AWS SAA 합격으로 가는 길 #69

안녕하세요!! NxtCloud SA 백종훈입니다. AWS SAA 자격증 준비를 위한 실전 문제 풀이 시간입니다. 오늘 준비한 문제들을 통해 이론과 실전 문제를 함께 풀어보며 AWS 서비스에 대한 이해도를 높여보세요. 바로 시작하겠습니다!

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해보겠습니다!

---

문제1

회사에서 Amazon ECS를 사용하여 애플리케이션을 실행합니다. 애플리케이션은 원본 이미지의 크기가 조정된 버전을 생성한 다음 Amazon S3 API를 호출하여 크기가 조정된 이미지를 Amazon S3에 저장합니다.솔루션 설계자는 애플리케이션이 Amazon S3에 액세스할 권한이 있는지 어떻게 확인할 수 있습니까?

 

선택지

A. Amazon ECS에서 읽기/쓰기 액세스를 허용하도록 AWS IAM에서 S3 역할을 업데이트한 다음 컨테이너를 다시 시작합니다.

B. S3 권한이 있는 IAM 역할을 생성한 다음 작업 정의에서 해당 역할을 taskRoleArn으로 지정합니다.

C. Amazon ECS에서 Amazon S3로의 액세스를 허용하는 보안 그룹을 생성하고 ECS 클러스터에서 사용하는 시작 구성을 업데이트합니다.

D. S3 권한이 있는 IAM 사용자를 만든 다음 이 계정으로 로그인한 상태에서 ECS 클러스터에 대한 Amazon EC2 인스턴스를 다시 시작합니다.

 

풀이

Amazon ECS에서 실행되는 애플리케이션에 Amazon S3 액세스 권한을 부여하려면 IAM 역할을 생성하고 해당 역할에 S3 읽기/쓰기 권한을 추가해야 합니다. 그런 다음 ECS 작업 정의에서 이 IAM 역할을 taskRoleArn으로 지정하면 애플리케이션이 S3에 액세스할 수 있습니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• Amazon ECS에서 실행 중인 애플리케이션이 Amazon S3에 액세스할 수 있어야 함

2. 관련 AWS 서비스 생각하기

• Amazon ECS(Elastic Container Service)는 Docker 컨테이너를 손쉽게 실행, 중지, 관리할 수 있는 고도로 확장 가능하고 빠른 컨테이너 관리 서비스입니다. 클러스터에서 Docker 컨테이너를 실행하고 AWS 클라우드의 컴퓨팅 리소스에 걸쳐 확장하거나 축소할 수 있습니다.
• IAM(Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 통해 AWS 계정의 사용자 및 그룹을 생성하고 권한을 할당할 수 있으며, 리소스에 대한 세분화된 제어가 가능합니다. IAM 역할을 사용하면 AWS 리소스에 대한 액세스 권한을 부여할 수 있습니다.
• Amazon S3(Simple Storage Service)는 인터넷용 스토리지 서비스로, 데이터를 안전하게 저장하고 검색할 수 있습니다. 버킷이라는 리소스 컨테이너에 데이터를 저장하며, 리소스 기반 정책과 IAM 정책을 통해 액세스를 제어할 수 있습니다.

3. 선택지 분석하기

A. Amazon ECS에서 읽기/쓰기 액세스를 허용하도록 AWS IAM에서 S3 역할을 업데이트한 다음 컨테이너를 다시 시작합니다.

→ ECS에서 직접 IAM 역할을 업데이트할 수는 없습니다. 대신 IAM 역할에 권한을 부여하고 ECS 작업 정의에서 해당 역할을 지정해야 합니다.

 

B. S3 권한이 있는 IAM 역할을 생성한 다음 작업 정의에서 해당 역할을 taskRoleArn으로 지정합니다.

→ 이 방법이 올바릅니다. IAM 역할을 생성하고 S3 액세스 권한을 부여한 후, ECS 작업 정의에서 이 역할을 taskRoleArn으로 지정하면 애플리케이션이 S3에 액세스할 수 있습니다.

 

C. Amazon ECS에서 Amazon S3로의 액세스를 허용하는 보안 그룹을 생성하고 ECS 클러스터에서 사용하는 시작 구성을 업데이트합니다.

→ 보안 그룹은 인스턴스 간 네트워크 통신을 제어하는 것이므로 S3 액세스 권한을 부여하는 데 적절하지 않습니다.

 

D. S3 권한이 있는 IAM 사용자를 만든 다음 이 계정으로 로그인한 상태에서 ECS 클러스터에 대한 Amazon EC2 인스턴스를 다시 시작합니다.

→ IAM 사용자 계정으로 로그인하여 EC2 인스턴스를 다시 시작하는 것은 보안 위험이 있으며, ECS 작업과 직접적인 관련이 없습니다..

 

이어서 다음 문제입니다.

---

문제2

회사에 소프트웨어 엔지니어링에 사용되는 AWS 계정이 있습니다. AWS 계정은 한 쌍의 AWS Direct Connect 연결을 통해 회사의 온프레미스 데이터 센터에 액세스할 수 있습니다. 모든 비 VPC 트래픽은 가상 프라이빗 게이트웨이로 라우팅됩니다. 개발팀은 최근 콘솔을 통해 AWS Lambda 함수를 생성했습니다. 개발 팀은 함수가 회사 데이터 센터의 프라이빗 서브넷에서 실행되는 데이터베이스에 액세스할 수 있도록 허용해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. 적절한 보안 그룹을 사용하여 VPC에서 실행되도록 Lambda 함수를 구성합니다.

B. AWS에서 데이터 센터로 VPN 연결을 설정합니다. VPN을 통해 Lambda 함수의 트래픽을 라우팅합니다.

C. Lambda 함수가 Direct Connect를 통해 온프레미스 데이터 센터에 액세스할 수 있도록 VPC의 라우팅 테이블을 업데이트합니다.

D. 탄력적 IP 주소를 생성합니다. 탄력적 네트워크 인터페이스 없이 탄력적 IP 주소를 통해 트래픽을 보내도록 Lambda 함수를 구성합니다.

---

풀이

Lambda 함수가 VPC 내에서 실행되도록 구성하면 VPC 내부 리소스에 대한 액세스가 가능해집니다. 따라서 Lambda 함수를 VPC에 연결하고 적절한 보안 그룹을 구성하면 회사 데이터 센터의 프라이빗 서브넷에서 실행 중인 데이터베이스에 액세스할 수 있습니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• Lambda 함수가 회사 데이터 센터의 프라이빗 서브넷에 있는 데이터베이스에 액세스할 수 있어야 함

2. 관련 AWS 서비스 생각하기

• AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행할 수 있는 이벤트 기반 서버리스 컴퓨팅 서비스입니다. Lambda 함수는 이벤트에 의해 자동으로 트리거되며, 코드를 실행하고 자동으로 확장됩니다.
• AWS VPC(Virtual Private Cloud)는 Amazon 웹 서비스 클라우드에서 논리적으로 격리된 가상 네트워크를 프로비저닝할 수 있게 해주는 서비스입니다. VPC를 생성하면 가상 네트워킹 환경을 완전히 제어할 수 있습니다. VPC 내부의 리소스는 인터넷 게이트웨이, 가상 프라이빗 게이트웨이, VPN 연결 등을 통해 외부와 통신할 수 있습니다.
• AWS Direct Connect는 전용 네트워크 연결을 통해 온프레미스 네트워크를 AWS VPC에 연결할 수 있는 클라우드 서비스입니다. 이를 통해 AWS 클라우드와 온프레미스 환경 간의 프라이빗 네트워크 통신이 가능해집니다.

3. 선택지 분석하기

A. 적절한 보안 그룹을 사용하여 VPC에서 실행되도록 Lambda 함수를 구성합니다.

→ 이 방법이 올바릅니다. Lambda 함수를 VPC에 연결하고 적절한 보안 그룹을 구성하면 VPC 내부 리소스에 액세스할 수 있습니다.

 

B. AWS에서 데이터 센터로 VPN 연결을 설정합니다. VPN을 통해 Lambda 함수의 트래픽을 라우팅합니다.

→ VPN 연결은 불필요한 복잡성을 추가하며, Direct Connect 연결이 이미 있으므로 적절하지 않습니다.

 

C. Lambda 함수가 Direct Connect를 통해 온프레미스 데이터 센터에 액세스할 수 있도록 VPC의 라우팅 테이블을 업데이트합니다.

→ 라우팅 테이블 업데이트 없이도 VPC에 Lambda 함수를 연결하면 Direct Connect를 통해 온프레미스 데이터 센터에 액세스할 수 있습니다.

 

D. 탄력적 IP 주소를 생성합니다. 탄력적 네트워크 인터페이스 없이 탄력적 IP 주소를 통해 트래픽을 보내도록 Lambda 함수를 구성합니다.

→ 탄력적 IP 주소는 EC2 인스턴스에 사용하는 것으로, Lambda 함수에는 적합하지 않습니다.

 

마지막 문제 살펴볼게요.

---

문제3

회사는 Amazon EC2 인스턴스에서 Amazon S3 버킷으로 데이터를 이동해야 합니다. 회사는 API 호출 및 데이터가 공용 인터넷 경로를 통해 라우팅되지 않도록 해야 합니다. EC2 인스 턴스만 S3 버킷에 데이터를 업로드할 수 있는 액세스 권한을 가질 수 있습니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. EC2 인스턴스가 있는 서브넷에서 Amazon S3에 대한 인터페이스 VPC 엔드포인트를 생성합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허 용합니다.

B. EC2 인스턴스가 있는 가용 영역에서 Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 생성합니다. 엔드포인트에 적절한 보안 그룹을 연결합니다. 리소스 정책을 S3 버킷에 연결하 여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

C. EC2 인스턴스 내부에서 nslookup 도구를 실행하여 S3 버킷 서비스 API 엔드포인트의 프라이빗 IP 주소를 얻습니다. S3 버킷에 대한 액세스 권한을 EC2 인스턴스에 제공하기 위해 VPC 경로 테이블에 경로를 생성합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

D. AWS에서 제공하고 공개적으로 사용 가능한 ip-ranges.json 파일을 사용하여 S3 버킷 서비스 API 엔드포인트의 프라이빗 IP 주소를 얻습니다. S3 버킷에 대한 액세스 권한을 EC2 인스턴스에 제공하기 위해 VPC 경로 테이블에 경로를 생성합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

 

 

풀이

VPC 엔드포인트를 사용하면 AWS 서비스와 프라이빗 IP를 통해 통신할 수 있으며, 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결을 거치지 않아도 됩니다. 인터페이스 VPC 엔드포인트를 생성하고 이를 EC2 인스턴스가 있는 서브넷에 연결하면 S3와의 통신이 프라이빗 네트워크에 남게 됩니다. 또한 S3 버킷의 리소스 정책에서 EC2 인스턴스의 IAM 역할만 액세스하도록 제한하면 보안도 강화할 수 있습니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• EC2 인스턴스에서 S3로의 데이터 전송 시 공인 인터넷 사용 금지 
• EC2 인스턴스만 S3 버킷에 대한 액세스 권한 부여

2. 관련 AWS 서비스 생각하기

• Amazon EC2(Elastic Compute Cloud)는 Amazon 웹 서비스에서 제공하는 가상 컴퓨팅 환경으로, 임시 또는 영구적으로 컴퓨팅 용량을 확보할 수 있습니다. 사용자가 원하는 만큼의 가상 서버(인스턴스)를 실행할 수 있으며, 운영 체제와 애플리케이션 소프트웨어를 선택할 수 있습니다.
• Amazon S3(Simple Storage Service)는 인터넷용 스토리지 서비스로, 데이터를 안전하게 저장하고 검색할 수 있습니다. 버킷이라는 리소스 컨테이너에 데이터를 저장하며, 리소스 기반 정책을 사용하여 액세스를 제어할 수 있습니다.
• Amazon VPC(Virtual Private Cloud)는 AWS 클라우드에서 논리적으로 격리된 가상 네트워크를 프로비저닝할 수 있는 서비스입니다. VPC를 사용하면 IP 주소 범위, 서브넷 생성, 라우팅 테이블 구성, 네트워크 게이트웨이 등을 제어할 수 있습니다.
• VPC 엔드포인트는 VPC와 AWS 서비스 간의 프라이빗 통신 채널을 생성합니다. 게이트웨이 엔드포인트와 인터페이스 엔드포인트의 두 가지 유형이 있습니다. 인터페이스 엔드포인트는 서브넷에서 프라이빗 IP 주소를 소유하며, PrivateLink를 사용하여 AWS 서비스와 통신합니다. 게이트웨이 엔드포인트는 AWS 네트워크를 통해 AWS 서비스와 통신합니다. I
• AM(Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM 역할을 사용하면 AWS 리소스에 대한 액세스 권한을 부여할 수 있습니다.

 

3. 선택지 분석하기

A. EC2 인스턴스가 있는 서브넷에서 Amazon S3에 대한 인터페이스 VPC 엔드포인트를 생성합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

→ 이 방법이 올바릅니다. 인터페이스 VPC 엔드포인트를 사용하면 EC2 인스턴스에서 S3로의 트래픽이 AWS 네트워크에 남게 되며, S3 버킷의 리소스 정책을 통해 EC2 인스턴스의 IAM 역할만 액세스하도록 제한할 수 있습니다.

 

B. EC2 인스턴스가 있는 가용 영역에서 Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 생성합니다. 엔드포인트에 적절한 보안 그룹을 연결합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

→ 게이트웨이 엔드포인트는 트래픽이 AWS 네트워크를 통과하므로 요구사항을 만족하지 못합니다.

 

C. EC2 인스턴스 내부에서 nslookup 도구를 실행하여 S3 버킷 서비스 API 엔드포인트의 프라이빗 IP 주소를 얻습니다. S3 버킷에 대한 액세스 권한을 EC2 인스턴스에 제공하기 위해 VPC 경로 테이블에 경로를 생성합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

→ 이 방식은 복잡하고 취약할 수 있으며, VPC 엔드포인트를 사용하는 것이 더 바람직합니다.

 

D. AWS에서 제공하고 공개적으로 사용 가능한 ip-ranges.json 파일을 사용하여 S3 버킷 서비스 API 엔드포인트의 프라이빗 IP 주소를 얻습니다. S3 버킷에 대한 액세스 권한을 EC2 인스턴스에 제공하기 위해 VPC 경로 테이블에 경로를 생성합니다. 리소스 정책을 S3 버킷에 연결하여 EC2 인스턴스의 IAM 역할만 액세스하도록 허용합니다.

→ 이 방식은 복잡하고 취약할 수 있으며, VPC 엔드포인트를 사용하는 것이 더 바람직합니다.

 

 

감사합니다