AWS SAA 합격으로 가는 길 #121

안녕하세요! 넥스트클라우드의 SA 손유림입니다. 😊
추석 연휴가 시작되었습니다! 오늘도 한 문제씩, 한 개념씩 꾸준히!

연휴 동안에도 AWS SAA 합격을 향해 달려갑시다! 🔥

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

회사에 통합 결제를 사용하는 여러 AWS 계정이 있습니다. 이 회사는 90일 동안 여러 개의 활성 고성능 Amazon RDS for Oracle 온디맨드 DB 인스턴스를 실행합니다. 회사의 재무 팀은 통합 결제 계정 및 기타 모든 AWS 계정에서 AWS Trusted Advisor에 액세스할 수 있습니다. 재무 팀은 적절한 AWS 계정을 사용하여 RDS에 대한 Trusted Advisor 확인 권장 사항에 액세스해야 합니다. 재무팀은 적절한 Trusted Advisor 수표를 검토하여 RDS 비용을 줄여야 합 니다. 이러한 요구 사항을 충족하기 위해 재무 팀은 어떤 조합의 단계를 수행해야 합니까? (두 가지를 선택하세요.)

 

선택지

A. RDS 인스턴스가 실행 중인 계정의 Trusted Advisor 권장 사항을 사용합니다.

B. 통합 결제 계정의 Trusted Advisor 권장 사항을 사용하여 모든 RDS 인스턴스 확인을 동시에 확인합니다.

C. Amazon RDS 예약 인스턴스 최적화에 대한 Trusted Advisor 검사를 검토합니다.

D. Amazon RDS 유휴 DB 인스턴스에 대한 Trusted Advisor 검사를 검토합니다.

E. Amazon Redshift 예약 노드 최적화에 대한 Trusted Advisor 검사를 검토합니다.

---

풀이

Amazon Trusted Advisor는 AWS 리소스 구성과 사용량에 대한 모범 사례를 분석하여 비용 최적화, 성능, 보안, 내결함성 등의 측면에서 권장 사항을 제공하는 클라우드 인텔리전스 서비스입니다. 이 서비스를 통해 통합 결제 계정 및 개별 계정에 대한 분석 결과를 확인할 수 있습니다. Trusted Advisor의 'RDS 예약 인스턴스 최적화' 및 'RDS 유휴 DB 인스턴스' 검사 항목을 활용하면 RDS 인스턴스 비용을 효과적으로 최적화할 수 있습니다.

 

정답 : B, D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 여러 AWS 계정에서 실행 중인 RDS 인스턴스에 대한 비용 최적화 권장 사항 필요
• 재무 팀이 통합 결제 계정 및 개별 계정에서 Trusted Advisor에 접근 가능

2. 관련 AWS 서비스 생각하기

Amazon RDS(Relational Database Service)는 클라우드에서 관계형 데이터베이스를 쉽게 설치, 운영 및 확장할 수 있는 웹 서비스입니다. RDS는 MySQL, PostgreSQL, Oracle, SQL Server, MariaDB 등 다양한 데이터베이스 엔진을 지원합니다. 사용자는 데이터베이스 관리, 백업, 패치 적용 등의 작업을 AWS에 맡기고 데이터베이스 애플리케이션에만 집중할 수 있습니다.

 

AWS Trusted Advisor는 AWS 리소스 사용에 대한 통찰력과 모범 사례 권장 사항을 제공하여 서비스 최적화를 돕는 클라우드 인텔리전스 서비스입니다. Trusted Advisor는 비용 최적화, 성능, 보안, 내결함성, 서비스 제한 등 다양한 범주에서 검사를 수행합니다. 구체적으로 RDS에 대해서는 '예약 인스턴스 최적화', '유휴 DB 인스턴스' 등의 검사 항목을 제공하여 비용 절감 기회를 파악할 수 있습니다.

3. 선택지 분석하기

A. RDS 인스턴스가 실행 중인 계정의 Trusted Advisor 권장 사항 사용

→ RDS 인스턴스가 실행 중인 개별 계정의 Trusted Advisor 권장 사항을 사용하는 방법입니다. 이 방법은 각 계정을 개별적으로 확인해야 하므로 여러 계정을 관리하는 상황에서는 비효율적입니다.

 

B. 통합 결제 계정의 Trusted Advisor 권장 사항을 사용하여 모든 RDS 인스턴스 확인

→ 통합 결제 계정에서는 연결된 모든 계정의 리소스를 한 번에 확인할 수 있으므로, 여러 계정의 RDS 인스턴스를 효율적으로 관리하고 비용을 절감할 수 있습니다.

 

C. Amazon RDS 예약 인스턴스 최적화에 대한 Trusted Advisor 검사 검토

→ 예약 인스턴스는 1년 또는 3년 단위의 장기 약정을 통해 비용을 절감하는 방법인데, 문제에서 제시된 90일이라는 기간은 예약 인스턴스를 고려하기에는 비교적 짧은 기간입니다. 

 

D. Amazon RDS 유휴 DB 인스턴스에 대한 Trusted Advisor 검사 검토

→ 여러 개의 인스턴스 중에는 실제로 사용하지 않거나 연결이 없는 유휴 상태의 인스턴스가 있을 수 있습니다. 이러한 유휴 인스턴스를 찾아 종료하면 즉각적이고 확실한 비용 절감이 가능합니다.

 

E. Amazon Redshift 예약 노드 최적화에 대한 Trusted Advisor 검사 검토

→ 이 검사는 Redshift와 관련된 것으로 RDS와는 무관하므로 적절하지 않습니다.

 

이어서 다음 문제입니다.

---

문제2

전자상거래 회사에서 계절별 온라인 세일을 진행하고 있습니다. 이 회사는 여러 가용 영역에 걸쳐 있는 Amazon EC2 인스턴스에서 웹 사이트를 호스팅합니다. 회사는 자사 웹사이트에서 세 일 기간 동안 급격한 트래픽 증가를 관리할 수 있기를 원합니다. 이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까? 

 

선택지

A. 최대 트래픽 로드를 처리할 수 있을 만큼 큰 Auto Scaling 그룹을 생성합니다. Amazon EC2 인스턴스의 절반을 중지합니다. 트래픽이 증가하면 중지된 인스턴스를 사용하여 확장하도 록 Auto Scaling 그룹을 구성합니다.

B. 웹 사이트에 대한 Auto Scaling 그룹을 생성합니다. 확장할 필요 없이 높은 트래픽 볼륨을 처리할 수 있도록 Auto Scaling 그룹의 최소 크기를 설정합니다.

C. Amazon CloudFront 및 Amazon ElastiCache를 사용하여 Auto Scaling 그룹이 원본으로 설정된 동적 콘텐츠를 캐시합니다. CloudFront 및 ElastiCache를 채우는 데 필요한 인스턴스로 Auto Scaling 그룹을 구성합니다. 캐시가 완전히 채워진 후 규모를 축소합니다.

D. 트래픽 증가에 따라 확장되도록 Auto Scaling 그룹을 구성합니다. 사전 구성된 Amazon 머신 이미지(AMI)에서 새 인스턴스를 시작하기 위한 시작 템플릿을 생성합니다.

---

풀이

온라인 세일 기간 동안 웹 트래픽이 급증할 것으로 예상되므로, Auto Scaling 그룹과 사전 구성된 AMI를 활용하여 인스턴스 수를 신속하게 확장할 수 있어야 합니다. 이를 통해 트래픽 부하를 분산시켜 웹사이트 가용성을 유지할 수 있습니다. AMI에는 웹 애플리케이션 및 필요한 소프트웨어가 미리 구성되어 있어 새 인스턴스 프로비저닝 시간을 단축할 수 있습니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 웹사이트 호스팅을 위한 EC2 인스턴스 아키텍처
• 온라인 세일 기간 동안 급격한 트래픽 증가 대비
• 비용 효율적인 솔루션 필요

2. 관련 AWS 서비스 생각하기

Amazon EC2(Elastic Compute Cloud)는 클라우드에서 가상 서버를 프로비저닝하고 실행할 수 있는 웹 서비스입니다. 필요에 따라 인스턴스 유형, OS, 네트워크 구성 등을 자유롭게 선택할 수 있습니다. EC2 인스턴스는 온디맨드, 예약, 스팟 인스턴스 등 다양한 가격 모델을 제공하여 비용 최적화가 가능합니다.

 

Amazon EC2 Auto Scaling은 애플리케이션의 로드에 따라 Amazon EC2 인스턴스의 수를 자동으로 조정하는 웹 서비스입니다. 사전 정의된 조건에 따라 인스턴스 수를 동적으로 확장 또는 축소할 수 있습니다. Auto Scaling 그룹은 로드 밸런서와 연계하여 트래픽 분산 및 고가용성을 제공합니다.

 

Amazon Machine Image(AMI)는 운영 체제, 애플리케이션 서버 및 애플리케이션과 같은 소프트웨어 구성의 템플릿입니다. 미리 구성된 AMI를 사용하면 새 인스턴스 프로비저닝 시간을 단축하고 일관성 유지가 가능합니다. AMI에는 사용자 지정 소프트웨어, 데이터베이스, 운영 체제 구성 등을 포함할 수 있습니다.

3. 선택지 분석하기

A. 최대 트래픽 로드를 처리할 수 있을 만큼 큰 Auto Scaling 그룹을 생성합니다. Amazon EC2 인스턴스의 절반을 중지합니다. 트래픽이 증가하면 중지된 인스턴스를 사용하여 확장하도 록 Auto Scaling 그룹을 구성합니다.

→ 인스턴스를 중지했다가 다시 시작하는 것은 효율적이지 않습니다. 새 인스턴스를 신속하게 프로비저닝하는 것이 더 바람직합니다.

 

B. 웹 사이트에 대한 Auto Scaling 그룹을 생성합니다. 확장할 필요 없이 높은 트래픽 볼륨을 처리할 수 있도록 Auto Scaling 그룹의 최소 크기를 설정합니다.

→ 최소 크기를 너무 높게 설정하면 불필요한 인스턴스가 계속 실행되어 비용이 많이 듭니다.

 

C. Amazon CloudFront 및 Amazon ElastiCache를 사용하여 Auto Scaling 그룹이 원본으로 설정된 동적 콘텐츠를 캐시합니다. CloudFront 및 ElastiCache를 채우는 데 필요한 인스턴스로 Auto Scaling 그룹을 구성합니다. 캐시가 완전히 채워진 후 규모를 축소합니다.

→ 세일 기간 중 규모 축소는 캐시 미스 시 부하를 감당하지 못할 위험이 있으며, 전자상거래의 장바구니와 결제 같은 동적 트랜잭션은 캐싱이 어렵습니다. 추가 서비스로 인한 복잡성과 비용 증가로 비효율적입니다.

 

D. 트래픽 증가에 따라 확장되도록 Auto Scaling 그룹을 구성합니다. 사전 구성된 Amazon 머신 이미지(AMI)에서 새 인스턴스를 시작하기 위한 시작 템플릿을 생성합니다.

→ Auto Scaling과 AMI를 활용하면 트래픽 급증 시 신속하게 새 인스턴스를 프로비저닝하여 부하를 분산할 수 있습니다.

 

마지막 문제 살펴볼게요.

---

문제3

솔루션 아키텍트가 Policy1과 Policy2라는 두 가지 IAM 정책을 만들었습니다. 두 정책 모두 IAM 그룹에 연결됩니다. 클라우드 엔지니어가 IAM 그룹에 IAM 사용자로 추가됩니다. 클라우드 엔지니어는 어떤 작업을 수행할 수 있습니까?

• Policy1

{
          "Version": "2012-10-17",
          "Statement": [
               {
                    "Effect": "Allow",
                    "Action": [
                         "iam:Get*",
                         "iam:List*",
                         "kms:List*",
                         "ec2:*",
                         "ds:*",
                         "logs:Get*",
                         "logs:Describe*"
                     ],
                       "Resource": "*"
                 }
           ]
}

•  Policy2   

{
         "Version": "2012-10-17",
          "Statement": [
              {
                   "Effect": "Deny",
                   "Action": "ds:Delete*",
                   "Resource": "*"
               }
           ]
}

선택지

A. IAM 사용자 삭제

B. 디렉토리 삭제

C. Amazon EC2 인스턴스 삭제

D. Amazon CloudWatch Logs에서 로그 삭제

---

풀이

IAM 정책 평가 시 명시적 Deny가 Allow보다 우선합니다. Policy1에서 ec2:* 권한을 허용하므로 EC2 인스턴스 삭제가 가능하며, 이 작업에 대한 Deny 정책이 없으므로 Amazon EC2 인스턴스 삭제를 수행할 수 있습니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• IAM 그룹에 연결된 두 개의 IAM 정책(Policy1, Policy2)
• 해당 IAM 그룹에 추가된 IAM 사용자(클라우드 엔지니어)의 권한 파악

2. 관련 AWS 서비스 생각하기

AWS Identity and Access Management(IAM)는 AWS 리소스에 대한 안전한 액세스를 제공하는 웹 서비스입니다. IAM을 통해 사용자, 그룹, 역할 등에 대한 권한을 체계적으로 관리할 수 있습니다.

 

IAM 정책은 AWS 리소스에 대한 액세스 권한을 정의하는 JSON 문서입니다. 정책에는 특정 리소스에 대해 허용되거나 거부되는 작업이 명시됩니다. 정책은 IAM 엔터티에 직접 연결되거나 리소스 수준에서 적용될 수 있습니다. AWS IAM의 권한 평가 로직에서는 명시적 Deny가 Allow보다 항상 우선하므로, 한 정책에서 허용하더라도 다른 정책에서 거부하면 최종적으로 거부됩니다.

 

IAM 그룹은 여러 IAM 사용자에게 동일한 권한을 할당하는 데 사용됩니다. 그룹에 하나 이상의 IAM 정책을 연결하면 해당 그룹의 모든 사용자가 정책에 정의된 권한을 자동으로 상속받습니다.

3. 선택지 분석하기

A. IAM 사용자 삭제

→ Policy1에서 허용하는 IAM 권한은 iam:Get*와 iam:List*로 읽기 작업만 가능합니다. IAM 사용자를 삭제하려면 iam:DeleteUser 권한이 필요한데 이 권한이 포함되어 있지 않으므로 IAM 사용자 삭제는 불가능합니다.

 

B. 디렉터리 삭제

→ Policy1에서 ds:*로 Directory Service의 모든 작업을 허용하므로 삭제 작업도 포함됩니다. 하지만 Policy2에서 ds:Delete*를 명시적으로 거부하고 있습니다. AWS IAM의 평가 로직에서 Deny가 Allow보다 우선하므로 디렉터리 삭제는 불가능합니다.

 

C. Amazon EC2 인스턴스 삭제

→ Policy1에서 ec2:*로 EC2의 모든 작업을 허용하므로 인스턴스를 종료하는 ec2:TerminateInstances 권한이 포함됩니다. 어떤 정책에서도 EC2 삭제를 거부하지 않으므로 EC2 인스턴스 삭제는 가능합니다.

 

D. Amazon CloudWatch Logs에서 로그 삭제

→ Policy1에서 허용하는 CloudWatch Logs 권한은 logs:Get*와 logs:Describe*로 읽기 작업만 가능합니다. 로그를 삭제하려면 logs:DeleteLogGroup이나 logs:DeleteLogStream 권한이 필요한데 이 권한이 포함되어 있지 않으므로 로그 삭제는 불가능합니다.

 

감사합니다. 다음 글에서 만나요! 😊