AWS SAA 합격으로 가는 길 #48

안녕하세요! 넥스트클라우드의 SA 손유림입니다. 😊

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

회사는 MySQL 데이터베이스로 구동되는 온프레미스 애플리케이션을 실행합니다. 회사는 애플리케이션의 탄력성과 가용성을 높이기 위해 애플리케이션을 AWS로 마이그레이션하고 있습니다. 현재 아키텍처는 정상 작동 시간 동안 데이터베이스에서 과도한 읽기 활동을 보여줍니다. 회사의 개발 팀은 4시간마다 프로덕션 데이터베이스의 전체 내보내기를 가져와 스테이징 환경에서 데이터베이스를 채웁니다. 이 기간 동안 사용자는 허용할 수 없는 애플리케이션 대기 시간을 경험합니다. 개발팀은 절차가 완료될 때까지 스테이징 환경을 사용할 수 없습니다.

솔루션 설계자는 애플리케이션 대기 시간 문제를 완화하는 대체 아키텍처를 권장해야 합니다. 대체 아키텍처는 또한 개발 팀이 스테이징 환경을 지체 없이 계속 사용할 수 있는 기능을 제공해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

선택지

A. 프로덕션을 위해 다중 AZ Aurora 복제본과 함께 Amazon Aurora MySQL을 사용하십시오. mysqldump 유틸리티를 사용하는 백업 및 복원 프로세스를 구현하여 스테이징 데이터베이스를 채웁니다.

B. 프로덕션을 위해 다중 AZ Aurora 복제본과 함께 Amazon Aurora MySQL을 사용합니다. 데이터베이스 복제를 사용하여 필요에 따라 스테이징 데이터베이스를 생성합니다.

C. 다중 AZ 배포와 함께 Amazon RDS for MySQL을 사용하고 프로덕션용 읽기 전용 복제본을 사용합니다. 스테이징 데이터베이스에 대기 인스턴스를 사용하십시오.

D. 다중 AZ 배포와 함께 Amazon RDS for MySQL을 사용하고 프로덕션용 읽기 전용 복제본을 사용합니다. mysqldump 유틸리티를 사용하는 백업 및 복원 프로세스를 구현하여 스테 이징 데이터베이스를 채웁니다.

---

풀이

Amazon Aurora MySQL은 동일한 기본 데이터베이스에 읽기 전용 복제본을 생성할 수 있는 기능을 제공합니다. 이를 통해 스테이징 데이터베이스가 프로덕션 데이터베이스의 복제본이 되도록 구성할 수 있습니다. 복제 과정에서 발생하는 지연 시간이 매우 짧기 때문에, 스테이징 데이터베이스는 프로덕션과 거의 동일한 최신 데이터를 유지할 수 있습니다. 또한 개발 팀은 언제든지 스테이징 데이터베이스에 액세스할 수 있으므로 지연 없이 작업을 계속할 수 있습니다.

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 데이터베이스 과도한 읽기 활동으로 인한 애플리케이션 대기 시간 문제 완화
• 개발 팀이 스테이징 환경에 지체 없이 액세스 가능

2. 관련 AWS 서비스 생각하기

• Amazon Aurora MySQL은 MySQL과 호환되는 완전 관리형 데이터베이스 서비스입니다. 다중 AZ 배포, 읽기 전용 복제본, 자동 백업 및 복구 등의 기능을 제공하여 높은 가용성과 내구성을 실현합니다. 읽기 전용 복제본을 생성할 때 프로덕션 데이터베이스의 성능에 거의 영향을 주지 않으면서도 실시간에 가까운 데이터 동기화가 가능하고, 복제본 생성 과정에서 별도의 백업이나 복원 작업이 필요하지 않습니다. 또한, 다중 AZ 배포를 통해 높은 가용성을 보장하는데, 이는 프로덕션 환경의 안정성을 크게 향상시킵니다. 읽기 작업이 복제본으로 분산되기 때문에 데이터베이스의 과도한 읽기 활동으로 인한 성능 저하 문제도 해결할 수 있습니다.

3. 선택지 분석하기

A. 프로덕션을 위해 다중 AZ Aurora 복제본과 함께 Amazon Aurora MySQL을 사용하십시오. mysqldump 유틸리티를 사용하는 백업 및 복원 프로세스를 구현하여 스테이징 데이터베이스를 채웁니다.

→ mysqldump를 사용하는 백업 및 복원 프로세스는 시간이 오래 걸리고 애플리케이션 대기 시간 문제를 완화하지 못합니다. 전체 데이터를 백업하고 복원하는 과정에서 시간이 많이 걸리고, 그동안 개발팀은 스테이징 환경을 사용할 수 없게 됩니다.

 

B. 프로덕션을 위해 다중 AZ Aurora 복제본과 함께 Amazon Aurora MySQL을 사용합니다. 데이터베이스 복제를 사용하여 필요에 따라 스테이징 데이터베이스를 생성합니다.

 

C. 다중 AZ 배포와 함께 Amazon RDS for MySQL을 사용하고 프로덕션용 읽기 전용 복제본을 사용합니다. 스테이징 데이터베이스에 대기 인스턴스를 사용하십시오.

→ RDS MySQL의 대기 인스턴스는 장애 대비용이라 스테이징 환경으로 적합하지 않습니다. 또한 Aurora MySQL보다 성능이나 확장성 면에서 제한적이며, 관리 부담도 더 큽니다.

 

D. 다중 AZ 배포와 함께 Amazon RDS for MySQL을 사용하고 프로덕션용 읽기 전용 복제본을 사용합니다. mysqldump 유틸리티를 사용하는 백업 및 복원 프로세스를 구현하여 스테이징 데이터베이스를 채웁니다.

→ A와 같은 문제를 가지고 있으며, RDS MySQL을 사용하므로 Aurora MySQL보다 성능면에서도 불리합니다. mysqldump로 인한 시간 지연과 스테이징 환경 접근 제한 문제는 여전히 남아있게 됩니다.

 

이어서 다음 문제입니다.

---

문제2

회사에서 새로운 서버리스 워크로드 배포를 준비하고 있습니다. 솔루션 설계자는 최소 권한 원칙을 사용하여 AWS Lambda 함수를 실행하는 데 사용할 권한을 구성해야 합니다. Amazon EventBridge(Amazon CloudWatch Events) 규칙이 함수를 호출합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

선택지

A. lambda:InvokeFunction을 액션으로, *를 보안 주체로 사용하여 함수에 실행 역할을 추가합니다.

B. Lambda:InvokeFunction을 작업으로, Service: lambda.amazonaws.com을 보안 주체로 사용하여 함수에 실행 역할을 추가합니다.

C. Lambda:*를 작업으로, Service: events.amazonaws.com을 보안 주체로 사용하여 함수에 리소스 기반 정책을 추가합니다.

D. Lambda:InvokeFunction을 작업으로, Service: events.amazonaws.com을 보안 주체로 사용하여 함수에 리소스 기반 정책을 추가합니다.

---

풀이

최소 권한 원칙을 준수하기 위해서는 Lambda 함수에 대한 리소스 기반 정책을 사용하여 EventBridge에서 함수를 호출할 수 있는 권한을 부여해야 합니다. 이를 위해서는 정책의 Action에 Lambda:InvokeFunction을, Principal에 Service: events.amazonaws.com을 지정하면 됩니다.

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• AWS Lambda 함수를 실행하는 데 사용할 권한 구성
• 최소 권한 원칙 사용
• Amazon EventBridge에서 Lambda 함수 호출

2. 관련 AWS 서비스 생각하기

• AWS IAM(Identity and Access Management)은 AWS 리소스에 대한 접근을 안전하게 관리하는 서비스입니다. 최소 권한 원칙에 따라, 필요한 최소한의 권한만을 부여하여 보안을 강화할 수 있습니다. IAM을 통해 누가 어떤 리소스에 접근할 수 있는지, 어떤 작업을 수행할 수 있는지 세밀하게 제어할 수 있습니다.
• 리소스 기반 정책은 특정 AWS 리소스에 직접 연결되는 정책입니다. Lambda 함수의 경우, 이 정책을 통해 어떤 서비스나 사용자가 해당 함수를 호출할 수 있는지 정의할 수 있습니다. 이 정책에는 권한을 부여받을 주체(Principal), 허용할 작업(Action), 그리고 적용될 리소스(Resource)를 지정합니다.

3. 선택지 분석하기

A. lambda:InvokeFunction을 액션으로, *를 보안 주체로 사용하여 함수에 실행 역할을 추가합니다.

→ *를 보안 주체로 사용하면 모든 리소스가 함수를 호출할 수 있게 되므로 최소 권한 원칙에 위배됩니다.

 

B. Lambda:InvokeFunction을 작업으로, Service: lambda.amazonaws.com을 보안 주체로 사용하여 함수에 실행 역할을 추가합니다.

→ Service: lambda.amazonaws.com은 Lambda 서비스 자체를 의미하므로 적절하지 않습니다. EventBridge가 함수를 호출할 수 있도록 해야 합니다.

 

C. Lambda:*를 작업으로, Service: events.amazonaws.com을 보안 주체로 사용하여 함수에 리소스 기반 정책을 추가합니다.

→ Lambda:*는 필요 이상의 권한을 부여하므로 최소 권한 원칙에 위배됩니다.

 

D. Lambda:InvokeFunction을 작업으로, Service: events.amazonaws.com을 보안 주체로 사용하여 함수에 리소스 기반 정책을 추가합니다.

 

마지막 문제 살펴볼게요.

---

문제3

한 회사가 AWS 클라우드에서 공개 웹 애플리케이션을 출시할 준비를 하고 있습니다. 아키텍처는 ELB(Elastic Load Balancer) 뒤에 있는 VPC 내의 Amazon EC2 인스턴스로 구성됩니다. 타사 서비스가 DNS에 사용됩니다. 회사의 솔루션 설계자는 대규모 DDoS 공격을 탐지하고 방어하는 솔루션을 추천해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

선택지

A. 계정에서 Amazon GuardDuty를 활성화합니다.

B. EC2 인스턴스에서 Amazon Inspector를 활성화합니다.

C. AWS Shield를 활성화하고 여기에 Amazon Route 53을 할당합니다.

D. AWS Shield Advanced를 활성화하고 여기에 ELB를 할당합니다.

---

풀이

AWS Shield Advanced는 고급 DDoS 방어 서비스로, ELB와 같은 AWS 리소스를 DDoS 공격으로부터 보호할 수 있습니다. ELB를 Shield Advanced에 할당하면 대규모 DDoS 공격에 대한 탐지와 완화를 자동으로 수행할 수 있습니다.

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• ELB 뒤에 있는 VPC 내 EC2 인스턴스로 구성된 아키텍처
• 타사 DNS 서비스 사용
• 대규모 DDoS 공격 탐지 및 방어 솔루션 필요

2. 관련 AWS 서비스 생각하기

서비스	주요기능	특징
AWS Shield Standard	• 기본적인 DDoS 방어 • Layer 3, 4 공격 방어 • 실시간 보호	• 모든 AWS 고객 무료 제공 • 자동 활성화 • 기본 수준 보호
AWS Shield Advanced	• 고급 DDoS 방어 • Layer 3, 4, 7 공격 방어 • WAF 통합 • 24/7 지원	• 유료 서비스 • 리소스 직접 할당 가능 • 전문가 지원팀 제공 • 비용 보호 정책 제공
Amazon GuardDuty	• 지능형 위협 탐지 • 행동 모니터링 • 로그 분석	• 머신러닝 기반 분석 • 전반적 보안 모니터링
Amazon Inspector	• 취약점 평가 • 보안 검사 • 규정 준수 검증	• EC2 인스턴스 대상 • 호스트 레벨 보안 검사

3. 선택지 분석하기

A. 계정에서 Amazon GuardDuty를 활성화합니다.

→ GuardDuty는 AWS 계정의 잠재적 보안 위협을 탐지하고 모니터링하는 서비스입니다. 비정상적인 API 호출이나 잠재적으로 승인되지 않은 활동을 감지할 수 있지만, DDoS 공격을 직접적으로 방어하는 기능은 없습니다.

 

B. EC2 인스턴스에서 Amazon Inspector를 활성화합니다.

→ Inspector는 EC2 인스턴스의 취약점을 스캔하고 보안 평가를 수행하는 도구입니다. 소프트웨어 취약점이나 보안 설정 문제는 찾을 수 있지만, 네트워크 수준의 DDoS 공격을 막을 수는 없습니다.

 

C. AWS Shield를 활성화하고 여기에 Amazon Route 53을 할당합니다.

→ 기본 제공되는 Shield Standard만으로는 대규모 DDoS 공격을 방어하기에 부족합니다. 또한 Route 53은 DNS 서비스로, 웹 서버로 들어오는 트래픽을 직접 보호하지 않습니다.

 

D. AWS Shield Advanced를 활성화하고 여기에 ELB를 할당합니다.

 

감사합니다. 다음 글에서 만나요! 😊