AWS SAA 합격으로 가는 길 #84

안녕하세요, NxtCloud SA 김유림입니다. 오늘은 담백하게 AWS SAA 자격증 대비 실전 문제 풀이를 바로 시작하겠습니다.

 

문제는 세 가지 단계를 거치며 풀어 나갈 겁니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해보겠습니다!

---

문제1

글로벌 이벤트의 주최자는 일일 보고서를 정적 HTML 페이지로 온라인에 게시하려고 합니다. 이 페이지는 전 세계 사용자로부터 수백만 건의 조회수를 생성할 것으로 예상됩니다. 파일은 Amazon S3 버킷에 저장됩니다. 솔루션 설계자는 효율적이고 효과적인 솔루션을 설계하라는 요청을 받았습니다. 이를 달성하기 위해 솔루션 설계자는 어떤 조치를 취해야 합니까?

 

선택지

A. 파일에 대해 미리 서명된 URL을 생성합니다.

B. 모든 리전에 교차 리전 복제를 사용합니다.

C. Amazon Route 53의 지리적 근접성 기능을 사용합니다.

D. S3 버킷과 함께 Amazon CloudFront를 원본으로 사용합니다.

 

---

풀이

Amazon CloudFront와 함께 S3 버킷을 원본으로 사용하면 전 세계에 분산된 엣지 로케이션에서 콘텐츠를 캐싱하여 전송할 수 있습니다. CloudFront는 지리적 근접성에 따라 요청을 가장 가까운 엣지 로케이션으로 라우팅하여 낮은 지연 시간과 높은 전송 속도를 제공합니다. 이는 수백만 건의 조회수를 처리하는 데 효율적이고 효과적인 솔루션입니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 전 세계 사용자의 수백만 건의 조회수에 대한 효율적이고 효과적인 솔루션 필요
• 정적 HTML 페이지를 온라인에 게시
• 파일은 S3 버킷에 저장

2. 관련 AWS 서비스 생각하기

• Amazon S3 (Simple Storage Service)는 데이터를 저장하고 검색할 수 있는 객체 스토리지 서비스입니다. 웹의 어디에서나 데이터에 액세스할 수 있으며, 정적 웹 사이트 호스팅에 자주 사용됩니다.
• Amazon CloudFront는 콘텐츠 전송 네트워크(CDN) 서비스입니다. 콘텐츠를 엣지 로케이션의 캐시에 캐싱하여 고객에게 더 빠르게 전송합니다. 요청을 가장 가까운 엣지 로케이션으로 라우팅하여 짧은 지연 시간을 실현합니다. 정적 콘텐츠 배포에 적합한 서비스입니다.

3. 선택지 분석하기

A. 파일에 대해 미리 서명된 URL을 생성합니다.

→ 미리 서명된 URL은 개별 객체에 대한 제한된 액세스를 제공하지만, 높은 트래픽을 처리하기에는 부적절합니다.

 

B. 모든 리전에 교차 리전 복제를 사용합니다.

→ 교차 리전 복제는 데이터 복제를 위한 것으로 고성능 콘텐츠 전송에는 적합하지 않습니다.

 

C. Amazon Route 53의 지리적 근접성 기능을 사용합니다.

→ Route 53은 DNS 서비스로 콘텐츠 전송 기능은 제공하지 않습니다.

 

D. S3 버킷과 함께 Amazon CloudFront를 원본으로 사용합니다.

→ 이 선택지가 정답입니다. CloudFront는 S3의 정적 콘텐츠를 글로벌 엣지 로케이션에 캐시하여 전 세계 사용자에게 빠르고 효율적으로 제공할 수 있습니다.

 

 

이어서 다음 문제입니다.

---

문제2

회사에서 온프레미스 데이터 센터를 AWS로 마이그레이션하려고 합니다. 회사의 규정 준수 요구 사항에 따라 회사는 ap-northeast-3 리전만 사용할 수 있습니다. 회사 관리자는 VPC를 인 터넷에 연결할 수 없습니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까? (두 가지를 선택하세요.)

 

선택지

A. AWS Control Tower를 사용하여 데이터 레지던시 가드레일을 구현하여 인터넷 액세스를 거부하고 ap-northeast-3을 제외한 모든 AWS 리전에 대한 액세스를 거부합니다.

B. AWS WAF의 규칙을 사용하여 인터넷 액세스를 방지합니다. AWS 계정 설정에서 ap-northeast-3을 제외한 모든 AWS 지역에 대한 액세스를 거부합니다.

C. AWS Organizations를 사용하여 VPC가 인터넷에 액세스하지 못하도록 하는 SCPS(서비스 제어 정책)를 구성합니다. ap-northeast-3을 제외한 모든 AWS 리전에 대한 액세스를 거부합니다.

D. 각 VPC의 네트워크 ACL에 대한 아웃바운드 규칙을 생성하여 0.0.0.0/0의 모든 트래픽을 거부합니다. 각 사용자에 대한 IAM 정책을 생성하여 ap-northeast-3 이외의 AWS 리전 사용을 방지합니다.

E. AWS Config를 사용하여 관리형 규칙을 활성화하여 인터넷 게이트웨이를 감지 및 경고하고 ap-northeast-3 외부에 배포된 새 리소스를 감지 및 경고합니다.

 

---

풀이

AWS Organizations의 서비스 제어 정책(SCP)을 통해 특정 리전과 인터넷 게이트웨이 액세스를 제한할 수 있습니다. AWS Control Tower를 사용하여 데이터 레지던시 가드레일을 구현하면 ap-northeast-3 리전만 사용하도록 제한할 수 있습니다.

 

정답 : A, C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 데이터 센터를 ap-northeast-3 리전으로 마이그레이션
• VPC를 인터넷에 연결할 수 없음

2. 관련 AWS 서비스 생각하기

• AWS Organizations: AWS 계정을 중앙 집중식으로 관리할 수 있는 서비스입니다. 조직 단위(OU)를 사용하여 계정을 그룹화하고 서비스 제어 정책(SCP)을 통해 리소스에 대한 액세스를 제어할 수 있습니다. SCP를 사용하면 특정 AWS 서비스, 리소스 및 작업에 대한 액세스를 허용 또는 거부할 수 있습니다.
• AWS Control Tower: AWS 환경을 안전하게 설정하고 지속적으로 관리할 수 있는 서비스입니다. 가드레일을 통해 거버넌스 규칙을 적용하고 규정을 준수할 수 있습니다. 데이터 레지던시 가드레일을 사용하면 특정 AWS 리전에서만 리소스를 프로비저닝할 수 있도록 제한할 수 있습니다.

3. 선택지 분석하기

A. AWS Control Tower를 사용하여 데이터 레지던시 가드레일을 구현하여 인터넷 액세스를 거부하고 ap-northeast-3을 제외한 모든 AWS 리전에 대한 액세스를 거부합니다.

→ Control Tower의 가드레일을 통해 특정 리전(ap-northeast-3) 외 사용을 제한하고, 인터넷 액세스 차단 규칙을 설정할 수 있습니다.

 

B. AWS WAF의 규칙을 사용하여 인터넷 액세스를 방지합니다. AWS 계정 설정에서 ap-northeast-3을 제외한 모든 AWS 지역에 대한 액세스를 거부합니다.

→ WAF는 웹 애플리케이션 방화벽으로 리전 제한 기능이 없습니다. 계정 설정에서도 리전 액세스를 제한할 수 없습니다.

 

C. AWS Organizations를 사용하여 VPC가 인터넷에 액세스하지 못하도록 하는 SCPS(서비스 제어 정책)를 구성합니다. ap-northeast-3을 제외한 모든 AWS 리전에 대한 액세스를 거부합니다.

→ AWS Organizations의 SCP를 사용하면 조직 수준에서 리전 제한과 인터넷 액세스(예: EC2에 IGW 연결 등) 방지가 가능합니다.

 

D. 각 VPC의 네트워크 ACL에 대한 아웃바운드 규칙을 생성하여 0.0.0.0/0의 모든 트래픽을 거부합니다. 각 사용자에 대한 IAM 정책을 생성하여 ap-northeast-3 이외의 AWS 리전 사용을 방지합니다.

→ 네트워크 ACL과 IAM 정책을 개별적으로 관리하는 것은 비효율적입니다.

 

E. AWS Config를 사용하여 관리형 규칙을 활성화하여 인터넷 게이트웨이를 감지 및 경고하고 ap-northeast-3 외부에 배포된 새 리소스를 감지 및 경고합니다.

→ Config는 리소스 감지 및 경고 기능만 제공하므로 실제 제한 조치를 취할 수 없습니다.

 

마지막 문제 살펴보겠습니다.

---

문제3

보안 팀은 팀의 모든 AWS 계정에서 특정 서비스 또는 작업에 대한 액세스를 제한하려고 합니다. 모든 계정은 AWS Organizations의 대규모 조직에 속합니다. 솔루션은 확장 가능해야 하 며 권한을 유지할 수 있는 단일 지점이 있어야 합니다. 이를 달성하기 위해 솔루션 설계자는 무엇을 해야 합니까?

 

선택지

A. ACL을 생성하여 서비스 또는 작업에 대한 액세스를 제공합니다.

B. 계정을 허용할 보안 그룹을 생성하고 사용자 그룹에 연결합니다.

C. 각 계정에서 교차 계정 역할을 생성하여 서비스 또는 작업에 대한 액세스를 거부합니다.

D. 루트 조직 단위에 서비스 제어 정책을 만들어 서비스 또는 작업에 대한 액세스를 거부합니다.

 

---

풀이

AWS Organizations의 서비스 제어 정책(SCP)을 루트 조직 단위(OU)에 적용하면 전체 조직에 대한 권한을 일관되게 유지할 수 있습니다. SCP를 통해 특정 서비스나 작업에 대한 액세스를 제한할 수 있습니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 특정 서비스 또는 작업에 대한 액세스를 제한
• 모든 계정은 대규모 AWS Organizations 조직에 속함
• 확장 가능한 솔루션 필요, 권한을 유지할 수 있는 단일 지점 필요

2. 관련 AWS 서비스 생각하기

• AWS Organizations: AWS 계정을 중앙 집중식으로 관리할 수 있게 해주는 서비스입니다. 조직 단위(OU)를 사용하여 계정을 그룹화하고, 서비스 제어 정책(SCP)을 통해 리소스에 대한 액세스를 제어할 수 있습니다. SCP는 OU 또는 전체 조직에 적용할 수 있으며, 특정 AWS 서비스, 리소스 및 작업에 대한 액세스를 허용 또는 거부할 수 있습니다. SCP는 중앙 집중식으로 관리할 수 있어 확장성이 뛰어나며, 일관된 거버넌스 규칙을 적용할 수 있습니다.
• AWS IAM (Identity and Access Management): AWS 리소스에 대한 안전한 액세스를 제공하는 웹 서비스입니다. 사용자, 그룹, 역할에 권한을 부여할 수 있습니다. 하지만 IAM 정책은 개별 계정 단위로 관리되므로 대규모 조직에서는 관리가 어렵습니다.

3. 선택지 분석하기

A. ACL을 생성하여 서비스 또는 작업에 대한 액세스를 제공합니다.

→ ACL은 네트워크 액세스 제어 목적으로 사용되며, 서비스나 작업 액세스 제어에 적합하지 않습니다.

 

B. 계정을 허용할 보안 그룹을 생성하고 사용자 그룹에 연결합니다.

→ 보안 그룹은 EC2 인스턴스간 트래픽 제어 용도로, 이 문제의 요구사항과 맞지 않습니다.

 

C. 각 계정에서 교차 계정 역할을 생성하여 서비스 또는 작업에 대한 액세스를 거부합니다.

→ 개별 계정에서 역할을 생성하는 것은 관리가 어렵고 확장성이 떨어집니다.

 

D. 루트 조직 단위에 서비스 제어 정책을 만들어 서비스 또는 작업에 대한 액세스를 거부합니다.

→ 이 선택지가 정답입니다. Service Control Policy(SCP)는 AWS Organizations에서 계정 전체의 서비스 또는 작업에 대한 권한을 중앙에서 제어할 수 있는 확장 가능한 방법이며, 루트 조직 단위에 적용하면 모든 하위 계정에 일괄 적용됩니다.

 

 

오늘의 문제풀이를 마칩니다. 목표는 멀게 보여도, 하루하루가 그 길에 가까워지고 있습니다. 오늘도 함께 해주셔서 감사합니다.🍀