AWS SAA 합격으로 가는 길 #57

 

안녕하세요! 넥스트클라우드의 SA 강준우입니다. 😊

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

한 회사에 AWS에서 호스팅되는 웹사이트가 있습니다. 웹사이트는 HTTP와 HTTPS를 별도로 처리하도록 구성된 ALB(Application Load Balancer) 뒤에 있습니다. 회사는 요청이 HTTPS를 사용하도록 모든 요청을 웹 사이트로 전달하려고 합니다. 솔루션 설계자는 이 요구 사항을 충족하기 위해 무엇을 해야 합니까? 

선택지

A. HTTPS 트래픽만 허용하도록 ALB의 네트워크 ACL을 업데이트합니다.

B. URL의 HTTP를 HTTPS로 바꾸는 규칙을 만듭니다.

C. ALB에서 리스너 규칙을 생성하여 HTTP 트래픽을 HTTPS로 리디렉션합니다.

D. ALB를 SNI(Server Name Indication)를 사용하도록 구성된 Network Load Balancer로 교체합니다.

풀이

Application Load Balancer(ALB)에서 리스너 규칙을 생성하여 HTTP 트래픽을 HTTPS로 리디렉션하는 것이 이 요구사항을 충족하는 가장 적절한 방법입니다. ALB 리스너 규칙은 특정 조건을 기반으로 수신 요청을 라우팅하거나 리디렉션할 수 있습니다. 따라서 HTTP 요청을 HTTPS로 리디렉션하는 규칙을 생성하면 모든 요청이 HTTPS를 사용하게 됩니다.

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• AWS에서 호스팅되는 웹사이트
• HTTP와 HTTPS를 별도로 처리하도록 구성된 ALB
• 모든 요청을 HTTPS로 전달

2. 관련 AWS 서비스 생각하기

• Application Load Balancer (ALB): 웹 애플리케이션 트래픽을 분산하고 라우팅하는 로드 밸런서입니다. 여러 리스너(HTTP, HTTPS 등)를 구성하고 각 리스너에 대한 규칙을 정의할 수 있습니다.
• ALB 리스너 규칙: 수신 요청에 따라 다양한 작업(포워딩, 리디렉션, 고정 응답 등)을 수행할 수 있는 규칙입니다.

3. 선택지 분석하기

A. HTTPS 트래픽만 허용하도록 ALB의 네트워크 ACL을 업데이트합니다.

→ 네트워크 ACL은 보안 그룹과 유사하지만 더 세분화된 제어가 가능한 가상 방화벽 역할을 합니다. 그러나 요구사항은 모든 요청을 HTTPS로 전달하는 것이므로 이 옵션은 부적절합니다.

 

B. URL의 HTTP를 HTTPS로 바꾸는 규칙을 만듭니다.

→ 이 옵션은 구체적이지 않습니다. 어디에서 이러한 규칙을 만들어야 하는지 명시되어 있지 않습니다.

 

C. ALB에서 리스너 규칙을 생성하여 HTTP 트래픽을 HTTPS로 리디렉션합니다.

 

D. ALB를 SNI(Server Name Indication)를 사용하도록 구성된 Network Load Balancer로 교체합니다.

→ Network Load Balancer는 TCP/UDP 트래픽을 처리하는 로드 밸런서입니다. HTTP와 HTTPS 트래픽을 처리하려면 ALB가 더 적합합니다. SNI는 SSL/TLS 프로토콜의 확장 기능으로, 여러 도메인의 트래픽을 단일 IP 주소로 라우팅할 수 있게 해줍니다. 따라서 이 옵션은 요구사항과 관련이 없습니다.

 

이어서 다음 문제입니다.

---

문제2

회사는 AWS 클라우드 배포를 검토하여 Amazon S3 버킷에 무단 구성 변경이 없는지 확인해야 합니다. 이 목표를 달성하기 위해 솔루션 설계자는 무엇을 해야 합니까? 

선택지

A. 적절한 규칙으로 AWS Config를 켭니다.

B. 적절한 확인을 통해 AWS Trusted Advisor를 켭니다.

C. 적절한 평가 템플릿으로 Amazon Inspector를 켭니다.

D. Amazon S3 서버 액세스 로깅을 켭니다. Amazon EventBridge(Amazon Cloud Watch Events)를 구성합니다.

---

풀이

AWS Config를 사용하면 AWS 리소스 구성을 지속적으로 모니터링하고 기록할 수 있습니다. 적절한 규칙을 설정하면 S3 버킷에 대한 구성 변경 사항을 감지하고 알림을 받을 수 있습니다. 따라서 AWS Config를 활성화하고 적절한 규칙을 설정하는 것이 S3 버킷의 무단 변경을 감지하는 가장 적절한 방법입니다.

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• Amazon S3 버킷에 대한 무단 구성 변경 여부 확인

2. 관련 AWS 서비스 생각하기

• AWS Config: AWS 리소스 구성을 지속적으로 모니터링하고 기록하는 서비스입니다. 리소스 구성이 변경되면 알림을 받고 규칙 준수 여부를 확인할 수 있습니다.
• AWS Trusted Advisor: AWS 환경을 검사하여 비용 최적화, 성능, 보안, 내결함성 등에 대한 권장 사항을 제공하는 서비스입니다.
• Amazon Inspector: AWS 환경에 대한 보안 및 규정 준수 평가를 자동화하는 서비스입니다.
• Amazon EventBridge (CloudWatch Events): 이벤트를 모니터링하고 대상에 라우팅하는 서버리스 이벤트 버스 서비스입니다.

3. 선택지 분석하기

A. 적절한 규칙으로 AWS Config를 켭니다.

 

B. 적절한 확인을 통해 AWS Trusted Advisor를 켭니다.

→ Trusted Advisor는 AWS 환경에 대한 일반적인 권장 사항을 제공하지만, 특정 S3 버킷의 구성 변경 사항을 모니터링하지는 않습니다.

 

C. 적절한 평가 템플릿으로 Amazon Inspector를 켭니다.

→ Inspector는 AWS 환경의 보안 및 규정 준수 평가에 사용되지만, 특정 리소스의 구성 변경 사항을 모니터링하지는 않습니다.

 

D. Amazon S3 서버 액세스 로깅을 켭니다. Amazon EventBridge(Amazon CloudWatch Events)를 구성합니다.

→ S3 서버 액세스 로그는 S3 버킷에 대한 액세스 요청을 기록하지만, 구성 변경 사항은 기록하지 않습니다. EventBridge는 이벤트를 모니터링하고 대상에 라우팅하는 서비스로, 단독으로는 S3 버킷의 구성 변경 사항을 모니터링할 수 없습니다.

 

마지막 문제 살펴볼게요.

---

문제3

회사는 동일한 AWS 리전에 있는 Amazon S3 버킷에서 사진을 자주 업로드하고 다운로드해야 하는 사진 처리 애플리케이션을 실행합니다. 솔루션 아키텍트가 데이터 전송 비용의 증가를 발견하고 이러한 비용을 줄이기 위한 솔루션을 구현해야 합니다. 솔루션 설계자는 이 요구 사항을 어떻게 충족할 수 있습니까? 

선택지

A. Amazon API Gateway를 퍼블릭 서브넷에 배포하고 이를 통해 S3 호출을 라우팅하도록 라우팅 테이블을 조정합니다.

B. 퍼블릭 서브넷에 NAT 게이트웨이를 배포하고 S3 버킷에 대한 액세스를 허용하는 엔드포인트 정책을 연결합니다.

C. 애플리케이션을 퍼블릭 서브넷에 배포하고 인터넷 게이트웨이를 통해 라우팅하여 S3 버킷에 액세스하도록 허용합니다.

D. S3 VPC 게이트웨이 엔드포인트를 VPC에 배포하고 S3 버킷에 대한 액세스를 허용하는 엔드포인트 정책을 연결합니다.

---

풀이

동일 리전 내에서 Amazon S3 버킷과의 데이터 전송은 무료입니다. 그러나 VPC 내부에서 S3 버킷으로의 요청은 퍼블릭 IP를 사용하여 인터넷을 통해 전달되므로 데이터 전송 비용이 발생합니다. S3 VPC 게이트웨이 엔드포인트를 생성하고 적절한 엔드포인트 정책을 연결하면, 애플리케이션이 VPC 내부에서 인터넷 게이트웨이를 거치지 않고 S3 버킷에 액세스할 수 있어 데이터 전송 비용을 절감할 수 있습니다.

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 동일 리전의 S3 버킷에서 사진 업로드/다운로드하는 애플리케이션
• 데이터 전송 비용 증가로 인한 비용 절감 솔루션 필요

2. 관련 AWS 서비스 생각하기

• Amazon S3: 확장성, 내구성, 보안성이 높은 객체 스토리지 서비스입니다.
• Amazon VPC: 가상 네트워크 환경을 제공하여 AWS 리소스를 격리할 수 있습니다.
• VPC 엔드포인트: VPC 내부에서 AWS 서비스에 액세스할 수 있는 프라이빗 연결을 제공합니다.
• S3 VPC 게이트웨이 엔드포인트: 특별히 S3 버킷에 대한 VPC 내부 액세스를 지원하는 엔드포인트입니다.

3. 선택지 분석하기

A. Amazon API Gateway를 퍼블릭 서브넷에 배포하고 이를 통해 S3 호출을 라우팅하도록 라우팅 테이블을 조정합니다.

→ API Gateway는 데이터 전송 비용 절감과는 관련이 없습니다. 또한 라우팅 테이블은 VPC 내부 트래픽 제어에 사용되므로 이 옵션은 부적절합니다.

 

B. 퍼블릭 서브넷에 NAT 게이트웨이를 배포하고 S3 버킷에 대한 액세스를 허용하는 엔드포인트 정책을 연결합니다.

→ NAT 게이트웨이는 프라이빗 서브넷에서 인터넷으로 나가는 트래픽을 라우팅하는 데 사용됩니다. 이 옵션은 데이터 전송 비용을 절감하지 못합니다.

 

C. 애플리케이션을 퍼블릭 서브넷에 배포하고 인터넷 게이트웨이를 통해 라우팅하여 S3 버킷에 액세스하도록 허용합니다.

→ 인터넷 게이트웨이를 통해 S3에 액세스하면 데이터 전송 비용이 발생하므로 이 옵션은 요구사항을 충족하지 못합니다.

 

D. S3 VPC 게이트웨이 엔드포인트를 VPC에 배포하고 S3 버킷에 대한 액세스를 허용하는 엔드포인트 정책을 연결합니다.

 

감사합니다. 다음 글에서 만나요! 😊