AWS SAA 합격으로 가는 길 #91

안녕하세요! 넥스트클라우드의 SA 손유림입니다. 😊 복잡한 개념도 이해하기 쉽게 풀어드리기 위해 이 글을 준비했습니다!

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

회사에서 VPC에 2계층 웹 애플리케이션을 배포하고 있습니다. 웹 계층은 여러 가용 영역에 걸쳐 있는 퍼블릭 서브넷이 있는 Amazon EC2 Auto Scaling 그룹을 사용하고 있습니다. 데이 터베이스 계층은 별도의 프라이빗 서브넷에 있는 MySQL DB 인스턴스용 Amazon RDS로 구성됩니다. 웹 계층은 제품 정보를 검색하기 위해 데이터베이스에 액세스해야 합니다. 웹 응용 프로그램이 의도한 대로 작동하지 않습니다. 웹 애플리케이션에서 데이터베이스에 연결할 수 없다고 보고합니다. 데이터베이스가 가동 및 실행 중인 것으로 확인되었습니다. 네트워크 ACL, 보안 그룹 및 라우팅 테이블에 대한 모든 구성은 여전히 기본 상태입니다. 애플리케이션 수정을 위해 솔루션 아키텍트는 무엇을 추천해야 합니까?

 

선택지

A. 프라이빗 서브넷의 네트워크 ACL에 명시적 규칙을 추가하여 웹 티어의 EC2 인스턴스에서 오는 트래픽을 허용합니다.

B. 웹 계층의 EC2 인스턴스와 데이터베이스 계층 간의 트래픽을 허용하도록 VPC 경로 테이블에 경로를 추가합니다.

C. 웹 계층의 EC2 인스턴스와 데이터베이스 계층의 RDS 인스턴스를 두 개의 개별 VPC에 배포하고 VPC 피어링을 구성합니다.

D. 데이터베이스 계층 RDS 인스턴스의 보안 그룹에 인바운드 규칙을 추가하여 웹 계층 보안 그룹의 트래픽을 허용합니다.

---

풀이

VPC에서 웹 계층과 데이터베이스 계층 간의 통신을 허용하려면 데이터베이스 보안 그룹에 웹 계층의 보안 그룹에서 오는 트래픽을 허용하는 인바운드 규칙을 추가해야 합니다.

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• VPC에 2계층 웹 애플리케이션 배포
• 웹 계층은 퍼블릭 서브넷, 데이터베이스 계층은 프라이빗 서브넷에 위치
• 웹 계층이 데이터베이스 계층에 액세스

2. 관련 AWS 서비스 생각하기

Amazon VPC(Virtual Private Cloud)는 AWS 클라우드에서 가상 네트워크를 프로비저닝할 수 있게 해주는 서비스입니다. 네트워크 ACL과 보안 그룹을 통해 인스턴스 수준과 서브넷 수준에서 네트워크 액세스를 제어할 수 있습니다. 보안 그룹은 인스턴스 수준에서 인바운드/아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. 보안 그룹 규칙을 통해 특정 IP 주소나 다른 보안 그룹에서 오는 트래픽을 허용하거나 거부할 수 있습니다. 네트워크 ACL은 서브넷 수준에서 트래픽을 제어하므로 보안 그룹과 함께 사용되어야 합니다.

3. 선택지 분석하기

A. 프라이빗 서브넷의 네트워크 ACL에 명시적 규칙을 추가하여 웹 티어의 EC2 인스턴스에서 오는 트래픽을 허용합니다.

→ 네트워크 ACL은 서브넷 수준에서 트래픽을 제어하므로 인스턴스 간 통신을 제어하기에는 부적절합니다.

 

B. 웹 계층의 EC2 인스턴스와 데이터베이스 계층 간의 트래픽을 허용하도록 VPC 경로 테이블에 경로를 추가합니다.

→ VPC 경로 테이블은 네트워크 트래픽의 대상을 결정하므로 인스턴스 간 통신을 제어하기에 부적절합니다.

 

C. 웹 계층의 EC2 인스턴스와 데이터베이스 계층의 RDS 인스턴스를 두 개의 개별 VPC에 배포하고 VPC 피어링을 구성합니다.

→ VPC 피어링은 두 개의 VPC 간 통신을 가능케 하지만, 불필요한 복잡성이 증가하므로 바람직하지 않습니다.

 

D. 데이터베이스 계층 RDS 인스턴스의 보안 그룹에 인바운드 규칙을 추가하여 웹 계층 보안 그룹의 트래픽을 허용합니다.

→ RDS 인스턴스의 보안 그룹에 웹 계층 보안 그룹으로부터의 MySQL 포트(3306) 트래픽을 허용하는 인바운드 규칙을 추가하여 애플리케이션 간 통신 문제를 해결하는 가장 직접적이고 효과적인 방법입니다.

 

이어서 다음 문제입니다.

---

문제2

회사에서 Amazon RDS DB 인스턴스에 데이터를 저장할 계획입니다. 회사는 미사용 데이터를 암호화해야 합니다. 솔루션 설계자는 이 요구 사항을 충족하기 위해 무엇을 해야 합니까?

 

선택지

A. AWS Key Management Service(AWS KMS)에서 키를 생성합니다. DB 인스턴스에 대한 암호화를 활성화합니다.

B. 암호화 키를 생성합니다. AWS Secrets Manager에 키를 저장합니다. 키를 사용하여 DB 인스턴스를 암호화합니다.

C. AWS Certificate Manager(ACM)에서 인증서를 생성합니다. 인증서를 사용하여 DB 인스턴스에서 SSL/TLS를 활성화합니다.

D. AWS Identity and Access Management(IAM)에서 인증서를 생성합니다. 인증서를 사용하여 DB 인스턴스에서 SSL/TLS를 활성화합니다.

---

풀이

Amazon RDS DB 인스턴스에 저장된 데이터를 암호화하려면 AWS KMS(Key Management Service)에서 암호화 키를 생성하고, 이 키를 사용하여 DB 인스턴스에 대한 암호화를 활성화해야 합니다.

정답 : A  

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• RDS DB 인스턴스에 데이터 저장 예정
• 미사용 데이터 암호화 필요

2. 관련 AWS 서비스 생각하기

AWS KMS(Key Management Service)는 암호화 키를 쉽게 생성, 관리 및 사용할 수 있게 해주는 관리형 서비스입니다. KMS는 FIPS 140-2 인증 하드웨어 보안 모듈(HSM)을 사용하여 키를 보호합니다. 대칭 및 비대칭 키 생성을 지원하며, 키 교체, 활성화/비활성화 등의 작업을 수행할 수 있습니다. Amazon RDS는 KMS 키를 사용하여 데이터베이스 암호화를 활성화할 수 있습니다. 이를 통해 디스크에 저장된 데이터와 백업 데이터를 암호화할 수 있습니다.

3. 선택지 분석하기

A. AWS Key Management Service(AWS KMS)에서 키를 생성합니다. DB 인스턴스에 대한 암호화를 활성화합니다.

→ AWS KMS는 암호화 키 관리 전용 서비스로, RDS DB 인스턴스의 미사용 데이터 암호화를 위한 표준이자 가장 적절한 방법입니다.

 

B. 암호화 키를 생성합니다. AWS Secrets Manager에 키를 저장합니다. 키를 사용하여 DB 인스턴스를 암호화합니다.

→ Secrets Manager는 데이터를 안전하게 저장하기 위한 서비스이므로 암호화 키를 여기에 저장해서는 안 됩니다.

 

C. AWS Certificate Manager(ACM)에서 인증서를 생성합니다. 인증서를 사용하여 DB 인스턴스에서 SSL/TLS를 활성화합니다.

→ ACM은 SSL/TLS 인증서 관리에 사용되므로 데이터 암호화에는 적절하지 않습니다.

 

D. AWS Identity and Access Management(IAM)에서 인증서를 생성합니다. 인증서를 사용하여 DB 인스턴스에서 SSL/TLS를 활성화합니다.

→ IAM은 인증 및 권한 관리 서비스이므로 데이터 암호화와는 무관합니다.

 

마지막 문제 살펴볼게요.

---

문제3

솔루션 설계자는 원하는 Amazon EC2 용량에 도달하기 전에 야간 배치 처리 작업이 1시간 동안 자동으로 확장되는 것을 관찰합니다. 최대 용량은 '매일 밤 동일하며 배치 작업은 항상 오전 1시에 시작됩니다. 솔루션 설계자는 원하는 EC2 용량에 빠르게 도달하고 배치 작업이 완료된 후 Auto Scaling 그룹이 축소될 수 있는 비용 효율적인 솔루션을 찾아야 합니다. 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

 

선택지

A. Auto Scaling 그룹의 최소 용량을 늘립니다.

B. Auto Scaling 그룹의 최대 용량을 늘립니다.

C. 원하는 컴퓨팅 수준으로 확장하도록 예약된 확장을 구성합니다.

D. 각 조정 작업 중에 더 많은 EC2 인스턴스를 추가하도록 조정 정책을 변경합니다.

---

풀이

야간 배치 처리 작업 중에 EC2 인스턴스 수를 자동으로 늘려 원하는 용량에 빠르게 도달하려면 AWS Auto Scaling 예약된 확장을 사용해야 합니다. 또한 작업 완료 후 인스턴스 수를 줄이기 위해 예약된 축소도 설정할 수 있습니다.

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 야간 배치 작업 시 빠르게 원하는 EC2 용량에 도달하도록 확장
• 배치 작업 완료 후 Auto Scaling 그룹 축소

2. 관련 AWS 서비스 생각하기

Amazon EC2 Auto Scaling은 애플리케이션의 가용성을 보장하고 비용을 최적화하기 위해 EC2 인스턴스의 수를 자동으로 조정하는 서비스입니다. 예약된 확장은 사전 설정된 시간에 따라 특정 최소/최대/원하는 용량으로 Auto Scaling 그룹을 확장할 수 있는 기능입니다. 따라서 야간 배치 작업을 위해 일시적으로 인스턴스 수를 늘렸다가 작업 완료 후 다시 줄일 수 있습니다. 

3. 선택지 분석하기

A. Auto Scaling 그룹의 최소 용량을 늘립니다.

→ 최소 용량을 늘리면 계속해서 많은 인스턴스가 실행되므로 비용 효율적이지 않습니다.

 

B. Auto Scaling 그룹의 최대 용량을 늘립니다.

→ 최대 용량을 늘리는 것만으로는 작업 시간에 맞춰 자동으로 확장되지 않습니다.

 

C. 원하는 컴퓨팅 수준으로 확장하도록 예약된 확장을 구성합니다.

→ 매일 오전 1시 배치 작업 시작 전에 미리 필요한 용량으로 확장하고, 작업 완료 후 자동으로 축소하도록 스케줄을 설정하여 즉시 확장과 비용 효율성을 모두 달성하는 최적의 방법입니다.

 

D. 각 조정 작업 중에 더 많은 EC2 인스턴스를 추가하도록 조정 정책을 변경합니다.

→ 조정 정책은 트래픽 패턴, 지표 변화 등의 실시간 조건에 따라 자동으로 인스턴스 수를 조정하는 데 사용됩니다. 이는 예약된 작업에는 적합하지 않습니다.

 

이 글이 여러분의 학습에 도움이 되었기를 바랍니다.

감사합니다. 다음 글에서 만나요! 😊