이션 출력에 액세스해야 함
B. Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 배포합니다. 온프레미스 네트워크와 VPC 간에 AWS Direct Connect 연결을 설정합니다.
- 게이트웨이 VPC 엔드포인트는 S3와 같은 AWS 서비스와 통신할 때 퍼블릭 인터넷을 우회하여 AWS 네트워크를 통해 안전하게 통신하도록 합니다.
- AWS Direct Connect는 온프레미스 네트워크와 AWS VPC 간에 전용 네트워크 연결을 제공하며, 인터넷을 우회하여 고성능, 저지연, 안전한 연결을 지원합니다.
- 이 조합은 퍼블릭 인터넷을 완전히 배제하고 규정 준수 요구 사항을 충족합니다.
게이트웨이 VPC 엔드포인트와 Direct Connect의 장점
게이트웨이 VPC 엔드포인트
- S3와의 통신에 퍼블릭 인터넷을 사용하지 않음
- 추가적인 보안 및 네트워크 비용 절감
AWS Direct Connect
- 온프레미스 데이터 센터와 VPC 간의 안전하고 안정적인 전용 연결
- 규정 준수 및 보안 요구 사항 충족
■ Question #611
한 회사에는 타사 공급업체에서 거의 실시간으로 데이터를 수신할 수 있는 REST 기반 인터페이스가 있는 애플리케이션이 있습니다. 수신되면 애플리케이션은 데이터를 처리하고 추가 분석을 위해 저장합니다. 애플리케이션은 Amazon EC2 인스턴스에서 실행 중입니다. 타사 공급업체는 애플리케이션에 데이터를 보낼 때 많은 503 서비스 사용 불가 오류를 수신했습니다. 데이터 볼륨이 급증하면 컴퓨팅 용량이 최대 한도에 도달하고 애플리케이션은 모든 요청을 처리할 수 없습니다.
솔루션 아키텍트는 확장성이 더 뛰어난 솔루션을 제공하기 위해 어떤 설계를 권장해야 합니까?
A. Amazon Kinesis Data Streams를 사용하여 데이터를 수집합니다. AWS Lambda 함수를 사용하여 데이터를 처리합니다.
B. 기존 애플리케이션 위에 Amazon API Gateway를 사용합니다. 타사 공급업체에 대한 할당량 제한이 있는 사용 계획을 만듭니다.
C. Amazon Simple Notification Service(Amazon SNS)를 사용하여 데이터를 수집합니다. EC2 인스턴스를 Application Load Balancer 뒤의 Auto Scaling 그룹에 넣습니다.
D. 애플리케이션을 컨테이너로 다시 패키징합니다. Auto Scaling 그룹이 있는 EC2 시작 유형을 사용하여 Amazon Elastic Container Service(Amazon ECS)를 사용하여 애플리케이션을 배포합니다.
요구사항 분석
- 503 서비스 사용 불가 오류: 데이터 볼륨이 급증하면 애플리케이션이 과부하 상태에 도달하여 요청을 처리할 수 없습니다.
- 확장성 문제: 현재 EC2 기반 아키텍처는 트래픽 급증을 효율적으로 처리하지 못함
- 거의 실시간 데이터 처리: 타사 공급업체가 데이터를 실시간으로 제공해야 함
A. Amazon Kinesis Data Streams를 사용하여 데이터를 수집합니다. AWS Lambda 함수를 사용하여 데이터를 처리합니다.
Kinesis Data Streams
- 대량의 데이터를 안정적으로 캡처하고 처리할 수 있는 확장 가능한 스트리밍 솔루션
- 데이터의 일시적 급증을 처리하기 위한 버퍼 역할을 수행
AWS Lambda
- 서버리스 컴퓨팅으로, 필요할 때만 확장되므로 비용 효율적
- 데이터를 자동으로 처리하며 인프라 관리가 필요 없음
Amazon Kinesis와 Lambda의 주요 이점
- Kinesis는 데이터를 일시적으로 저장하여 버퍼 역할을 하며, 데이터가 급증해도 요청이 손실되지 않음
- Lambda는 Kinesis로부터 데이터를 가져와 자동으로 확장되며 처리 비용을 절감
- 서버 관리 필요 없음(운영 오버헤드 최소화)
■ Question #612
한 회사에 프라이빗 서브넷의 Amazon EC2 인스턴스에서 실행되는 애플리케이션이 있습니다. 이 애플리케이션은 Amazon S3 버킷에서 민감한 정보를 처리해야 합니다. 이 애플리케이션은 인터넷을 사용하여 S3 버킷에 연결하면 안 됩니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. 인터넷 게이트웨이를 구성합니다. 인터넷 게이트웨이에서 액세스를 허용하도록 S3 버킷 정책을 업데이트합니다. 새 인터넷 게이트웨이를 사용하도록 애플리케이션을 업데이트합니다.
B. VPN 연결을 구성합니다. VPN 연결에서 액세스를 허용하도록 S3 버킷 정책을 업데이트합니다. 새 VPN 연결을 사용하도록 애플리케이션을 업데이트합니다.
C. NAT 게이트웨이를 구성합니다. NAT 게이트웨이에서 액세스를 허용하도록 S3 버킷 정책을 업데이트합니다. 새 NAT 게이트웨이를 사용하도록 애플리케이션을 업데이트합니다.
D. VPC 엔드포인트를 구성합니다. S3 버킷 정책을 업데이트하여 VPC 엔드포인트에서 액세스를 허용합니다. 애플리케이션을 업데이트하여 새 VPC 엔드포인트를 사용합니다.
요구사항 분석
- 인터넷을 사용하지 않고 S3와 연결: 인터넷 게이트웨이, NAT 게이트웨이, VPN 연결 등 인터넷을 통한 연결은 허용되지 않음
- 프라이빗 서브넷: EC2 인스턴스는 외부 네트워크에 직접 액세스할 수 없는 환경에 있음
- 민감한 정보 보호: 네트워크 트래픽을 인터넷으로 노출시키지 않고, AWS 네트워크 내부에서만 데이터 전송을 처리해야 함
D. VPC 엔드포인트를 구성합니다. S3 버킷 정책을 업데이트하여 VPC 엔드포인트에서 액세스를 허용합니다. 애플리케이션을 업데이트하여 새 VPC 엔드포인트를 사용합니다.
- VPC 엔드포인트는 AWS 네트워크 내에서 프라이빗으로 Amazon S3와 통신할 수 있는 안전한 방법을 제공합니다.
- 인터넷 게이트웨이 또는 NAT 게이트웨이를 필요로 하지 않으며, 데이터는 AWS 네트워크 외부로 나가지 않음
- 버킷 정책을 사용하여 VPC 엔드포인트에서만 액세스를 허용하도록 제한할 수 있어 보안을 강화할 수 있음
■ Question #613
한 회사가 Amazon Elastic Kubernetes Service(Amazon EKS)를 사용하여 컨테이너 애플리케이션을 실행합니다. EKS 클러스터는 Kubernetes secrets 객체에 민감한 정보를 저장합니다. 회사는 정보가 암호화되었는지 확인하고자 합니다.
어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?
A. AWS Key Management Service(AWS KMS)를 사용하여 컨테이너 애플리케이션을 사용하여 정보를 암호화합니다.
B. AWS Key Management Service(AWS KMS)를 사용하여 EKS 클러스터에서 비밀 암호화를 활성화합니다.
C. AWS Key Management Service(AWS KMS)를 사용하여 정보를 암호화하는 AWS Lambda 함수를 구현합니다.
D. AWS Systems Manager Parameter Store를 사용하여 AWS Key Management Service(AWS KMS)를 사용하여 정보를 암호화합니다.
요구사항 분석
- Kubernetes secrets 객체에 저장된 민감한 정보를 안전하게 보호하고 암호화해야 합니다.
- 최소한의 운영 오버헤드가 요구되므로, 솔루션은 Kubernetes와 AWS의 통합 기능을 활용해 자동화된 방식을 선호합니다.
B. AWS Key Management Service(AWS KMS)를 사용하여 EKS 클러스터에서 비밀 암호화를 활성화합니다.
- Amazon EKS는 AWS Key Management Service(AWS KMS)와 통합하여 Kubernetes secrets를 암호화할 수 있습니다.
- EKS 클러스터에서 비밀 암호화를 활성화하면 secrets 객체가 etcd에 저장되기 전에 KMS 키로 암호화됩니다.
- 암호화는 EKS 클러스터 수준에서 설정되므로 추가 개발 작업 없이 보안이 강화됩니다.
■ Question #614
한 회사에서는 다음 구성 요소로 구성된 새로운 다중 계층 웹 애플리케이션을 설계하고 있습니다.
- Auto Scaling 그룹의 일부로 Amazon EC2 인스턴스에서 실행되는 웹 및 애플리케이션 서버
- 데이터 스토리지를 위한 Amazon RDS DB 인스턴스
솔루션 아키텍트는 웹 서버만 액세스할 수 있도록 애플리케이션 서버에 대한 액세스를 제한해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. 애플리케이션 서버 앞에 AWS PrivateLink를 배포합니다. 네트워크 ACL을 구성하여 웹 서버만 애플리케이션 서버에 액세스할 수 있도록 합니다.
B. 애플리케이션 서버 앞에 VPC 엔드포인트를 배포합니다. 웹 서버만 애플리케이션 서버에 액세스할 수 있도록 보안 그룹을 구성합니다.
C. 애플리케이션 서버의 자동 확장 그룹을 포함하는 대상 그룹으로 네트워크 로드 밸런서를 배포합니다. 웹 서버만 애플리케이션 서버에 액세스할 수 있도록 네트워크 ACL을 구성합니다.
D. 애플리케이션 서버의 자동 확장 그룹을 포함하는 대상 그룹으로 애플리케이션 로드 밸런서를 배포합니다. 웹 서버만 애플리케이션 서버에 액세스할 수 있도록 보안 그룹을 구성합니다.
요구사항 분석
- 애플리케이션 서버는 웹 서버에서만 액세스할 수 있도록 제한해야 합니다.
- 데이터 스토리지를 위한 Amazon RDS 인스턴스는 별도의 데이터 계층으로 작동하며 보안 범위 외의 요구 사항입니다.
- AWS에서 네트워크 트래픽을 제한하려면 보안 그룹이나 로드 밸런서를 활용하는 것이 효과적입니다.
D. 애플리케이션 서버의 자동 확장 그룹을 포함하는 대상 그룹으로 애플리케이션 로드 밸런서를 배포합니다. 웹 서버만 애플리케이션 서버에 액세스할 수 있도록 보안 그룹을 구성합니다.
왜 애플리케이션 로드 밸런서를 사용하는가?
애플리케이션 로드 밸런서(ALB)
- L7 로드 밸런싱 기능을 제공하여 HTTP/HTTPS 요청을 애플리케이션 서버로 효율적으로 분배합니다.
- 애플리케이션 로드 밸런서는 보안 그룹을 지원하여 웹 서버의 트래픽만 허용하도록 설정할 수 있습니다.
보안 그룹
- ALB와 애플리케이션 서버에 보안 그룹을 구성하여 웹 서버만 애플리케이션 서버와 통신하도록 허용할 수 있습니다.
- 예: 애플리케이션 서버 보안 그룹에서 ALB의 보안 그룹을 소스로 설정
구현 방법
ALB 배포
- 애플리케이션 서버가 대상 그룹에 추가되도록 설정
보안 그룹 구성
- 애플리케이션 서버 보안 그룹: ALB 보안 그룹을 소스로 설정
- ALB 보안 그룹: 웹 서버 보안 그룹을 소스로 설정
■ Question #615
회사가 Amazon Elastic Kubernetes Service(Amazon EKS)에서 중요한 고객 대상 애플리케이션을 실행합니다. 이 애플리케이션은 마이크로서비스 아키텍처를 가지고 있습니다. 이 회사는 중앙 위치에서 애플리케이션의 메트릭과 로그를 수집, 집계, 요약하는 솔루션을 구현해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?
A. 기존 EKS 클러스터에서 Amazon CloudWatch 에이전트를 실행합니다. CloudWatch 콘솔에서 메트릭과 로그를 확인합니다.
B. 기존 EKS 클러스터에서 AWS App Mesh를 실행합니다. App Mesh 콘솔에서 메트릭과 로그를 확인합니다.
C. AWS CloudTrail을 구성하여 데이터 이벤트를 캡처합니다. Amazon OpenSearch Service를 사용하여 CloudTrail을 쿼리합니다.
D. 기존 EKS 클러스터에서 Amazon CloudWatch Container Insights를 구성합니다. CloudWatch 콘솔에서 메트릭과 로그를 확인합니다.
요구 사항 분석
- 중앙 위치에서 메트릭과 로그를 수집, 집계, 요약해야 합니다.
- Amazon EKS에서 실행 중인 마이크로서비스 아키텍처 기반 애플리케이션의 메트릭과 로그를 모니터링하는 데 적합한 솔루션이 필요합니다.
D. 기존 EKS 클러스터에서 Amazon CloudWatch Container Insights를 구성합니다. CloudWatch 콘솔에서 메트릭과 로그를 확인합니다.
Amazon CloudWatch Container Insights
- Container Insights는 Kubernetes 환경에서 실행 중인 컨테이너와 마이크로서비스의 메트릭과 로그를 수집, 분석, 시각화하기 위해 설계되었습니다.
CloudWatch Container Insights는 다음을 제공합니다.
- Pod, 노드, 컨테이너 수준의 메트릭 수집
- 로그 집계 및 분석을 통해 성능 병목 현상을 파악
- 중앙 관리 인터페이스로 CloudWatch 콘솔에서 시각화
왜 D가 최적의 선택인가?
- CloudWatch Container Insights는 EKS와 긴밀하게 통합되어 Kubernetes 리소스(Pod, Service, Cluster)의 성능 및 상태를 실시간으로 모니터링할 수 있습니다.
- 자동화된 데이터 집계 및 요약: 별도의 설정 없이 메트릭과 로그를 중앙 위치에서 확인할 수 있습니다.
- 운영 오버헤드 최소화: 추가적인 도구나 설정 없이 AWS 관리형 서비스를 활용할 수 있습니다.
■ Question #616
한 회사가 AWS에 최신 제품을 배포했습니다. 이 제품은 Network Load Balancer 뒤의 Auto Scaling 그룹에서 실행됩니다. 이 회사는 제품의 객체를 Amazon S3 버킷에 저장합니다.
이 회사는 최근 시스템에 대한 악의적인 공격을 경험했습니다. 이 회사는 AWS 계정, 워크로드, S3 버킷에 대한 액세스 패턴에서 악의적인 활동을 지속적으로 모니터링하는 솔루션이 필요합니다. 이 솔루션은 또한 의심스러운 활동을 보고하고 대시보드에 정보를 표시해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. Amazon Macie를 구성하여 모니터링하고 AWS Config에 결과를 보고합니다.
B. Amazon Inspector를 구성하여 모니터링 결과를 AWS CloudTrail에 보고합니다.
C. Amazon GuardDuty를 구성하여 모니터링하고 결과를 AWS Security Hub에 보고합니다.
D. AWS Config를 구성하여 모니터링을 수행하고 Amazon EventBridge에 결과를 보고합니다.
요구 사항 분석
- 악의적인 활동 모니터링: AWS 계정, 워크로드, S3 버킷의 액세스 패턴에서 악의적인 활동을 모니터링해야 합니다.
- 보고 및 대시보드 표시: 의심스러운 활동을 보고하고, 대시보드에 정보 표시 기능 필요
C. Amazon GuardDuty를 구성하여 모니터링하고 결과를 AWS Security Hub에 보고합니다.
Amazon GuardDuty
- Amazon GuardDuty는 AWS 환경의 악의적인 활동과 비정상적인 동작을 탐지하는 데 최적화된 위협 탐지 서비스입니다.
주요 기능
- AWS 계정 활동 분석: CloudTrail 이벤트를 통해 비정상적인 API 호출 탐지.
- S3 데이터 액세스 모니터링: Amazon S3에 대한 비정상적인 액세스 탐지.
- 네트워크 활동 분석: Amazon VPC 흐름 로그와 DNS 로그를 분석.
- 통합 대시보드: 탐지된 위협을 Security Hub에 통합하여 중앙에서 관리 가능.
- GuardDuty는 지속적으로 모니터링하며 자동 업데이트된 위협 탐지 모델을 사용해 분석하므로 운영 오버헤드가 적습니다.
왜 C가 최적의 선택인가?
- 전체적인 보안 모니터링: GuardDuty는 AWS 계정, S3, 네트워크에서 발생하는 위협을 종합적으로 탐지합니다.
- 자동화된 보고 및 대시보드 통합: GuardDuty의 결과는 AWS Security Hub와 통합되어 중앙 관리가 가능하며, 대시보드에서 한눈에 파악할 수 있습니다.
- 운영 오버헤드 최소화: 설정 및 유지 관리가 간단하며, 지속적인 업데이트로 보안 유지
■ Question #617
회사에서 온프레미스 데이터 센터를 AWS로 마이그레이션하려고 합니다. 데이터 센터는 NFS 기반 파일 시스템에 데이터를 저장하는 스토리지 서버를 호스팅합니다. 스토리지 서버는 200GB의 데이터를 보관합니다. 회사는 기존 서비스를 중단하지 않고 데이터를 마이그레이션해야 합니다. AWS의 여러 리소스는 NFS 프로토콜을 사용하여 데이터에 액세스할 수 있어야 합니다.
이러한 요구 사항을 가장 비용 효율적으로 충족하는 단계 조합은 무엇입니까? (두 가지를 선택하세요.)
A. Amazon FSx for Lustre 파일 시스템을 만듭니다.
B. Amazon Elastic File System(Amazon EFS) 파일 시스템을 만듭니다.
C. 데이터를 수신하기 위해 Amazon S3 버킷을 생성합니다.
D. 운영 체제 복사 명령을 수동으로 사용하여 데이터를 AWS 대상으로 푸시합니다.
E. 온프레미스 데이터 센터에 AWS DataSync 에이전트를 설치합니다. 온프레미스 위치와 AWS 간에 DataSync 작업을 사용합니다.
요구 사항 분석
- 기존 서비스를 중단하지 않아야 함 : 데이터를 실시간으로 복사하거나 최소한의 중단으로 마이그레이션해야 합니다.
- NFS 기반 파일 시스템 지원 : AWS 리소스가 NFS 프로토콜을 사용하여 데이터에 액세스할 수 있어야 함
- 비용 효율성 : 요구 사항을 충족하면서도 최소한의 비용으로 솔루션을 설계해야 함
B. Amazon Elastic File System(Amazon EFS) 파일 시스템을 만듭니다.
- AWS 내에서 NFS를 지원하는 파일 시스템으로 데이터를 저장합니다.
- 여러 리소스가 데이터에 바로 액세스할 수 있습니다.
E. 온프레미스 데이터 센터에 AWS DataSync 에이전트를 설치합니다. 온프레미스 위치와 AWS 간에 DataSync 작업을 사용합니다.
- DataSync 에이전트를 온프레미스 데이터 센터에 설치합니다.
- DataSync 작업을 구성하여 기존 데이터를 EFS로 복사합니다.
- 작업 중에도 서비스 중단 없이 데이터를 점진적으로 복사할 수 있습니다.
■ Question #618
한 회사에서는 us-east-1 지역에서 볼륨으로 마운트된 SMB 파일 공유가 있는 Amazon EC2 인스턴스에 Amazon FSx for Windows File Server를 사용하려고 합니다. 이 회사는 계획된 시스템 유지 관리 또는 계획되지 않은 서비스 중단에 대한 복구 지점 목표(RPO)가 5분입니다. 이 회사는 파일 시스템을 us-west-2 지역으로 복제해야 합니다. 복제된 데이터는 5년 동안 어떤 사용자도 삭제해서는 안 됩니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. us-east-1에 Single-AZ 2 배포 유형이 있는 FSx for Windows File Server 파일 시스템을 만듭니다. AWS Backup을 사용하여 백업을 us-west-2로 복사하는 백업 규칙을 포함하는 일일 백업 계획을 만듭니다. us-west-2의 대상 볼트에 대해 규정 준수 모드에서 AWS Backup Vault Lock을 구성합니다. 최소 5년의 기간을 구성합니다.
B. us-east-1에 Multi-AZ 배포 유형이 있는 FSx for Windows File Server 파일 시스템을 만듭니다. AWS Backup을 사용하여 백업을 us-west-2로 복사하는 백업 규칙을 포함하는 일일 백업 계획을 만듭니다. us-west-2의 대상 볼트에 대한 거버넌스 모드에서 AWS Backup Vault Lock을 구성합니다. 최소 5년의 기간을 구성합니다.
C. us-east-1에 Multi-AZ 배포 유형이 있는 FSx for Windows File Server 파일 시스템을 만듭니다. AWS Backup을 사용하여 백업을 us-west-2에 복사하는 백업 규칙을 포함하는 일일 백업 계획을 만듭니다. us-west-2의 대상 볼트에 대해 규정 준수 모드에서 AWS Backup Vault Lock을 구성합니다. 최소 5년의 기간을 구성합니다.
D. us-east-1에 Single-AZ 2 배포 유형이 있는 FSx for Windows File Server 파일 시스템을 만듭니다. AWS Backup을 사용하여 us-west-2에 백업을 복사하는 백업 규칙을 포함하는 일일 백업 계획을 만듭니다. us-west-2의 대상 볼트에 대한 거버넌스 모드에서 AWS Backup Vault Lock을 구성합니다. 최소 5년의 기간을 구성합니다.
요구 사항 분석
- Amazon FSx for Windows File Server 사용 : SMB 파일 공유를 제공하기 위해 FSx for Windows File Server를 사용
- 5분 RPO : 복구 지점 목표가 5분으로 데이터 손실을 최소화해야 함
- us-west-2로 복제 : DR(재해 복구)을 위해 다른 지역(us-west-2)에 복제 필요
- 5년 동안 데이터 보존 : 데이터 삭제를 방지하기 위한 백업 볼트 잠금 기능 필요
C. us-east-1에 Multi-AZ 배포 유형이 있는 FSx for Windows File Server 파일 시스템을 만듭니다. AWS Backup을 사용하여 백업을 us-west-2에 복사하는 백업 규칙을 포함하는 일일 백업 계획을 만듭니다. us-west-2의 대상 볼트에 대해 규정 준수 모드에서 AWS Backup Vault Lock을 구성합니다. 최소 5년의 기간을 구성합니다.
왜 C가 최적의 선택인가?
- Multi-AZ 배포 : 파일 시스템의 고가용성과 낮은 복구 시간 제공
- AWS Backup Vault Lock 규정 준수 모드 : 데이터를 5년 동안 삭제할 수 없도록 강력히 보호
- us-west-2로 백업 복사 : 재해 복구 준비를 위한 데이터를 안전하게 복제
- 일일 백업 계획 : RPO를 충족하면서 최소한의 운영 오버헤드로 백업 관리
■ Question #619
솔루션 아키텍트는 AWS Organizations를 통해 개발자에게 개별 AWS 계정을 제공하면서 표준 보안 제어도 유지하려는 회사를 위한 보안 솔루션을 설계하고 있습니다. 개별 개발자는 자신의 계정에 대한 AWS 계정 루트 사용자 수준 액세스 권한을 가지므로 솔루션 아키텍트는 새 개발자 계정에 적용되는 필수 AWS CloudTrail 구성이 수정되지 않도록 하려고 합니다.
이러한 요구 사항을 충족하는 작업은 무엇입니까?
A. CloudTrail 변경을 금지하는 IAM 정책을 만들고 루트 사용자에게 연결합니다.
B. 조직 트레일 옵션을 활성화한 개발자 계정 내에서 CloudTrail에 새 트레일을 만듭니다.
C. CloudTrail 변경을 금지하는 서비스 제어 정책(SCP)을 만들고 개발자 계정에 연결합니다.
D. 관리 계정의 Amazon 리소스 이름(ARN)에서만 변경을 허용하는 정책 조건을 사용하여 CloudTrail에 대한 서비스 연결 역할을 생성합니다.
요구 사항 분석
- 개별 개발자에게 AWS 계정 루트 사용자 수준 액세스 제공 : 각 개발자는 자신의 계정에서 모든 권한을 갖게 됨
- CloudTrail 수정 방지 : 필수 AWS CloudTrail 구성이 변경되지 않도록 보호해야 함
- 표준 보안 제어 유지 : AWS Organizations를 통해 조직 수준의 보안 정책을 강제 적용
- CloudTrail 변경을 금지하는 서비스 제어 정책(SCP)을 만들고 개발자 계정에 연결
C. CloudTrail 변경을 금지하는 서비스 제어 정책(SCP)을 만들고 개발자 계정에 연결합니다.
SCP의 강제 적용
- SCP는 AWS Organizations의 모든 계정과 사용자(루트 사용자 포함)에 대해 강제 적용됩니다.
- 개발자가 CloudTrail 구성을 변경하거나 삭제하는 것을 방지할 수 있습니다.
중앙 관리
- AWS Organizations 관리 계정에서 SCP를 설정하여 모든 개발자 계정에 일관된 보안 제어를 적용할 수 있습니다.
변경 방지
- SCP는 조직 내에서 강제로 설정되므로 필수 보안 구성이 유지됩니다.
■ Question #620
한 회사가 AWS 클라우드에 비즈니스에 중요한 애플리케이션을 배포할 계획입니다. 이 애플리케이션에는 일관되고 지연 시간이 짧은 성능을 갖춘 내구성 있는 스토리지가 필요합니다. 솔루션 아키텍트는 이러한 요구 사항을 충족하기 위해 어떤 유형의 스토리지를 권장해야 합니까?
A. 인스턴스 스토어 볼륨
B. Memcached 클러스터용 Amazon ElastiCache
C. 프로비저닝된 IOPS SSD Amazon Elastic Block Store(Amazon EBS) 볼륨
D. 처리량 최적화 HDD Amazon Elastic Block Store(Amazon EBS) 볼륨
요구 사항 분석
비즈니스에 중요한 애플리케이션
- 고가용성 및 고내구성이 필요
- 스토리지 손실 시 애플리케이션에 영향을 미칠 수 있음
일관되고 지연 시간이 짧은 성능
- 데이터 입출력(IO) 성능이 안정적으로 유지되어야 함
- 성능 변동성을 최소화해야 함
내구성 있는 스토리지
- 데이터를 안전하게 저장하고 보호할 수 있어야 함
C. 프로비저닝된 IOPS SSD Amazon EBS 볼륨은 다음과 같은 이유로 요구 사항을 가장 잘 충족합니다.
- 일관되고 낮은 지연 시간
- 높은 내구성
- 비즈니스 크리티컬 애플리케이션의 성능 요구 사항에 맞는 확장성
AWS SAA-C03 Examtopics (641 ~ 660) (1) | 2024.12.21 |
---|---|
AWS SAA-C03 Examtopics (621 ~ 640) (2) | 2024.12.21 |
AWS SAA-C03 Examtopics (581~ 600) (0) | 2024.12.21 |
AWS SAA-C03 Examtopics (561 ~ 580) (2) | 2024.12.21 |
AWS SAA-C03 Examtopics (541 ~ 560) (2) | 2024.12.20 |