AWS SAA 합격으로 가는 길 #44

안녕하세요! 넥스트클라우드의 SA 강준우입니다. 😊

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

애플리케이션은 VPC의 Amazon EC2 인스턴스에서 실행됩니다. 애플리케이션은 Amazon S3 버킷에 저장된 로그를 처리합니다. EC2 인스턴스는 인터넷 연결 없이 S3 버킷에 액세스해 야 합니다. Amazon S3에 프라이빗 네트워크 연결을 제공하는 솔루션은 무엇입니까?

 

선택지

A. S3 버킷에 대한 게이트웨이 VPC 엔드포인트를 생성합니다.

B. 로그를 Amazon CloudWatch Logs로 스트리밍합니다. 로그를 S3 버킷으로 내보냅니다.

C. Amazon EC2에서 인스턴스 프로필을 생성하여 S3 액세스를 허용합니다.

D. S3 엔드포인트에 액세스하기 위한 프라이빗 링크가 있는 Amazon API Gateway API를 생성합니다.

---

풀이

Amazon S3 버킷에 대한 게이트웨이 VPC 엔드포인트를 생성하면 VPC의 리소스가 인터넷 게이트웨이나 NAT 인스턴스를 통하지 않고 S3와 안전하게 통신할 수 있습니다. 따라서 인터넷 액세스 없이도 S3에 접근할 수 있어 보안을 강화하고 비용을 절감할 수 있습니다.

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

- EC2 인스턴스에서 실행 중인 애플리케이션이 S3에 저장된 로그를 처리해야 함

- EC2 인스턴스는 인터넷 연결 없이 S3 버킷에 액세스해야 함

2. 관련 AWS 서비스 생각하기

- Amazon VPC (Virtual Private Cloud): 논리적으로 격리된 가상 네트워크를 프로비저닝하여 AWS 리소스를 실행할 수 있습니다.

- Amazon S3 (Simple Storage Service): 확장 가능한 객체 스토리지 서비스로, 다양한 사용 사례에 적합합니다.

- S3 VPC 엔드포인트 (게이트웨이 또는 인터페이스): Amazon S3에 대한 프라이빗 네트워크 액세스를 제공합니다.

3. 선택지 분석하기

A. S3 버킷에 대한 게이트웨이 VPC 엔드포인트를 생성합니다.

→ 게이트웨이 VPC 엔드포인트를 사용하면 VPC 내부의 리소스가 인터넷 게이트웨이, NAT 인스턴스 또는 VPN 연결을 통하지 않고도 S3에 프라이빗 네트워크로 안전하게 액세스할 수 있습니다. 이를 통해 요구사항을 완벽하게 충족합니다.

B. 로그를 Amazon CloudWatch Logs로 스트리밍합니다. 로그를 S3 버킷으로 내보냅니다.

→ CloudWatch Logs를 사용하면 로그를 중앙에서 관리할 수 있지만, 로그 데이터를 처리하는 애플리케이션이 S3에 직접 액세스해야 하는 요구사항을 해결하지 못합니다.

C. Amazon EC2에서 인스턴스 프로필을 생성하여 S3 액세스를 허용합니다.

→ 인스턴스 프로필을 생성하면 EC2 인스턴스에서 S3에 액세스할 수 있지만, 인터넷 연결 없이 액세스해야 하는 요구사항을 충족하지 못합니다.

D. S3 엔드포인트에 액세스하기 위한 프라이빗 링크가 있는 Amazon API Gateway API를 생성합니다.

→ API Gateway는 AWS 서비스 엔드포인트에 대한 프라이빗 액세스를 제공하지만, S3에는 VPC 엔드포인트를 직접 사용하는 것이 더 적합합니다.

 

이어서 다음 문제입니다.

---

문제2

회사에는 다음으로 구성된 데이터 수집 워크플로가 있습니다. * 새로운 데이터 전달에 대한 알림을 위한 Amazon Simple Notification Service(Amazon SNS) 주제 * 데이터를 처리하고 메타데이터를 기록하는 AWS Lambda 함수 수집 워크플로가 실패하는 것을 회사에서 관찰합니다. 때때로 네트워크 연결 문제로 인해. 이러한 실패가 발생하면 회사에서 수동으로 작업을 다시 실행하지 않는 한 Lambda 함수는 해당 데 이터를 수집하지 않습니다. Lambda 함수가 미래에 모든 데이터를 수집하도록 하기 위해 솔루션 설계자는 어떤 작업 조합을 취해야 합니까? (두 가지를 선택하세요.) 

 

선택지

A. 여러 가용 영역에 Lambda 함수를 배포합니다.

B. Amazon Simple Queue Service(Amazon SQS) 대기열을 생성하고 SNS 주제를 구독합니다.

C. Lambda 함수에 할당된 CPU와 메모리를 늘립니다.

D. Lambda 함수에 대해 프로비저닝된 처리량을 늘립니다.

E. Amazon Simple Queue Service(Amazon SQS) 대기열에서 읽도록 Lambda 함수를 수정합니다.

---

풀이

SNS 주제와 SQS 대기열을 함께 사용하면 메시지를 안정적으로 전달할 수 있어 데이터 손실을 방지할 수 있습니다. SNS에서 SQS 대기열을 구독하도록 구성하면, SNS 주제에 데이터 전달 알림이 게시될 때마다 SQS 대기열에 메시지가 추가됩니다. Lambda 함수는 대기열에서 메시지를 읽어 처리하므로, 네트워크 문제로 인한 실패 시에도 메시지가 대기열에 남아 있어 다음에 함수가 실행될 때 처리될 수 있습니다.

정답 : B, E

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

- 데이터 수집 워크플로에서 네트워크 연결 문제로 인해 실패가 발생함

- 실패 시 수동으로 작업을 재실행하지 않으면 데이터가 손실됨

- Lambda 함수가 미래에 모든 데이터를 수집하도록 해야 함

2. 관련 AWS 서비스 생각하기

- Amazon SNS (Simple Notification Service): 다양한 AWS 서비스 및 애플리케이션에서 메시지를 보내고 받을 수 있는 메시징 서비스입니다.

- Amazon SQS (Simple Queue Service): 완전관리형 메시지 대기열 서비스로, 메시지를 안정적으로 전달하고 시스템 간 결합도를 낮춥니다.

- AWS Lambda: 서버리스 컴퓨팅 서비스로, 이벤트에 따라 코드를 실행할 수 있습니다.

3. 선택지 분석하기

A. 여러 가용 영역에 Lambda 함수를 배포합니다.

→ Lambda 함수가 여러 가용 영역에 배포되더라도 네트워크 문제로 인한 데이터 손실 문제를 해결하지 못합니다.

B. Amazon Simple Queue Service(Amazon SQS) 대기열을 생성하고 SNS 주제를 구독합니다.

→ SNS 주제에서 알림이 발생하면 SQS 대기열에 메시지가 추가되어 네트워크 문제로 인한 데이터 손실을 방지할 수 있습니다.

C. Lambda 함수에 할당된 CPU와 메모리를 늘립니다.

→ Lambda 함수의 리소스 할당량을 늘리더라도 네트워크 문제로 인한 데이터 손실 문제를 해결하지 못합니다.

D. Lambda 함수에 대해 프로비저닝된 처리량을 늘립니다.

→ Lambda 함수는 프로비저닝된 처리량 개념이 없으므로 이 옵션은 적절하지 않습니다.

E. Amazon Simple Queue Service(Amazon SQS) 대기열에서 읽도록 Lambda 함수를 수정합니다.

→ SQS 대기열에서 메시지를 읽도록 Lambda 함수를 수정하면, 네트워크 문제로 인해 데이터 처리가 실패해도 대기열에 메시지가 남아 있어 나중에 재처리될 수 있습니다.

 

마지막 문제 살펴볼게요.

---

문제3

회사는 AWS 클라우드에서 웹 애플리케이션을 호스팅합니다. 회사는 AWS Certificate Manager(ACM)로 가져온 인증서를 사용하도록 Elastic Load Balancer를 구성합니다. 각 인증 서가 만료되기 30일 전에 회사의 보안 팀에 알려야 합니다. 이 요구 사항을 충족하기 위해 솔루션 설계자는 무엇을 권장해야 합니까? 

 

선택지

A. 인증서가 만료되기 30일 전부터 매일 Amazon Simple Notification Service(Amazon SNS) 주제에 사용자 지정 메시지를 게시하는 규칙을 ACM에 추가합니다.

B. 30일 이내에 만료되는 인증서를 확인하는 AWS Config 규칙을 생성합니다. AWS Config가 비준수 리소스를 보고할 때 Amazon Simple Notification Service(Amazon SNS) 를 통해 사용자 지정 알림을 호출하도록 Amazon EventBridge(Amazon CloudWatch Events)를 구성합니다.

C. AWS Trusted Advisor를 사용하여 30일 이내에 만료되는 인증서를 확인합니다. 확인 상태 변경에 대한 Trusted Advisor 지표를 기반으로 하는 Amazon CloudWatch 경보를 생 성합니다. Amazon Simple Notification Service(Amazon SNS)를 통해 사용자 지정 알림을 보내도록 경보를 구성합니다.

D. 30일 이내에 만료되는 모든 인증서를 감지하는 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다. AWS Lambda 함수를 호출하도록 규칙을 구성합니다. Amazon Simple Notification Service(Amazon SNS)를 통해 사

용자 지정 알림을 보내도록 Lambda 함수를 구성합니다.

---

풀이

AWS Config와 Amazon EventBridge를 사용하면 ACM 인증서의 만료 기간을 모니터링하고, 인증서가 30일 이내에 만료될 경우 알림을 받을 수 있습니다. AWS Config는 리소스 구성을 모니터링하고 평가할 수 있는 서비스로, 규칙을 생성하여 비준수 리소스를 감지할 수 있습니다. EventBridge는 Config에서 보고된 비준수 이벤트를 감지하고, SNS를 통해 사용자 지정 알림을 전송하도록 구성할 수 있습니다.

정답 :  B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

- ACM으로 가져온 인증서를 Elastic Load Balancing에서 사용 중

- 인증서가 만료되기 30일 전에 보안 팀에 알림을 보내야 함

2. 관련 AWS 서비스 생각하기

- AWS Certificate Manager (ACM): SSL/TLS 인증서를 프로비저닝, 관리 및 배포할 수 있는 서비스입니다.

- AWS Config: AWS 리소스 구성을 기록하고 평가할 수 있는 서비스로, 규칙을 정의하여 비준수 리소스를 감지할 수 있습니다.

- Amazon EventBridge (CloudWatch Events): 여러 AWS 서비스의 이벤트를 감지하고 대상 작업을 호출할 수 있는 서버리스 이벤트 버스 서비스입니다.

- Amazon Simple Notification Service (SNS): 메시지 전송 및 모바일 푸시 알림을 제공하는 완전관리형 서비스입니다.

3. 선택지 분석하기

A. 인증서가 만료되기 30일 전부터 매일 Amazon Simple Notification Service(Amazon SNS) 주제에 사용자 지정 메시지를 게시하는 규칙을 ACM에 추가합니다.

→ ACM에는 인증서 만료 알림을 위한 규칙 생성 기능이 없습니다.

B. 30일 이내에 만료되는 인증서를 확인하는 AWS Config 규칙을 생성합니다. AWS Config가 비준수 리소스를 보고할 때 Amazon Simple Notification Service(Amazon SNS)를 통해 사용자 지정 알림을 호출하도록 Amazon EventBridge(Amazon CloudWatch Events)를 구성합니다.

→ AWS Config 규칙을 사용하여 30일 이내 만료 인증서를 감지하고, EventBridge와 SNS를 통해 알림을 전송할 수 있습니다. 이 옵션이 요구사항을 가장 잘 충족합니다.

C. AWS Trusted Advisor를 사용하여 30일 이내에 만료되는 인증서를 확인합니다. 확인 상태 변경에 대한 Trusted Advisor 지표를 기반으로 하는 Amazon CloudWatch 경보를 생성합니다. Amazon Simple Notification Service(Amazon SNS)를 통해 사용자 지정 알림을 보내도록 경보를 구성합니다.

→ Trusted Advisor는 AWS 리소스의 전반적인 상태를 모니터링하지만, 특정 규정 준수 요구사항을 확인하는 데에는 적합하지 않습니다.

D. 30일 이내에 만료되는 모든 인증서를 감지하는 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다. AWS Lambda 함수를 호출하도록 규칙을 구성합니다. Amazon Simple Notification Service(Amazon SNS)를 통해 사용자 지정 알림을 보내도록 Lambda 함수를 구성합니다.

→ EventBridge는 AWS 서비스의 이벤트를 감지할 수 있지만, ACM 인증서 만료 이벤트를 직접 감지할 수 없습니다. 따라서 Config를 사용하여 먼저 비준수 인증서를 감지하고, EventBridge와 연동하는 것이 더 효율적입니다.

 

감사합니다. 다음 글에서 만나요! 😊