Certification
[AWS SAA-C03] 덤프 문제 풀이1
유자바
2024. 9. 27. 21:10
1. 회사는 AWS Organizations를 사용하여 여러 부서의 AWS 계정을 관리합니다. 관리 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있습니다. 이 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations의 조직 내 계정 사용자로만 제한하려고 합니다. 어떤 솔루션이 운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족합니까?
A. 조직 ID에 대한 참조가 있는 aws: PrincipalOrgID 글로벌 조건 키를 S3 버킷 정책에 추가합니다.
👉🏻 S3 버킷 정책에 조직 ID에 대한 참조와 함께 aws: PrinipalOrgID 전역 조건 키를 추가하면, S3 버킷에 대한 액세스가 AWS 조직 내의 계정 사용자에게만 제한됨. 다른 옵션과 비교했을 때 추가적인 관리나 모니터링이 필요하지 않음.
B. 각 부서에 대한 조직 단위(OU)를 만듭니다. S3 버킷 정책에 aws: PrincipalOrgPaths 글로벌 조건 키를 추가합니다.
👉🏻 옵션은 맞지만, AWS 조직 사용자를 분리할 필요가 없음. OU를 만들면 더 많은 운영 오버헤드가 집계됨.
C. AWS CloudTrail을 사용하여 CreatAccount, InviteAccountToOrganization, LeaveOrganization 및 RemoveAccountFromOrganization 이벤트를 모니터링합니다. 이에 따라 S3 버킷 정책을 업데이트합니다.
👉🏻 S3 액세스 권한 제어에 CloudTrail을 사용하는 것은 적합하지 않고 모니터링해야 할 이벤트가 많음. CloudTrail은 추적 로그만 S3에 저장하는 것이기 때문에 S3에 접근을 제한하지 못함.
D. S3 버킷에 액세스해야 하는 각 사용자를 태그합니다. aws:PrincipalTag 글로벌 조건 키를 S3 버킷 정책에 추가합니다.
👉🏻 S3 버킷에 액세스하는 사용자를 태그한다는 것은 인프라의 모든 사용자에게 태그를 지정해야 하는 것이므로 효율적이지 못함.
2. 한 회사가 사용자가 업로드한 문서를 Amazon EBS 볼륨에 저장하는 단일 Amazon EC2 인스턴스를 사용하여 AWS에서 웹 애플리케이션을 호스팅하고 있습니다. 더 나은 확장성과 가용성을 위해 이 회사는 아키텍처를 복제하고 다른 가용 영역에 두 번째 EC2 인스턴스와 EBS 볼륨을 생성하여 Application Load Balancer 뒤에 배치했습니다. 이 변경을 완료한 후 사용자는 웹 사이트를 새로 고칠 때 마다 문서의 일부 또는 다른 하위 집합을 볼 수 있지만 모든 문서를 동시에 볼 수는 없다고 보고했습니다.
솔루션 설계자는 사용자가 모든 문서를 한 번에 볼 수 있도록 무엇을 제안해야 합니까?
💡 EBS: 한 인스턴스에 연결됨 (특수 EBS io1, io2는 여러 인스턴스에 연결될 수 있지만 많지 않음)
EFS: 여러 인스턴스에 연결될 수 있음
A. 두 EBS 볼륨 모두에 모든 문서가 포함되도록 데이터를 복사합니다.
👉🏻 실행 중인 EBS 볼륨을 다른 EBS볼륨으로 데이터를 복사하는 기능이 없고, 복사하더라도 데이터의 일관성이 보장되지 않음
B. 사용자를 문서가 있는 서버로 안내하도록 애플리케이션 로드 밸런서를 구성합니다.
👉🏻 스티키 세션*을 사용하면 동일한 사용자를 동일한 서버로 전달할 수 있지만, 사용자가 세션을 잃게 되면 다른 서버로 전달될 수 있어 일관성이 보장되지 않음 | ALB는 트래픽을 분산해주는 것이고 어떤 서버로 안내될지는 모름
C. 두 EBS 볼륨의 데이터를 Amazon EFS로 복사합니다. 새 문서를 Amazon EFS에 저장하도록 애플리케이션을 수정합니다.
👉🏻 두 인스턴스가 EFS 데이터 저장소를 가리키므로 사용자는 두 EBS 볼륨의 데이터를 볼 수 있음 -> EFS는 여러 인스턴스에 연결할 수 있기 때문
D. 두 서버 모두에 요청을 보내도록 애플리케이션 로드 밸런서를 구성합니다. 올바른 서버에서 각 문서를 반환합니다.
👉🏻 ALB는 서버 간의 작업 부하를 분산하도록 설계되어 있어 두 서버에 요청을 보내는 것을 지원하지 않음. 또한 ALB는 두 서버의 문서를 결합해 반환할 수 없음
* 스티키 세션(Sticky Session): 로드밸런서가 세션 기간 동안 동일한 클라이언트의 요청을 항상 동일한 서버로 라우팅해주는 기능
3. 한 회사가 NFS*를 사용해 온프레미스 네트워크 연결 스토리지에 대용량 비디오 파일을 저장합니다. 각 비디오 파일의 크기는 1MB에서 500GB까지 입니다. 총 스토리지는 70TB이며 더 이상 증가하지 않습니다. 회사는 비디오 파일을 Amazon S3로 마이그레이션하기로 결정했습니다. 회사는 가능한 빨리 비디오 파일을 마이그레이션해야 하며 가능한 최소한의 네트워크 대역폭을 사용해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. S3 버킷을 만듭니다. S3 버킷에 쓸 수 있는 권한이 있는 IAM 역할을 만듭니다. AWS CLI를 사용해 모든 파일을 로컬로 S3 버킷에 복사합니다.
B. AWS Snowball Edge* 작업을 만듭니다. 온프레미스에서 Snowball Edge 장치를 받습니다. Snowball Edge 클라이언트를 사용하여 데이터를 장치로 전송합니다. AWS가 Amazon S3로 데이터를 가져올 수 있도록 장치를 반환합니다.
👉🏻 최소한의 네트워크 대역폭을 사용해야 하는 요구 사항을 충족함. Snowball Edge는 대규모 데이터 마이그레이션을 위해 설계되었고, 데이터 저장 장치를 AWS로 물리적으로 전송해 데이터가 S3에 업로드되는 방식으로 높은 전송 속도를 제공함. 근데 snowball edge 디바이스를 직접 회사로 배송받아야 함
C. 온프레미스에 S3 파일 게이트웨이를 배포합니다. S3 파일 게이트웨이에 연결할 퍼블릭 서비스 엔드포인트를 만듭니다. S3 버킷을 만듭니다. S3 파일 게이트웨이에 새 NFS 파일 공유를 만듭니다. 새 파일 공유를 S3 버킷으로 지정합니다. 기존 NFS 파일 공유에서 S3 파일 게이트웨이로 데이터를 전송합니다.
👉🏻 파일 게이트웨이는 인터넷을 사용하므로 최대 1Gbps의 속도라 최소 6.5일이 걸리고, 70TB의 인터넷 대역폭을 사용함
D. 온프레미스 네트워크와 AWS 간에 AWS Direct Connect 연결을 설정합니다. 온프레미스에 S3 파일 게이트웨이를 배포합니다. S3 파일 게이트웨이에 연결할 퍼블릭 가상 인터페이스(VIF)를 만듭니다. S3 버킷을 만듭니다. S3 파일 게이트웨이에 새 NFS 파일 공유를 만듭니다. 새 파일 공유를 S3 버킷으로 지정합니다. 기존 NFS 파일 공유에서 S3 파일 게이트웨이로 데이터를 전송합니다.
👉🏻 Direct Connect는 최대 10Gbps의 속도라 15.5시간이 걸리고 70TB의 대역폭을 사용함
* NFS: Network File System으로 네트워크에 파일을 저장하는 매커니즘이다. 사용자가 원격 컴퓨터에 있는 파일 및 디렉토리에 액세스할 수 있고, 해당 파일 및 디렉토리가 로컬에 있는 것처럼 처리하도록 허용하는 분산 파일 시스템
* AWS Snowball Edge: 일부 기능을 위한 스토리지와 컴퓨팅 파워를 갖춘 snowball 디바이스로, snowball edge는 로컬에서 데이터를 처리하고, 엣지 컴퓨팅 워크로드를 실행하고, 데이터를 로컬 혹은 클라우드로 전송할 수 있음 | 인터넷보다 더 빠르게 데이터를 전송할 수 있음
4. 한 회사가 데이터 센터에서 SMB 파일 서버를 운영하고 있습니다. 파일 서버는 파일이 생성된 후 처음 며칠 동안 자주 액세스되는 대용량 파일을 저장합니다. 7일 후에는 파일에 거의 액세스하지 않습니다. 총 데이터 크기가 증가하고 있으며 회사의 총 스토리지 용량에 가깝습니다. 솔루션 아키텍트는 가장 최근에 액세스한 파일에 대한 저지연 액세스를 잃지 않으면서 회사의 사용 가능한 스토리지 공간을 늘려야 합니다. 솔루션 아키텍트는 또한 향후 스토리지 문제를 방지하기 위해 파일 수명 주기 관리를 제공해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. AWS DataSync*를 사용하여 7일이 지난 데이터를 SMB 파일 서버에서 AWS로 복사합니다.
👉🏻 AWS DataSync는 수명 관리에 쓰이는 것이 아니라 데이터 마이그레이션을 간소화하는데에 사용함
B. 회사의 스토리지 공간을 확장하기 위해 Amazon S3 파일 게이트웨이*를 만듭니다. 7일 후 S3 Glacier Deep Archive*로 데이터를 전환하기 위한 S3 라이프사이클 정책을 만듭니다.
👉🏻 회사의 스토리지 공간 확장 방식이 적합하고, S3 라이프 사이클 정책을 만들어 7일 후에 S3 Glacier Deep Archive로 데이터를 전환 | 최근에 사용된 데이터는 파일 게이트웨이에 캐시로 저장됨
C. 회사의 저장 공간을 확장하기 위해 Amazon FSx for Windows File Server 파일 시스템*을 만듭니다.
D. 각 사용자의 컴퓨터에 Amazon S3에 액세스하기 위한 유틸리티를 설치합니다. 7일 후 S3 Glacier Flexible Retrieval*로 데이터를 전환하기 위한 S3 Lifecycle 정책을 만듭니다.
👉🏻 회사의 사용 가능한 스토리지 공간을 증가는 방식이 잘못됨
* AWS DataSync: 데이터 마이그레이션을 간소화하고, aws 스토리지 서비스 간에 파일 또는 객체 데이터를 빠르고 쉽고 안전하게 전송할 . 수있도록 하는 서비스
* Amazon FSx for Windows File Server 파일 시스템
* Amazon S3 파일 게이트웨이: S3로의 파일 인터페이스를 지원하고 서비스와 소프트웨어 어플라이언스를 결합함. NFS 및 SMB 같은 업계 표준 파일 프로토콜을 사용해 S3에 객체를 저장하고 검색할 수 있음
* S3 Glacier
- S3 Glacier Instant Retrieval: 밀리초 단위의 검색 시간 | 분기당 한 번 액세스에 적합
- S3 Glacier Flexible Retrieval: 연 1~2회 액세스에 적합 | 최대 12시간의 검색 시간 | instant retrieval보다 10% 저렴
- S3 Glacier Deep Archive: 연 1회 미만 액세스에 적합 | 12~48시간의 검색 시간 | 클라우드에서 가장 저렴한 스토리지 | 7~10년 이상 보관하는 금융 서비스, 의료 등을 위해 설계
5. 글로벌 기업이 ALB 뒤의 Amazon EC2 인스턴스에서 웹 애플리케이션을 호스팅합니다. 웹 애플리케이션에는 정적 데이터와 동적 데이터가 있습니다. 이 회사는 정적 데이터를 Amazon S3 버킷에 저장합니다. 이 회사는 정적 데이터와 동적 데이터의 성능을 개선하고 지연 시간을 줄이려고 합니다. 이 회사는 Amazon Route53에 등록된 자체 도메인 이름을 사용하고 있습니다.
솔루션 아키텍트는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. S3 버킷과 ALB를 오리진으로 하는 Amazon CloudFront 배포를 만듭니다. Route 53을 구성하여 트래픽을 CloudFront 배포로 라우팅합니다.
👉🏻 정적 데이터와 동적 데이터 둘 다의 성능을 개선해야 하기 때문에 CloudFront 배포를 선택해야 함
B. ALB를 오리진으로 하는 Amazon CloudFront* 배포를 만듭니다. S3 버킷을 엔드포인트로 하는 AWS Global Accelerator* 표준 가속기를 만듭니다. Route 53을 구성하여 트래픽을 CloudFront 배포로 라우팅합니다.
👉🏻 S3는 애플리케이션 계층에서 벌어지는 것으로 TCP/UDP를 사용하는 AWS Global Accelertor는 부적절함
C. S3 버킷을 오리진으로 하는 Amazon CloudFront 배포를 만듭니다. ALB와 CloudFront 배포를 엔드포인트로 하는 AWS Global Accelerator 표준 가속기를 만듭니다. 가속기 DNS 이름을 가리키는 사용자 지정 도메인 이름을 만듭니다. 사용자 지정 도메인 이름을 웹 애플리케이션의 엔드포인트로 사용합니다.
👉🏻 S3 버킷을 CloudFront를 사용한 배포를 하는 것 맞고, Global Accelerator는 트래픽을 가장 가까운 엣지 위치로 라우팅해 ALB와 CloudFront 배포에 최적화되지만, 문제에서 자체 도메인을 사용하고 있다고 했으므로 해당 선지는 틀림
D. ALB를 오리진으로 하는 Amazon CloudFront 배포를 만듭니다. S3 버킷을 엔드포인트로 하는 AWS Global Accelerator 표준 가속기를 만듭니다. 두 개의 도메인 이름을 만듭니다. 한 도메인 이름을 동적 콘텐츠의 CloudFront DNS 이름으로 지정합니다. 다른 도메인 이름을 정적 콘텐츠의 가속기 DNS 이름으로 지정합니다. 도메인 이름을 웹 애플리케이션의 엔드포인트로 사용합니다.
👉🏻 애플리케이션 계층에서 벌어지는 것으로, TCP/UDP를 사용하는 AWS Global Accelertor는 부적절함
* AWS Global Accelerator vs Amazon CloudFront
- 공통점: 둘 다 AWS 글로벌 네트워크와 전 세계의 edge에 위치 | DDos 보호를 위해 AWS Shield와 통합
- 차이점: CloudFront는 정적 콘텐츠(이미지, 비디오)와 동적 콘텐츠의 성능을 모두 개선
Global Accelerator는 TCP, UDP를 통한 광범휭한 애플리케이션의 성능을 개선, 정적 IP 주소가 필요한 HTTP 사용 사례에 적합
6. 한 회사가 최근 AWS로 마이그레이션했고 프로덕션 VPC에서 유입되고 유출되는 트래픽을 보호하는 솔루션을 구현하려고 합니다. 이 회사는 온프레미스 데이터 센터에 검사 서버를 두었습니다. 검사 서버는 트래픽 흐름 검사 및 트래픽 필터링과 같은 특정 작업을 수행했습니다. 이 회사는 AWS 클라우드에서 동일한 기능을 원합니다.
어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. 프로덕션 VPC에서 트래픽 검사 및 트래픽 필터링을 위해 Amazon GuardDuty*를 사용합니다.
👉🏻 Amazon GuardDuty는 트래픽 검사 및 트래픽 필터링 관련된 서비스가 아니라 위협 탐지 서비스임
B. 트래픽 미러링*을 사용하여 프로덕션 VPC의 트래픽을 미러링하여 트래픽 검사 및 필터링을 수행합니다.
👉🏻 트래픽 미러링은 VPC에서 다른 VPC 또는 온프레미스 위치로 네트워크 트래픽 사본을 복제해 보낼 수 있는 기능이고, 트래픽 검사 혹은 필터링을 수행하는 서비스가 아님
C. AWS 네트워크 방화벽을 사용하여 프로덕션 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙을 만듭니다.
👉🏻 AWS 네트워크 방화벽은 인바운드 및 아웃바운드 네트워크 트래픽에 대한 필터링을 제공하는 관리형 방화벽 서비스
D. AWS Firewall Manager*를 사용하여 프로덕션 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙을 만듭니다.
👉🏻 AWS Firewall Manager는 계정 전체에서 방화벽을 중앙에서 구성하고 관리하는데 도움이 되는 보안 관리 서비스
* Amazon GuardDuty: 위협 탐지 서비스
* 트래픽 미러링: VPC에서 다른 VPC 또는 온프레미스 위치로 네트워크 트래픽 사본을 복제해 보낼 수 있는 기능
* AWS Firewall Manager: 계정 전체에서 방화벽을 중앙에서 구성하고 관리하는데 도움이 되는 보안 중앙 관리 서비스
7. 한 회사가 AWS에서 데이터 레이크를 호스팅합니다. 데이터 레이크는 Amazon S3와 PostgreSQL용 Amazon RDS의 데이터로 구성됩니다. 이 회사는 데이터 시각화를 제공하고 데이터 레이크 내의 모든 데이터 소스를 포함하는 보고 솔루션이 필요합니다. 회사의 경영진만 모든 시각화에 대한 전체 액세스 권한을 가져야 합니다. 나머지 회사는 제한된 액세스 권한만 가져야 합니다.어떤 솔루션이 이러한 요구 사항을 충족할까요?
A. Amazon QuickSight*에서 분석을 만듭니다. 모든 데이터 소스를 연결하고 새로운 데이터 세트를 만듭니다. 대시보드를 게시하여 데이터를 시각화합니다. 적절한 IAM 역할과 대시보드를 공유합니다.
👉🏻 QuickSight는 사용자와 그룹만 지원, IAM은 지원x
B. Amazon QuickSight에서 분석을 만듭니다. 모든 데이터 소스를 연결하고 새로운 데이터 세트를 만듭니다. 대시보드를 게시하여 데이터를 시각화합니다. 적절한 사용자 및 그룹과 대시보드를 공유합니다.
👉🏻 QuickSight를 사용해 S3, RDS, Redshift, Aurora, Athena, OpenSearch, Timestream에서 대시보드를 만듦
C. Amazon S3의 데이터에 대한 AWS Glue 테이블과 크롤러를 만듭니다. AWS Glue 추출, 변환 및 로드(ETL) 작업을 만들어 보고서를 생성합니다. 보고서를 Amazon S3에 게시합니다. S3 버킷 정책을 사용하여 보고서에 대한 액세스를 제한합니다.
👉🏻 이 방법은 시각화를 지원하지 않고, RDS 데이터 처리 방법에 대해 언급하지 않고 있음
D. Amazon S3의 데이터에 대한 AWS Glue 테이블과 크롤러를 만듭니다. Amazon Athena Federated Query를 사용하여 PostgreSQL용 Amazon RDS 내의 데이터에 액세스합니다. Amazon Athena를 사용하여 보고서를 생성합니다. 보고서를 Amazon S3에 게시합니다. S3 버킷 정책을 사용하여 보고서에 대한 액세스를 제한합니다.
👉🏻 이 방법은 시각화를 지원하지 않고, RDS와 S3의 데이터 결합을 언급하지 않고 있음
* Amazon QuickSight: 특정 데이터에 대한 시각화 대시보드를 생성하고 다른 사용자와 공유 가능함
8. 한 회사가 새로운 비즈니스 애플리케이션을 구현하고 있습니다. 이 애플리케이션은 두 개의 Amazon EC2 인스턴스에서 실행되고 문서 저장을 위해 Amazon S3 버킷을 사용합니다. 솔루션 아키텍트는 EC2 인스턴스가 S3 버킷에 액세스할 수 있는지 확인해야 합니다.솔루션 아키텍트는 이 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. S3 버킷에 대한 액세스를 허용하는 IAM 역할을 만듭니다. 역할을 EC2 인스턴스에 연결합니다.
👉🏻 IAM 역할은 AWS 리소스와 서비스에 대한 액세스 권한을 위임할 수 있는 AWS 리소스로, S3 버킷에 대한 액세스 권한을 부여하는 IAM 역할을 만든 다음 EC2 인스턴스에 역할을 연결하면 EC2 인스턴스가 S3 버킷과 그 안에 저장된 문서에 액세스할 수 있음
B. S3 버킷에 대한 액세스를 허용하는 IAM 정책을 만듭니다. 정책을 EC2 인스턴스에 연결합니다.
👉🏻 IAM 정책은 사용자에게만 적용되며 EC2에 연결 불가
C. S3 버킷에 대한 액세스를 허용하는 IAM 그룹을 만듭니다. 그룹을 EC2 인스턴스에 연결합니다.
👉🏻 IAM 그룹이 리소스에 대한 액세스 권한을 부여하는 것이 아니라 IAM 사용자와 정책을 그룹화하는데 사용되므로 올바르지 않음
D. S3 버킷에 대한 액세스를 허용하는 IAM 사용자를 만듭니다. 사용자 계정을 EC2 인스턴스에 연결합니다.
👉🏻 IAM 사용자가 리소스에 대한 액세스 권한을 부여하는 것이 아니라 AWS 리소스와 상호 작용하는 사람이나 서비스를 나타내는데 사용되어 올바르지 않음
9. 한 회사에 AWS에 배포된 3계층 웹 애플리케이션이 있습니다. 웹 서버는 VPC의 퍼블릭 서브넷에 배포됩니다. 애플리케이션 서버와 데이터베이스 서버는 동일한 VPC의 프라이빗 서브넷에 배포됩니다. 이 회사는 검사 VPC에 AWS Marketplace의 타사 가상 방화벽 어플라이언스를 배포했습니다. 이 어플라이언스는 IP 패킷을 허용할 수 있는 IP 인터페이스로 구성되어 있습니다.솔루션 아키텍트는 트래픽이 웹 서버에 도달하기 전에 애플리케이션에 대한 모든 트래픽을 검사하기 위해 웹 애플리케이션을 어플라이언스와 통합해야 합니다.어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?
A. 패킷 검사를 위해 트래픽을 어플라이언스로 라우팅하기 위해 애플리케이션의 VPC의 공개 서브넷에 네트워크 로드 밸런서를 생성합니다.
B. 패킷 검사를 위해 트래픽을 어플라이언스로 라우팅하기 위해 애플리케이션 VPC의 공개 서브넷에 애플리케이션 부하 분산 장치를 생성합니다.
C. 검사 VPC에 트랜싯 게이트웨이를 배포하고, 트랜싯 게이트웨이를 통해 들어오는 패킷을 라우팅하기 위한 경로 테이블을 구성합니다.
D. 검사 VPC에 게이트웨이 로드 밸런서를 배포합니다. 게이트웨이 로드 밸런서 엔드포인트를 생성하여 들어오는 패킷을 수신하고 어플라이언스로 패킷을 전달합니다.
계속 추가할 예정입니다~