AWS SAA 합격으로 가는 길 #75

안녕하세요, NxtCloud SA 이수민입니다. AWS SAA 자격증 준비를 위한 실전 문제 풀이를 진행하겠습니다. 문제를 함께 다루며 AWS 서비스에 대한 이해도를 높이는 시간이 되길 바랍니다.

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해보겠습니다!

---

문제1

솔루션 아키텍트가 애플리케이션을 위한 새로운 Amazon CloudFront 배포판을 생성하고 있습니다. 사용자가 제출한 정보 중 일부는 민감한 정보입니다. 애플리케이션은 HTTPS를 사용하지만 또 다른 보안 계층이 필요합니다. 민감한 정보는 전체 애플리케이션 스택에서 보호되어야 하며 정보에 대한 액세스는 특정 애플리케이션으로 제한되어야 합니다. 솔루션 아키텍트는 어떤 조치를 취해야 합니까?

 

선택지

A. CloudFront 서명된 URL을 구성합니다.

B. CloudFront 서명 쿠키를 구성합니다.

C. CloudFront 필드 수준 암호화 프로필을 구성합니다.

D. CloudFront를 구성하고 뷰어 프로토콜 정책에 대해 오리진 프로토콜 정책 설정을 HTTPS 전용으로 설정합니다.

 

풀이

Amazon CloudFront의 필드 수준 암호화는 전송 중인 민감한 데이터를 보호하는 강력한 기능입니다. 지정된 데이터 필드를 암호화하여 전체 애플리케이션 스택에서 해당 정보를 안전하게 보호할 수 있으며, 특정 애플리케이션에 대해서만 액세스를 허용할 수 있습니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 사용자가 제출한 일부 민감한 정보 보호
• 전체 애플리케이션 스택에서 보호 및 특정 애플리케이션으로의 액세스 제한
• HTTPS 외에 추가 보안 계층 필요

2. 관련 AWS 서비스 생각하기

• Amazon CloudFront는 AWS의 콘텐츠 전송 네트워크(CDN) 서비스로, 정적 및 동적 웹 콘텐츠를 사용자에게 빠르고 안전하게 전송합니다. CloudFront는 엔드 투 엔드 암호화, 액세스 제어, 최종 사용자 요청 필터링 등 다양한 보안 기능을 제공합니다. 특히 필드 수준 암호화를 통해 지정된 민감한 데이터 필드를 암호화하여 전송할 수 있습니다. 암호화 키는 AWS 계정에서 관리할 수 있으며, 특정 애플리케이션에 대해서만 복호화 권한을 부여할 수 있습니다.

3. 선택지 분석하기

A. CloudFront 서명된 URL을 구성합니다.

→ 서명된 URL은 지정된 기간 동안 객체에 대한 액세스를 제어하는 기능이지만, 전송 중인 데이터를 암호화하지는 않습니다.

 

B. CloudFront 서명 쿠키를 구성합니다.

→ 서명 쿠키는 지정된 기간 동안 사용자별 액세스를 제어하는 기능이지만, 데이터 암호화에는 적합하지 않습니다.

 

C. CloudFront 필드 수준 암호화 프로필을 구성합니다.

→ 필드 수준 암호화를 사용하면 지정된 민감한 데이터 필드를 암호화할 수 있으므로, 이 요구사항을 충족합니다.

 

D. CloudFront를 구성하고 뷰어 프로토콜 정책에 대해 오리진 프로토콜 정책 설정을 HTTPS 전용으로 설정합니다.

→ 이 옵션은 HTTPS 전송을 보장하지만, 전송 중인 데이터 자체를 암호화하지는 않습니다.

 

이어서 다음 문제입니다.

---

문제2

한 회사에서 Amazon S3 버킷을 스토리지로 사용할 파일 공유 애플리케이션을 개발하고 있습니다. 회사는 Amazon CloudFront 배포를 통해 모든 파일을 제공하려고 합니다. 회사는 S3 URL에 대한 직접 탐색을 통해 파일에 액세스할 수 있기를 원하지 않습니다. 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

 

선택지

A. 각 S3 버킷에 대한 개별 정책을 작성하여 CloudFront 액세스에 대해서만 읽기 권한을 부여하십시오.

B. IAM 사용자를 생성합니다. 사용자에게 S3 버킷의 객체에 대한 읽기 권한을 부여합니다. 사용자를 CloudFront에 할당합니다.

C. CloudFront 배포 ID를 Principal로 할당하고 대상 S3 버킷을 Amazon 리소스 이름(ARN)으로 할당하는 S3 버킷 정책을 작성합니다.

D. 원본 액세스 ID(OAI)를 만듭니다. CloudFront 배포에 OAI를 할당합니다. OAI만 읽기 권한을 갖도록 S3 버킷 권한을 구성합니다.

---

풀이

CloudFront에서 S3 버킷을 오리진으로 사용하는 경우, S3 버킷에 대한 직접 액세스를 차단하려면 CloudFront 오리진 액세스 ID(OAI)를 사용해야 합니다. OAI는 CloudFront 배포 생성 시 자동으로 생성되며, S3 버킷 정책에서 해당 OAI에 대해서만 읽기 권한을 부여하면 됩니다. 이렇게 하면 CloudFront 배포를 통해서만 S3 버킷에 액세스할 수 있습니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• S3 버킷에 저장된 파일 공유
• CloudFront를 통해 파일 배포
• S3 URL 직접 액세스 차단

2. 관련 AWS 서비스 생각하기

• Amazon S3는 AWS의 객체 스토리지 서비스로, 정적 웹 콘텐츠나 미디어 파일 등을 저장하는 데 널리 사용됩니다. S3 버킷에 저장된 객체에 대한 액세스는 버킷 정책과 액세스 제어 목록(ACL)을 통해 제어할 수 있습니다. 버킷 정책은 리소스 기반 정책으로, 특정 AWS 계정, IAM 역할, 서비스 등에 대한 액세스 권한을 정의할 수 있습니다.
• Amazon CloudFront는 콘텐츠를 안전하게 배포하기 위한 CDN 서비스입니다. CloudFront 배포를 생성하면 오리진 액세스 ID(OAI)가 자동으로 생성되며, 이 OAI를 S3 버킷 정책의 Principal로 지정하여 CloudFront 배포에서만 해당 버킷에 액세스할 수 있도록 제한할 수 있습니다. 이렇게 하면 S3 버킷에 대한 직접 액세스를 차단할 수 있습니다.

3. 선택지 분석하기

A. 각 S3 버킷에 대한 개별 정책을 작성하여 CloudFront 액세스에 대해서만 읽기 권한을 부여하십시오.

→ 개별 정책을 관리하기 어려우므로 운영 부담이 큽니다.

 

B. IAM 사용자를 생성합니다. 사용자에게 S3 버킷의 객체에 대한 읽기 권한을 부여합니다. 사용자를 CloudFront에 할당합니다.

→ IAM 사용자를 CloudFront에 할당하는 방식은 부적절합니다. 또한 최소 권한 원칙에 위배됩니다.

 

C. CloudFront 배포 ID를 Principal로 할당하고 대상 S3 버킷을 Amazon 리소스 이름(ARN)으로 할당하는 S3 버킷 정책을 작성합니다.

→ 이 방식은 최소 권한 원칙에 위배되므로 보안 위험이 있습니다.

 

D. 원본 액세스 ID(OAI)를 만듭니다. CloudFront 배포에 OAI를 할당합니다. OAI만 읽기 권한을 갖도록 S3 버킷 권한을 구성합니다.

→ OAI를 사용하면 CloudFront 배포에서만 S3 버킷에 액세스할 수 있으므로 안전하고 최소 권한을 준수합니다.

 

마지막 문제 살펴볼게요.

---

문제3

회사는 온프레미스에서 Oracle 데이터베이스를 실행합니다. 회사는 AWS로 마이그레이션하는 과정에서 데이터베이스를 사용 가능한 최신 버전으로 업그레이드하려고 합니다. 또한 회사는 데이터베이스에 재해 복구(DR)를 설정하려고 합니다. 회사는 정상 운영 및 DR 설정을 위한 운영 오버헤드를 최소화해야 합니다. 회사는 또한 데이터베이스의 기본 운영 체제에 대한 액세스를 유지 관리해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. Oracle 데이터베이스를 Amazon EC2 인스턴스로 마이그레이션합니다. 다른 AWS 리전으로 데이터베이스 복제를 설정합니다.

B. Oracle 데이터베이스를 Oracle용 Amazon RDS로 마이그레이션합니다. 리전 간 자동 백업을 활성화하여 스냅샷을 다른 AWS 리전에 복제합니다.

C. Oracle 데이터베이스를 Amazon RDS Custom for Oracle로 마이그레이션합니다. 다른 AWS 리전에서 데이터베이스에 대한 읽기 전용 복제본을 생성합니다.

D. Oracle 데이터베이스를 Oracle용 Amazon RDS로 마이그레이션합니다. 다른 가용 영역에서 대기 데이터베이스를 생성합니다.

 

풀이

RDS Custom for Oracle은 기존 Oracle 데이터베이스를 Amazon RDS 환경으로 마이그레이션할 수 있는 서비스입니다. 이를 통해 데이터베이스를 최신 버전으로 업그레이드할 수 있으며, 다중 AZ 배포와 읽기 전용 복제본 생성이 가능하여 고가용성과 재해 복구 요건을 충족할 수 있습니다. 또한 기본 운영 체제에 대한 액세스 권한도 제공됩니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 온프레미스 Oracle 데이터베이스를 AWS로 마이그레이션
• 데이터베이스 업그레이드 및 재해 복구 설정
• 운영 오버헤드 최소화 및 기본 OS 액세스 유지

2. 관련 AWS 서비스 생각하기

• Amazon RDS(Relational Database Service)는 AWS의 관리형 관계형 데이터베이스 서비스입니다. MySQL, PostgreSQL, Oracle, SQL Server 등 다양한 데이터베이스 엔진을 지원하며, 자동 백업, 패치 관리, 다중 AZ 배포, 읽기 전용 복제본 생성 등의 기능을 통해 운영 부담을 줄여줍니다.
• RDS Custom for Oracle은 기존 Oracle 데이터베이스를 RDS 환경으로 마이그레이션할 수 있는 솔루션입니다. 온프레미스 또는 EC2 인스턴스에서 실행 중인 Oracle 데이터베이스를 RDS Custom for Oracle로 전환할 수 있습니다. 이를 통해 데이터베이스를 최신 버전으로 업그레이드할 수 있으며, 다중 AZ 배포와 읽기 전용 복제본을 생성하여 고가용성과 재해 복구 환경을 구축할 수 있습니다. 또한 기본 운영 체제에 대한 액세스 권한도 제공되므로, 특정 운영 체제 요구 사항이 있는 경우에도 유연하게 대응할 수 있습니다.

 

3. 선택지 분석하기

A. Oracle 데이터베이스를 Amazon EC2 인스턴스로 마이그레이션합니다. 다른 AWS 리전으로 데이터베이스 복제를 설정합니다.

→ EC2 인스턴스로 마이그레이션하면 데이터베이스 관리 및 운영 부담이 커집니다.

 

B. Oracle 데이터베이스를 Oracle용 Amazon RDS로 마이그레이션합니다. 리전 간 자동 백업을 활성화하여 스냅샷을 다른 AWS 리전에 복제합니다.

→ RDS for Oracle은 기존 데이터베이스 마이그레이션 및 업그레이드가 제한적이며, OS 액세스 권한도 없습니다.

 

C. Oracle 데이터베이스를 Amazon RDS Custom for Oracle로 마이그레이션합니다. 다른 AWS 리전에서 데이터베이스에 대한 읽기 전용 복제본을 생성합니다.

→ RDS Custom for Oracle은 모든 요구사항을 충족합니다.

 

D. Oracle 데이터베이스를 Oracle용 Amazon RDS로 마이그레이션합니다. 다른 가용 영역에서 대기 데이터베이스를 생성합니다.

→ RDS for Oracle은 기존 데이터베이스 마이그레이션 및 업그레이드가 제한적이며, OS 액세스 권한도 없습니다.

 

 

감사합니다