AWS SAA 합격으로 가는 길 #111

안녕하세요! 넥스트클라우드의 SA 백종훈입니다.☺️

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

솔루션 설계자는 공용 서브넷과 데이터베이스 서브넷을 포함하는 2계층 아키텍처를 설계하고 있습니다. 퍼블릭 서브넷의 웹 서버는 포트 443에서 인터넷에 열려 있어야 합니다. 데이터베이스 서브넷의 Amazon RDS for MySQL DB 인스턴스는 포트 3306의 웹 서버에서만 액세스할 수 있어야 합니다.

솔루션 설계자가 수행해야 하는 단계의 조합은 무엇입니까? (두 가지를 선택하세요.)

 

선택지

A. 퍼블릭 서브넷에 대한 네트워크 ACL을 만듭니다. 포트 3306에서 0.0.0.0/0에 대한 아웃바운드 트래픽을 거부하는 규칙을 추가합니다.

B. DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306에서 퍼블릭 서브넷 CIDR 블록의 트래픽을 허용하는 규칙을 추가합니다.

C. 퍼블릭 서브넷의 웹 서버에 대한 보안 그룹을 생성합니다. 포트 443에서 0.0.0.0/0의 트래픽을 허용하는 규칙을 추가합니다.

D. DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306에서 웹 서버 보안 그룹의 트래픽을 허용하는 규칙을 추가합니다.

E. DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306에서 웹 서버 보안 그룹의 트래픽을 제외한 모든 트래픽을 거부하는 규칙을 추가합니다.

 

풀이

2계층 아키텍처에서 웹 계층과 데이터베이스 계층 간의 보안 통신을 구성할 때는 보안 그룹의 참조 기능을 활용하는 것이 핵심입니다. 웹 서버는 인터넷에서 HTTPS 접근을 허용하고, 데이터베이스는 웹 서버 보안 그룹에서만 접근할 수 있도록 설정하여 최소 권한 원칙을 구현합니다.

정답 : C,D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 2계층 아키텍처: 퍼블릭 서브넷(웹 서버) + 데이터베이스 서브넷(RDS)
• 웹 서버는 인터넷에서 포트 443(HTTPS)로 접근 가능해야 함
• 데이터베이스는 웹 서버에서만 포트 3306(MySQL)으로 접근 가능해야 함
• 최소 권한 원칙에 따른 보안 구성 필요

2. 관련 AWS 서비스 생각하기

• Amazon VPC 보안 그룹은 인스턴스 레벨의 상태 저장(stateful) 방화벽 역할을 수행합니다. 보안 그룹의 핵심 기능 중 하나는 다른 보안 그룹을 소스로 참조할 수 있다는 점입니다. 이를 통해 특정 보안 그룹에 속한 리소스에서만 트래픽을 허용할 수 있어, 매우 세밀하고 안전한 액세스 제어가 가능합니다. 웹 서버 보안 그룹에서는 인터넷(0.0.0.0/0)에서 포트 443으로의 인바운드 트래픽을 허용해야 하며, 데이터베이스 보안 그룹에서는 웹 서버 보안 그룹을 소스로 지정하여 포트 3306으로의 트래픽만 허용해야 합니다. 이 방식은 IP 주소 범위 대신 보안 그룹 ID를 사용하므로 더 동적이고 관리하기 쉬우며, 웹 서버가 Auto Scaling으로 확장되더라도 자동으로 적용됩니다.

3. 선택지 분석하기

A. 퍼블릭 서브넷에 대한 네트워크 ACL을 만듭니다.

→ 네트워크 ACL은 서브넷 레벨 보안이며, 아웃바운드 트래픽 거부 규칙은 웹 서버가 데이터베이스에 연결하는 것을 방해할 수 있습니다.

B. DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306에서 퍼블릭 서브넷 CIDR 블록의 트래픽을 허용하는 규칙을 추가합니다.

→ CIDR 블록 전체를 허용하면 퍼블릭 서브넷의 모든 리소스에서 데이터베이스에 접근할 수 있어 보안상 바람직하지 않습니다.

C. 퍼블릭 서브넷의 웹 서버에 대한 보안 그룹을 생성합니다. 포트 443에서 0.0.0.0/0의 트래픽을 허용하는 규칙을 추가합니다.

→ 웹 서버가 인터넷에서 HTTPS 트래픽을 받을 수 있도록 하는 필수 구성입니다.

D. DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306에서 웹 서버 보안 그룹의 트래픽을 허용하는 규칙을 추가합니다.

→ 보안 그룹 참조를 통해 웹 서버에서만 데이터베이스에 접근할 수 있도록 하는 최적의 보안 구성입니다.

E. DB 인스턴스에 대한 보안 그룹을 생성합니다. 포트 3306에서 웹 서버 보안 그룹의 트래픽을 제외한 모든 트래픽을 거부하는 규칙을 추가합니다.

→ 보안 그룹은 기본적으로 모든 인바운드 트래픽을 거부하므로 명시적인 거부 규칙은 불필요합니다.

 

 

이어서 다음 문제입니다.

---

문제2

회사에서 인공 지능 및 기계 학습(AI/ML)을 연구하는 고객에게 데이터 세트를 판매합니다. 데이터 세트는 us-east-1 리전의 Amazon S3 버킷에 저장되는 형식이 지정된 대용량 파일입니다. 회사는 고객이 주어진 데이터 세트에 대한 액세스를 구매하는 데 사용하는 웹 애플리케이션을 호스팅합니다. 웹 애플리케이션은 Application Load Balancer 뒤의 여러 Amazon EC2 인스턴스에 배포됩니다. 구매 후 고객은 파일에 대한 액세스를 허용하는 S3 서명 URL을 받습니다. 고객은 북미와 유럽 전역에 분산되어 있습니다. 회사는 데이터 전송과 관련된 비용을 줄이고 성능을 유지하거나 개선하고자 합니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

 

선택지

A. 기존 S3 버킷에서 S3 Transfer Acceleration을 구성합니다. 고객 요청을 S3 Transfer Acceleration 엔드포인트로 안내합니다. 액세스 제어를 위해 S3 서명 URL을 계속 사용하십시오.

B. 기존 S3 버킷을 원본으로 사용하여 Amazon CloudFront 배포를 배포합니다. 고객 요청을 CloudFront URL로 전달합니다. 액세스 제어를 위해 CloudFront 서명 URL로 전환하십시오.

C. 버킷 사이에 S3 교차 리전 복제가 있는 eu-central-1 리전에서 두 번째 S3 버킷을 설정합니다. 가장 가까운 지역으로 고객 요청을 전달합니다. 액세스 제어를 위해 S3 서명 URL을 계속 사용하십시오.

D. 데이터세트를 최종 사용자에게 스트리밍할 수 있도록 웹 애플리케이션을 수정합니다. 기존 S3 버킷에서 데이터를 읽도록 웹 애플리케이션을 구성합니다. 애플리케이션에서 직접 액세스 제어를 구현합니다.

 

풀이

전 세계에 분산된 고객들에게 대용량 데이터 세트를 효율적으로 배포하려면 Amazon CloudFront CDN 서비스를 활용해야 합니다. CloudFront는 전 세계 엣지 로케이션을 통해 콘텐츠를 캐싱하고 배포하여 데이터 전송 비용을 절감하고 성능을 향상시키며, 서명된 URL을 통한 보안 액세스 제어도 지원합니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• us-east-1 리전의 S3 버킷에 저장된 대용량 AI/ML 데이터 세트
• 북미와 유럽 전역에 분산된 고객들
• 데이터 전송 비용 절감 및 성능 유지/개선
• 보안 액세스 제어 유지 (현재 S3 서명 URL 사용)

2. 관련 AWS 서비스 생각하기

• Amazon CloudFront는 AWS의 글로벌 콘텐츠 전송 네트워크(CDN) 서비스로, 전 세계 200+ 엣지 로케이션을 통해 콘텐츠를 캐싱하고 배포합니다. 대용량 파일의 경우 CloudFront의 이점이 더욱 두드러집니다. 첫 번째 요청 시 오리진(S3)에서 파일을 가져와 엣지 로케이션에 캐싱하고, 이후 동일한 파일에 대한 요청은 가까운 엣지 로케이션에서 직접 제공됩니다. 이를 통해 오리진에서의 데이터 전송 비용을 크게 절감할 수 있습니다. CloudFront 서명 URL은 S3 서명 URL과 유사한 보안 기능을 제공하지만, CDN의 이점을 함께 활용할 수 있습니다. 또한 CloudFront는 압축, HTTP/2 지원 등의 추가 최적화 기능도 제공하여 전송 성능을 더욱 향상시킬 수 있습니다.

3. 선택지 분석하기

 

A. 기존 S3 버킷에서 S3 Transfer Acceleration을 구성합니다.

→ Transfer Acceleration은 업로드 속도 향상에 주로 사용되며, 대용량 파일의 다운로드 비용 절감이나 캐싱 효과는 제공하지 않습니다.

B. 기존 S3 버킷을 원본으로 사용하여 Amazon CloudFront 배포를 배포합니다.

→ CloudFront를 통해 전 세계 엣지 로케이션에서 콘텐츠를 캐싱하여 데이터 전송 비용을 절감하고 성능을 향상시킬 수 있으며, 서명 URL을 통한 보안도 유지됩니다.

C. 버킷 사이에 S3 교차 리전 복제가 있는 eu-central-1 리전에서 두 번째 S3 버킷을 설정합니다.

→ 교차 리전 복제는 추가 스토리지 비용과 복제 비용을 발생시키며, 단순히 두 리전으로만 분산하는 것은 글로벌 최적화에 한계가 있습니다.

D. 데이터세트를 최종 사용자에게 스트리밍할 수 있도록 웹 애플리케이션을 수정합니다.

→ 웹 애플리케이션을 통한 프록시 방식은 애플리케이션 서버에 부하를 가중시키고, 대용량 파일 전송 시 비효율적이며, 확장성에도 한계가 있습니다.

 

마지막 문제 살펴볼게요.

---

문제3

회사는 AWS 클라우드에서 호스팅되는 게임 애플리케이션을 위한 공유 스토리지 솔루션을 설계하고 있습니다. 회사는 SMB 클라이언트를 사용하여 데이터에 액세스할 수 있는 기능이 필요합니다. 솔루션은 완전히 관리되어야 합니다.

어떤 AWS 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A. 탑재 가능한 파일 시스템으로 데이터를 공유하는 AWS DataSync 작업을 생성합니다. 파일 시스템을 애플리케이션 서버에 마운트하십시오.

B. Amazon EC2 Windows 인스턴스를 생성합니다. 인스턴스에 Windows 파일 공유 역할을 설치하고 구성합니다. 응용 프로그램 서버를 파일 공유에 연결합니다.

C. Windows 파일 서버 파일 시스템용 Amazon FSx를 생성합니다. 원본 서버에 파일 시스템을 연결합니다. 애플리케이션 서버를 파일 시스템에 연결하십시오.

D. Amazon S3 버킷을 생성합니다. 애플리케이션에 IAM 역할을 할당하여 S3 버킷에 대한 액세스 권한을 부여합니다. S3 버킷을 애플리케이션 서버에 마운트합니다.

 

풀이

SMB 프로토콜을 지원하면서 완전 관리형 서비스인 Amazon FSx for Windows File Server가 이 요구사항에 완벽하게 부합합니다. Windows 기반 파일 시스템을 제공하며, 게임 애플리케이션에서 SMB 클라이언트를 통해 공유 스토리지에 접근할 수 있도록 지원합니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• AWS 클라우드의 게임 애플리케이션용 공유 스토리지
• SMB 클라이언트를 통한 데이터 접근 필요
• 완전 관리형 솔루션 요구

2. 관련 AWS 서비스 생각하기

• Amazon FSx for Windows File Server는 Windows Server 기반의 완전 관리형 파일 시스템 서비스입니다. Microsoft Windows Server 2008 R2, 2012, 2012 R2, 2016, 2019를 기반으로 구축되어 네이티브 Windows 기능을 완벽하게 지원합니다. SMB 프로토콜(Server Message Block)을 완전히 지원하여 Windows 클라이언트뿐만 아니라 Linux, macOS에서도 SMB 클라이언트를 통해 접근할 수 있습니다. 게임 애플리케이션에서 공통으로 사용하는 게임 자산, 설정 파일, 세이브 데이터 등을 여러 서버 인스턴스가 공유할 수 있게 해주며, Active Directory 통합, 액세스 제어 목록(ACL), 중복 제거, 압축 등의 엔터프라이즈급 기능도 제공합니다. 완전 관리형 서비스로 백업, 패치, 모니터링 등의 운영 작업이 자동화되어 있습니다.

3. 선택지 분석하기

A. 탑재 가능한 파일 시스템으로 데이터를 공유하는 AWS DataSync 작업을 생성합니다.

→ AWS DataSync는 데이터 전송 및 동기화 서비스로, 공유 스토리지 솔루션을 제공하지 않습니다.

B. Amazon EC2 Windows 인스턴스를 생성합니다. 인스턴스에 Windows 파일 공유 역할을 설치하고 구성합니다.

→ 자체 구축 방식으로 완전 관리형 요구사항을 충족하지 못하며, 백업, 패치, 고가용성 구성 등의 운영 부담이 발생합니다.

C. Windows 파일 서버 파일 시스템용 Amazon FSx를 생성합니다.

→ SMB 프로토콜을 완벽하게 지원하는 완전 관리형 Windows 파일 시스템으로, 모든 요구사항을 충족합니다.

D. Amazon S3 버킷을 생성합니다.

→ S3는 객체 스토리지 서비스로 SMB 프로토콜을 지원하지 않으며, 파일 시스템으로 마운트할 수 없습니다.

 

감사합니다. 다음 글에서 만나요.☺️