AWS SAA 합격으로 가는 길 #105

안녕하세요! 넥스트클라우드의 SA 백종훈입니다. 😊

8월의 첫 글인 만큼, 새로운 마음가짐으로 시작해보겠습니다!

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

한 회사에서 AWS를 사용하여 보험 견적을 처리할 웹 애플리케이션을 설계하고 있습니다. 사용자는 애플리케이션에서 견적을 요청합니다. 견적은 견적 유형별로 구분되어야 하며, 24시간 이내에 응답해야 하며 분실해서는 안 됩니다. 솔루션은 운영 효율성을 극대화하고 유지 보수를 최소화해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A. 견적 유형에 따라 여러 Amazon Kinesis 데이터 스트림을 생성합니다. 적절한 데이터 스트림으로 메시지를 보내도록 웹 애플리케이션을 구성합니다. Kinesis Client Library(KCL)를 사용하여 자체 데이터 스트림에서 메시지를 풀링하도록 애플리케이션 서버의 각 백엔드 그룹을 구성합니다.

B. 각 견적 유형에 대해 AWS Lambda 함수 및 Amazon Simple Notification Service(Amazon SNS) 주제를 생성합니다. 연결된 SNS 주제에 Lambda 함수를 구독합니다. 견적 요청을 적절한 SNS 주제에 게시하도록 애플리케이션을 구성합니다.

C. 단일 Amazon Simple Notification Service(Amazon SNS) 주제를 생성합니다. SNS 주제에 대한 Amazon Simple Queue Service(Amazon SQS) 대기열을 구독합니다. 견적 유형에 따라 적절한 SQS 대기열에 메시지를 게시하도록 SNS 메시지 필터링을 구성합니다. 자체 SQS 대기열을 사용하도록 각 백엔드 애플리케이션 서버를 구성합니다.

D. 데이터 스트림을 Amazon OpenSearch Service 클러스터로 전달하기 위해 견적 유형을 기반으로 여러 Amazon Kinesis Data Firehose 전달 스트림을 생성합니다. 적절한 전송 스트림으로 메시지를 보내도록 애플리케이션을 구성합니다. OpenSearch Service에서 메시지를 검색하고 그에 따라 처리하도록 애플리케이션 서버의 각 백엔드 그룹을 구성합니다.

---

풀이

Amazon SNS와 SQS를 결합한 Fan-out 패턴을 사용하면 메시지를 견적 유형별로 효율적으로 분류하고 처리할 수 있습니다. SNS의 메시지 필터링 기능을 통해 단일 주제에서 여러 SQS 대기열로 메시지를 라우팅할 수 있으며, SQS는 메시지 손실 방지와 24시간 이내 처리를 보장합니다. 이 아키텍처는 완전 관리형 서비스들로 구성되어 운영 오버헤드를 최소화합니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 견적 유형별로 메시지 구분 처리
• 24시간 이내 응답 보장
• 메시지 손실 방지
• 운영 효율성 극대화 및 유지 보수 최소화

2. 관련 AWS 서비스 생각하기

• Amazon SNS는 pub/sub 메시징 서비스로 메시지 필터링 기능을 제공합니다. 단일 주제에서 메시지 속성에 따라 여러 구독자에게 선택적으로 메시지를 전달할 수 있습니다. Amazon SQS는 완전 관리형 메시지 큐 서비스로 메시지를 안전하게 저장하고 중복 처리를 방지합니다. 메시지 가시성 제한 시간과 재시도 메커니즘을 통해 24시간 이내 처리를 보장할 수 있습니다. SNS-SQS Fan-out 패턴은 확장 가능하고 내결함성이 뛰어난 메시징 아키텍처를 제공하며, 완전 관리형 서비스들로 구성되어 운영 오버헤드가 매우 낮습니다.

3. 선택지 분석하기

A. 견적 유형에 따라 여러 Amazon Kinesis 데이터 스트림을 생성합니다.

→ Kinesis는 실시간 스트리밍 데이터 처리에 적합하지만, 메시지 큐잉과 배치 처리에는 과도한 복잡성을 가져옵니다.

B. 각 견적 유형에 대해 AWS Lambda 함수 및 Amazon SNS 주제를 생성합니다.

→ 견적 유형별로 별도의 SNS 주제를 생성하는 것은 관리 복잡성을 증가시키고, 메시지 손실 방지를 위한 추가 구성이 필요합니다.

C. 단일 Amazon SNS 주제와 메시지 필터링을 사용하여 여러 SQS 대기열에 라우팅합니다.

→ SNS 메시지 필터링으로 견적 유형별 라우팅이 가능하고, SQS가 메시지 내구성과 배치 처리를 보장하여 모든 요구사항을 만족합니다.

D. 여러 Amazon Kinesis Data Firehose 전달 스트림을 생성합니다.

→ Firehose와 OpenSearch는 분석 및 검색 용도에 적합하지만, 실시간 메시지 처리에는 부적절하고 복잡성이 높습니다.

 

이어서 다음 문제입니다.

---

문제2

한 회사에서 AWS Lambda 함수를 사용하여 Amazon S3 버킷의 데이터를 처리하고 있습니다. Lambda 함수는 S3 버킷에서 파일을 읽어야 합니다. 회사는 보안 모범 사례를 따르고 최소 권한 원칙을 준수하면서 이 요구 사항을 충족하려고 합니다.

솔루션 설계자는 무엇을 추천해야 합니까?

 

선택지

A. Lambda 함수 코드에 AWS 액세스 키와 비밀 액세스 키를 하드코딩합니다.

B. Lambda 함수에 IAM 역할을 할당하고 S3 버킷에 대한 읽기 액세스 권한을 가진 IAM 정책을 역할에 연결합니다.

C. S3 버킷에 대한 전체 액세스 권한을 가진 IAM 사용자를 생성하고 Lambda 함수에서 해당 사용자의 자격 증명을 사용합니다.

D. S3 버킷을 퍼블릭으로 설정하여 Lambda 함수가 인증 없이 액세스할 수 있도록 합니다.

---

풀이

AWS Lambda와 다른 AWS 서비스 간의 안전한 연동을 위해서는 IAM 역할을 사용하는 것이 가장 안전하고 권장되는 방법입니다. Lambda 함수에 IAM 역할을 할당하고, 해당 역할에 S3 버킷 읽기 권한만 부여하는 IAM 정책을 연결하면 최소 권한 원칙을 준수하면서 안전하게 S3에 접근할 수 있습니다. 이는 자격 증명을 코드에 하드코딩하거나 과도한 권한을 부여할 필요가 없는 보안 모범 사례입니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• Lambda 함수가 S3 버킷에서 파일을 읽어야 함
• 보안 모범 사례 준수
• 최소 권한 원칙 적용

2. 관련 AWS 서비스 생각하기

• AWS IAM은 AWS 리소스에 대한 액세스를 안전하게 제어하는 서비스입니다. IAM 역할은 특정 권한 집합을 정의하고, AWS 서비스나 리소스가 해당 역할을 수임하여 필요한 권한을 얻을 수 있게 합니다. Lambda 함수의 경우, 실행 역할(execution role)을 통해 다른 AWS 서비스에 안전하게 액세스할 수 있습니다. 이 방식은 자격 증명을 코드에 하드코딩할 필요가 없고, 임시 자격 증명을 자동으로 관리하여 보안성을 높입니다. 최소 권한 원칙에 따라 Lambda 함수가 수행해야 하는 작업에 필요한 최소한의 권한만 부여하는 것이 중요합니다.

3. 선택지 분석하기

A. Lambda 함수 코드에 AWS 액세스 키와 비밀 액세스 키를 하드코딩합니다.

→ 자격 증명을 코드에 하드코딩하는 것은 심각한 보안 위험을 초래하며, 보안 모범 사례에 위배됩니다.

B. Lambda 함수에 IAM 역할을 할당하고 S3 버킷에 대한 읽기 액세스 권한을 가진 IAM 정책을 역할에 연결합니다.

→ IAM 역할을 통한 접근은 보안 모범 사례이며, 읽기 권한만 부여하여 최소 권한 원칙을 준수합니다.

C. S3 버킷에 대한 전체 액세스 권한을 가진 IAM 사용자를 생성하고 Lambda 함수에서 해당 사용자의 자격 증명을 사용합니다.

→ 전체 액세스 권한은 최소 권한 원칙에 위배되며, IAM 사용자 자격 증명을 Lambda에서 사용하는 것은 권장되지 않습니다.

D. S3 버킷을 퍼블릭으로 설정하여 Lambda 함수가 인증 없이 액세스할 수 있도록 합니다.

→ S3 버킷을 퍼블릭으로 설정하는 것은 심각한 보안 위험을 초래하며, 보안 모범 사례에 완전히 위배됩니다.

 

 

마지막 문제 살펴볼게요.

---

문제3

한 회사에서 대규모 DDoS 공격과 웹 익스플로잇으로부터 웹 애플리케이션을 보호해야 합니다. 애플리케이션은 Network Load Balancer(NLB) 뒤에서 실행되고 있으며, API Gateway를 통해 API 엔드포인트를 노출하고 있습니다.

솔루션 설계자는 포괄적인 보안 솔루션을 제공하기 위해 무엇을 추천해야 합니까? (2개 선택)

 

선택지

A. AWS Shield Standard를 활성화하여 기본 DDoS 보호를 제공합니다.

B. AWS Shield Advanced를 활성화하여 고급 DDoS 보호와 24/7 지원을 제공합니다.

C. Amazon API Gateway에서 AWS WAF를 활성화하여 웹 익스플로잇을 차단합니다.

D. Amazon CloudFront를 사용하여 정적 콘텐츠를 캐싱합니다.

E. AWS Config를 사용하여 보안 구성을 모니터링합니다.

 

풀이

대규모 DDoS 공격에 대비하기 위해서는 AWS Shield Advanced가 필요하며, 웹 익스플로잇 방어를 위해서는 AWS WAF를 API Gateway와 함께 사용해야 합니다. Shield Advanced는 대규모 DDoS 공격에 대한 고급 보호 기능과 24시간 DDoS Response Team 지원을 제공하며, WAF는 SQL 인젝션, XSS 등의 웹 공격을 효과적으로 차단할 수 있습니다.

 

정답 : B,C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 대규모 DDoS 공격 방어
• 웹 익스플로잇 방어
• NLB와 API Gateway 환경에서의 포괄적 보안

2. 관련 AWS 서비스 생각하기

• AWS Shield는 AWS 인프라에서 실행되는 애플리케이션을 DDoS 공격으로부터 보호하는 서비스입니다. Shield Standard는 기본적인 DDoS 보호를 제공하지만, 대규모 공격에 대응하려면 Shield Advanced가 필요합니다. Shield Advanced는 정교한 DDoS 공격 탐지, 실시간 공격 알림, DDoS Response Team의 24시간 지원을 제공합니다. AWS WAF는 웹 애플리케이션 방화벽으로 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 봇 트래픽 등 다양한 웹 익스플로잇을 차단할 수 있습니다. API Gateway와 WAF를 연동하면 API 레벨에서 악성 요청을 필터링할 수 있어 백엔드 애플리케이션을 효과적으로 보호할 수 있습니다.

3. 선택지 분석하기

A. AWS Shield Standard를 활성화하여 기본 DDoS 보호를 제공합니다.

→ Shield Standard는 기본적인 보호만 제공하므로 대규모 DDoS 공격에는 부족합니다.

B. AWS Shield Advanced를 활성화하여 고급 DDoS 보호와 24/7 지원을 제공합니다.

→ 대규모 DDoS 공격에 대응하기 위해서는 Shield Advanced의 고급 보호 기능과 전문가 지원이 필수적입니다.

C. Amazon API Gateway에서 AWS WAF를 활성화하여 웹 익스플로잇을 차단합니다.

→ WAF를 API Gateway와 연동하면 API 레벨에서 웹 익스플로잇을 효과적으로 차단할 수 있습니다.

D. Amazon CloudFront를 사용하여 정적 콘텐츠를 캐싱합니다.

→ CloudFront는 성능 향상에 도움이 되지만, 직접적인 보안 솔루션은 아닙니다.

E. AWS Config를 사용하여 보안 구성을 모니터링합니다.

→ Config는 보안 구성 관리에 도움이 되지만, 실시간 공격 방어 솔루션은 아닙니다.

 

감사합니다. 다음 글에서 만나요~~ 😊☺️