AWS SAA 합격으로 가는 길 #115

안녕하세요! 넥스트클라우드의 SA 김유림입니다. 🍀

점점 가을이 되어가는 요즘입니다. 벼가 무르익듯 여러분의 실력도 무르익을 겁니다 🌾

 

늘 그렇듯, 문제는 세 가지 단계를 거치며 풀어 나가겠습니다!

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

 

---

 

문제1

회사에서 계층적 구조 관계로 직원 데이터를 저장하는 애플리케이션을 만들고자 합니다. 회사는 직원 데이터에 대한 트래픽이 많은 쿼리에 대한 최소 대기 시간 응답이 필요하며 민감한 데이터를 보호해야 합니다. 또한, 회사는 직원 데이터에 재무 정보가 있는 경우 월별 이메일 메시지를 받아야 합니다.이러한 요구 사항을 충족하기 위해 솔루션 설계자는 어떤 단계 조합을 수행해야 합니까? (두 가지를 선택하세요.)

 

선택지

A. Amazon Redshift를 사용하여 직원 데이터를 계층에 저장하십시오. 매월 Amazon S3에 데이터를 업로드합니다.

B. Amazon DynamoDB를 사용하여 직원 데이터를 계층에 저장합니다. 매월 데이터를 Amazon S3로 내보냅니다.

C. AWS 계정에 대해 Amazon Macie를 구성합니다. Macie를 Amazon EventBridge와 통합하여 월별 이벤트를 AWS Lambda로 전송합니다.

D. Amazon Athena를 사용하여 Amazon S3에서 직원 데이터를 분석합니다. Athena를 Amazon QuickSight와 통합하여 분석 대시보드를 게시하고 사용자와 대시보드를 공유합니다 .

E. AWS 계정에 대해 Amazon Macie를 구성합니다. Macie를 Amazon EventBridge와 통합하여 Amazon Simple Notification Service(Amazon SNS) 구독을 통해 월별 알림을 보냅니다.

---

 

풀이

직원 데이터의 높은 트래픽과 최소 대기 시간 요구사항을 만족하려면 DynamoDB가 최적이며, S3로 내보내기를 통해 데이터 분석 기반을 마련해야 합니다. 재무 정보 탐지와 월별 이메일 알림을 위해서는 Macie의 자동 민감 데이터 탐지 기능과 SNS를 통한 이메일 구독이 필요합니다.

 

정답 : B, E

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 계층적 직원 데이터를 저장할 수 있는 데이터베이스 필요
• 빠른 응답 시간을 제공할 수 있는 데이터베이스 필요
• 데이터 암호화를 통한 보안 요구사항 충족
• 월별 이메일 알림 기능 필요

 

2. 관련 AWS 서비스 생각하기

Amazon DynamoDB : 완전관리형 NoSQL 데이터베이스 서비스로, 키-값 및 문서 데이터 저장에 적합합니다. 또한, 밀리초 단위의 단일 자릿수 지연 시간을 제공하므로 빠른 응답 시간 요구사항을 충족하며, 서버 측 암호화를 지원하여 데이터를 안전하게 저장할 수 있습니다. DynamoDB Streams를 활용하면 데이터 변경 시 이벤트를 내보낼 수 있어 월별 이메일 알림 기능 구현이 가능합니다.

 

Amazon Redshift : 완전관리형 페타바이트 규모의 데이터 웨어하우스 서비스로, 분석 워크로드에 최적화되어 있습니다. 하지만 온라인 트랜잭션 처리(OLTP) 워크로드에는 적합하지 않으며, 빠른 응답 시간 요구사항을 충족하기 어렵습니다.

 

Amazon Athena : 대화형 쿼리 서비스로, S3에 저장된 데이터를 분석할 수 있습니다. 이 서비스는 데이터 저장소가 아니라 쿼리 엔진이므로 이 문제의 요구사항을 충족하기 어렵습니다.

 

Amazon Macie : 기계 학습을 활용하여 S3 데이터의 민감한 정보를 검색하는 보안 서비스입니다. 데이터 저장 및 관리 기능은 제공하지 않습니다.

 

3. 선택지 분석하기

A. Amazon Redshift를 사용하여 직원 데이터를 계층에 저장하십시오. 매월 Amazon S3에 데이터를 업로드합니다.

→ Redshift는 분석용 데이터웨어하우스로 실시간 쿼리 성능이 부족합니다.

 

B. Amazon DynamoDB를 사용하여 직원 데이터를 계층에 저장합니다. 매월 데이터를 Amazon S3로 내보냅니다.

→ DynamoDB는 최소 대기 시간과 계층적 구조 저장에 최적화되어 있기 때문에 옳은 선택지입니다.

 

C. AWS 계정에 대해 Amazon Macie를 구성합니다. Macie를 Amazon EventBridge와 통합하여 월별 이벤트를 AWS Lambda로 전송합니다.

→ Lambda로 이벤트 전송 시 추가 개발이 필요하여 복잡해집니다.

 

D. Amazon Athena를 사용하여 Amazon S3에서 직원 데이터를 분석합니다. Athena를 Amazon QuickSight와 통합하여 분석 대시보드를 게시하고 사용자와 대시보드를 공유합니다 .

→ 대시보드 생성은 이메일 알림 요구사항과 무관한 기능입니다.

 

E. AWS 계정에 대해 Amazon Macie를 구성합니다. Macie를 Amazon EventBridge와 통합하여 Amazon Simple Notification Service(Amazon SNS) 구독을 통해 월별 알림을 보냅니다.

→ Macie + SNS 조합은 민감 데이터 탐지와 자동 이메일 알림에 완벽합니다.

 

이어서 다음 문제입니다.

---

 

문제2

회사는 모든 기능이 활성화된 AWS Organizations를 사용하고 ap-southeast-2 리전에서 여러 Amazon EC2 워크로드를 실행합니다. 회사에는 다른 리전에서 리소스가 생성되지 않도록 하는 SCP(서비스 제어 정책)가 있습니다. 보안 정책에 따라 회사는 유휴 상태의 모든 데이터를 암호화해야 합니다. 감사 결과 직원이 볼륨을 암호화하지 않고 EC2 인스턴스용 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성한 것으로 확인되었습니다. 회사는 암호화된 EBS 볼륨을 사용하기 위해 모든 IAM 사용자 또는 루트 사용자가 ap-southeast-2에서 시작하는 모든 새 EC2 인스턴스를 원합니다. 회사는 EBS 볼륨을 생성하는 직원에게 최소한의 영향을 미치는 솔루션을 원합니다. 이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (두 가지를 선택하세요.)

 

선택지

A. Amazon EC2 콘솔에서 EBS 암호화 계정 속성을 선택하고 기본 암호화 키를 정의합니다.

B. IAM 권한 경계를 생성합니다. 권한 경계를 루트 조직 단위(OU)에 연결합니다. ec2:Encrypted 조건이 false인 경우 ec2:CreateVolume 작업을 거부하도록 경계를 정의합니다.

C. SCP를 생성합니다. 루트 조직 단위(OU)에 SCP를 연결합니다. ec2:Encrypted 조건이 false일 때 ec2:CreateVolume 작업을 거부하도록 SCP를 정의합니다.

D. ec2:Encrypted 조건이 false인 경우 ec2:CreateVolume 작업을 거부하도록 각 계정에 대한 IAM 정책을 업데이트합니다.

E. 조직 관리 계정에서 기본 EBS 볼륨 암호화 설정을 지정합니다.

---

 

풀이

모든 새 EC2 인스턴스에서 EBS 볼륨이 자동으로 암호화되도록 하려면 기본 EBS 암호화를 활성화해야 하며, 이는 EC2 콘솔에서 계정별로 설정할 수 있습니다. 추가적으로 암호화되지 않은 볼륨 생성을 조직 차원에서 방지하려면 SCP를 통해 ec2:CreateVolume 작업에 암호화 조건을 강제해야 합니다.

 

정답 : C, E

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• EBS 볼륨 암호화 정책 적용 필요
• 모든 새 EC2 인스턴스에 암호화된 EBS 볼륨 연결
• 직원 업무 프로세스 변경 최소화

 

2. 관련 AWS 서비스 생각하기

AWS Organizations : 이 서비스를 통해 조직 단위(OU) 및 계정에 대한 정책을 중앙에서 관리할 수 있습니다. 특히 서비스 제어 정책(SCP)을 사용하면 AWS 서비스 및 리소스에 대한 액세스를 제한하거나 허용할 수 있습니다. SCP를 통해 EC2 인스턴스 생성 시 암호화된 EBS 볼륨 사용을 강제할 수 있습니다.

 

Amazon EC2 : 가상 서버 서비스로, EBS 볼륨을 사용하여 데이터를 영구적으로 저장할 수 있습니다. EC2 콘솔이나 API를 통해 EBS 볼륨의 암호화 여부를 설정할 수 있습니다. 또한 IAM 정책을 통해 EBS 볼륨 암호화와 관련된 권한을 제어할 수 있습니다.

 

IAM 권한 경계 : IAM 엔터티(사용자 또는 역할)에 최대 권한을 설정하는 기능입니다. 권한 경계를 사용하면 IAM 엔터티의 권한을 제한할 수 있지만, 조직 단위나 계정 수준에서 일괄 적용하기는 어렵습니다.

 

3. 선택지 분석하기

A. Amazon EC2 콘솔에서 EBS 암호화 계정 속성을 선택하고 기본 암호화 키를 정의합니다.

→ EBS 암호화 계정 속성을 설정하는 것만으로는 기존 인스턴스의 EBS 볼륨이 암호화되지 않고, 새 인스턴스에만 적용됩니다.

 

B. IAM 권한 경계를 생성합니다. 권한 경계를 루트 조직 단위(OU)에 연결합니다. ec2:Encrypted 조건이 false인 경우 ec2:CreateVolume 작업을 거부하도록 경계를 정의합니다.

→ IAM 권한 경계를 사용하면 직원의 작업 방식을 크게 변경시키지 않으면서 암호화 정책을 적용할 수 있지만, 이미 생성된 리소스에는 영향을 미치지 않습니다.

 

C. SCP를 생성합니다. 루트 조직 단위(OU)에 SCP를 연결합니다. ec2:Encrypted 조건이 false일 때 ec2:CreateVolume 작업을 거부하도록 SCP를 정의합니다.

→ SCP를 사용하면 조직 단위 수준에서 일괄적으로 암호화 정책을 적용할 수 있으며, 새로운 리소스 생성에 제약을 가할 수 있습니다. 직원의 작업 프로세스에도 큰 영향을 주지 않아 요구사항을 만족시킵니다.

 

D. ec2:Encrypted 조건이 false인 경우 ec2:CreateVolume 작업을 거부하도록 각 계정에 대한 IAM 정책을 업데이트합니다.

→ 각 계정의 IAM 정책을 개별적으로 수정하는 것은 운영 오버헤드가 커지고 일관성 있는 정책 적용이 어려워 바람직하지 않습니다.

 

E. 조직 관리 계정에서 기본 EBS 볼륨 암호화 설정을 지정합니다.

→ 조직 관리 계정에서 모든 멤버 계정의 기본 EBS 암호화를 한 번에 설정 가능하기에 옳은 선택지입니다.

 

마지막 문제 살펴볼게요.

---

 

문제3

회사는 두 개의 AWS 리전에서 3계층 애플리케이션을 실행 중입니다. 웹 티어, 애플리케이션 티어 및 데이터베이스 티어는 Amazon EC2 인스턴스에서 실행됩니다. 회사는 데이터베이스 티어에 대해 Amazon RDS for Microsoft SQL Server Enterprise를 사용하고 있으며, 주간 및 월간 보고서를 실행할 때 데이터베이스 티어에 높은 부하가 걸립니다. 회사는 데이터베이스 티어의 부하를 줄이고자 합니다. 가장 적은 관리 작업으로 이러한 요구 사항을 충족시키는 솔루션은 무엇입니까?

 

선택지

A. 읽기 복제본을 만들고 보고서를 새로운 읽기 복제본을 사용하도록 구성합니다.

B. RDS 데이터베이스를 Amazon DynamoDB로 변환하고 보고서를 DynamoDB를 사용하도록 구성합니다.

C. 기존 RDS DB 인스턴스를 수정하여 더 큰 인스턴스 크기를 선택합니다.

D. 기존 RDS DB 인스턴스를 수정하고 인스턴스를 Auto Scaling 그룹으로 넣습니다.

---

 

풀이

주간 및 월간 보고서로 인한 데이터베이스 부하를 줄이기 위해서는 읽기 전용 워크로드를 분리하는 것이 가장 효과적입니다. RDS 읽기 복제본을 생성하면 보고서 쿼리를 별도 인스턴스에서 처리하여 주 데이터베이스의 부하를 줄일 수 있으며, AWS에서 완전 관리되므로 관리 작업이 최소화됩니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 주간 및 월간 보고서 실행 시 데이터베이스 부하 증가
• 데이터베이스 티어 부하 감소 필요
• 최소한의 관리 작업이 필요한 솔루션

 

2. 관련 AWS 서비스 생각하기

Amazon RDS(Relational Database Service) : 관계형 데이터베이스 엔진을 제공하는 완전관리형 서비스입니다. RDS는 데이터베이스 엔진에 따라 읽기 전용 복제본(Read Replica) 기능을 지원합니다. 읽기 전용 복제본을 생성하면 소스 데이터베이스의 데이터를 비동기적으로 복제하여 읽기 워크로드를 분산시킬 수 있습니다. 이를 통해 소스 데이터베이스의 부하를 줄일 수 있습니다. RDS는 또한 다중 AZ(Availability Zone) 배포를 지원하여 고가용성을 제공합니다.

 

Amazon DynamoDB : 완전관리형 NoSQL 데이터베이스 서비스로, 자동 확장성과 빠른 성능, 고가용성을 제공합니다. 하지만 관계형 데이터베이스의 기능인 조인, 트랜잭션 등이 필요한 경우에는 적합하지 않습니다.

 

3. 선택지 분석하기

A. 읽기 복제본을 만들고 보고서를 새로운 읽기 복제본을 사용하도록 구성합니다.

→ 읽기 복제본을 만들고 보고서를 새로운 읽기 복제본에서 실행하도록 구성하는 방식은 데이터베이스 부하를 효과적으로 분산시키면서도 관리 작업이 간단합니다.

 

B. RDS 데이터베이스를 Amazon DynamoDB로 변환하고 보고서를 DynamoDB를 사용하도록 구성합니다.

→ DynamoDB로 데이터베이스를 변환하는 것은 데이터 마이그레이션 및 애플리케이션 변경에 따른 과도한 운영 오버헤드가 발생합니다.

 

C. 기존 RDS DB 인스턴스를 수정하여 더 큰 인스턴스 크기를 선택합니다.

→ DB 인스턴스 크기를 높이는 방식은 일시적인 해결책일 뿐이며, 향후 보고서 실행 시 리소스 부족 문제가 반복될 수 있습니다.

 

D. 기존 RDS DB 인스턴스를 수정하고 인스턴스를 Auto Scaling 그룹으로 넣습니다.

→ Auto Scaling을 사용하는 방식은 관리 부담이 늘어나고 불필요한 비용이 발생할 수 있습니다. 읽기 전용 복제본 구성이 보다 효율적입니다.

 

유독 어려운 다중 선택 문제를 푸느라 정말 고생 많으셨습니다.

저희는 또 다음 주에 뵙겠습니다! 🙂