AWS SAA 합격으로 가는 길 #139

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김유림입니다.

슬슬 거리에 연말 분위기가 물씬 풍기는 것 같습니다. 그럼에도 불구하고 연말 분위기에 들뜨지 않고 꾸준히 학업에 정진하시는 모습이 정말 멋집니다. 기세가 꺾이지 않도록 저도 꾸준히 이번 달을 함께하겠습니다. 💪

 

이제는 익숙하실 세 가지 단계로 문제를 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다!

---

문제1

한 회사에 IPv6 주소를 사용하여 Amazon EC2 인스턴스에서 호스팅되는 애플리케이션이 있습니다. 애플리케이션은 인터넷을 사용하여 다른 외부 애플리케이션과의 통신을 시작해야 합니다. 그러나 회사의 보안 정책에 따르면 외부 서비스는 EC2 인스턴스에 대한 연결을 시작할 수 없습니다. 솔루션 설계자는 이 문제를 해결하기 위해 무엇을 권장해야 합니까? 

 

선택지

A. NAT 게이트웨이를 생성하고 이를 서브넷 라우팅 테이블의 대상으로 만듭니다.

B. 인터넷 게이트웨이를 만들고 이를 서브넷의 라우팅 테이블 대상으로 만듭니다.

C. 가상 프라이빗 게이트웨이를 만들고 이를 서브넷의 라우팅 테이블 대상으로 만듭니다.

D. 외부 전용 인터넷 게이트웨이를 만들고 이를 서브넷 라우팅 테이블의 대상으로 만듭니다.

---

풀이

회사의 보안 정책에 따라 외부 서비스가 EC2 인스턴스로의 연결을 시작할 수 없습니다. 따라서 외부 전용 인터넷 게이트웨이를 만들고 이를 서브넷 라우팅 테이블의 대상으로 만드는 것이 가장 적절합니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• EC2 인스턴스에서 인터넷을 통해 외부 애플리케이션과 통신이 가능해야 함
• 외부 서비스는 EC2 인스턴스에 대한 연결을 시작할 수 없음

2. 관련 AWS 서비스 생각하기

• NAT 게이트웨이(Network Address Translation Gateway) : 프라이빗 서브넷의 인스턴스가 NAT를 통해 외부와 통신할 수 있게 해주지만, 외부에서 인스턴스로의 접근은 허용하지 않습니다.
• 인터넷 게이트웨이(Internet Gateway) : VPC와 인터넷 간의 통신을 가능하게 하여, 퍼블릭 서브넷의 인스턴스가 직접 인터넷과 통신할 수 있게 합니다. 그러나 외부에서도 인스턴스에 접근할 수 있어 보안 정책을 위반합니다.
• 가상 프라이빗 게이트웨이(Virtual Private Gateway) : VPC와 다른 VPN 연결 간의 통신을 지원하는 것으로, 이 문제와 관련이 없습니다.
• 외부 전용 인터넷 게이트웨이(Egress-only Internet Gateway) : VPC 내부에서 인터넷 게이트웨이 역할을 하지만, 인터넷에서 VPC로의 통신은 허용하지 않습니다. 따라서 EC2 인스턴스가 외부 애플리케이션과 통신할 수 있으면서도 외부에서 인스턴스로의 접근은 차단할 수 있어 보안 정책을 준수할 수 있습니다. 다만 IPv6 트래픽에 대해서만 아웃바운드 통신을 허용하며 인바운드는 차단됩니다.

3. 선택지 분석하기

A. NAT 게이트웨이를 생성하고 이를 서브넷 라우팅 테이블의 대상으로 만듭니다.

→ NAT 게이트웨이는 IPv4 전용이며 IPv6 트래픽을 지원하지 않습니다. IPv6 환경에서는 사용할 수 없습니다.

 

B. 인터넷 게이트웨이를 만들고 이를 서브넷의 라우팅 테이블 대상으로 만듭니다.

→ 인터넷 게이트웨이는 양방향 통신을 허용하므로 외부에서 인바운드 연결도 가능합니다. 보안 정책(외부 연결 시작 차단)을 위반합니다.

 

C. 가상 프라이빗 게이트웨이를 만들고 이를 서브넷의 라우팅 테이블 대상으로 만듭니다.

→ 가상 프라이빗 게이트웨이는 온프레미스와 VPC 간 VPN 연결에 사용되며, 인터넷 연결과는 관련이 없습니다.

 

D. 외부 전용 인터넷 게이트웨이를 만들고 이를 서브넷 라우팅 테이블의 대상으로 만듭니다.

→ 외부 전용 인터넷 게이트웨이는 IPv6에서 아웃바운드 전용 연결을 제공하며, 인바운드 연결을 차단하여 보안 요구사항을 충족합니다.

---

 

이어서 다음 문제입니다.

---

문제2

솔루션 설계자는 VPC의 Amazon EC2 인스턴스에서 Amazon DynamoDB에 대한 API 호출이 인터넷을 통해 이동하지 않도록 해야 합니다. 솔루션 설계자는 이 요구 사항을 충족하기 위해 어떤 단계 조합을 수행해야 합니까? (두 가지를 선택하세요.)

 

선택지

A. 엔드포인트에 대한 라우팅 테이블 항목을 생성합니다.

B. DynamoDB용 게이트웨이 엔드포인트를 생성합니다.

C. Amazon EC2용 인터페이스 엔드포인트를 생성합니다.

D. VPC의 각 서브넷에서 끝점에 대한 탄력적 네트워크 인터페이스를 만듭니다.

E. 엔드포인트의 보안 그룹에 보안 그룹 항목을 생성하여 액세스를 제공합니다.

---

풀이

VPC의 Amazon EC2 인스턴스에서 Amazon DynamoDB로의 API 호출이 인터넷을 통해 이동하지 않도록 해야 합니다. 이를 위해서는 VPC 엔드포인트를 생성해야 하며, 엔드포인트에 대한 라우팅 테이블 항목을 생성하는 것이 가장 적절합니다.

 

정답 : A, B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• EC2 인스턴스에서 DynamoDB로의 API 호출이 인터넷을 통해 이동하지 않도록 해야 함

2. 관련 AWS 서비스 생각하기

• VPC 엔드포인트(VPC Endpoint) : AWS 서비스로의 트래픽이 AWS 네트워크를 통해 안전하게 라우팅되어 인터넷을 거치지 않고 전송되도록 해줍니다. 두 가지 유형의 VPC 엔드포인트가 있습니다.
  • 게이트웨이 엔드포인트(Gateway Endpoint) : 서비스의 탄력적 IP 주소를 사용하여 트래픽을 라우팅합니다. 이 엔드포인트는 게이트웨이 라우팅 테이블에 추가되며, VPC의 모든 인스턴스에서 사용할 수 있습니다.
  • 인터페이스 엔드포인트(Interface Endpoint) : AWS PrivateLink 기술을 사용하여 서비스로의 트래픽을 프라이빗 IP 주소를 통해 라우팅합니다. 이 엔드포인트는 특정 서브넷에서만 사용할 수 있으며, 해당 서브넷의 라우팅 테이블에 추가됩니다.

3. 선택지 분석하기

A. 엔드포인트에 대한 라우팅 테이블 항목을 생성합니다.

→ 게이트웨이 엔드포인트를 생성하면 라우팅 테이블에 DynamoDB로 향하는 경로를 추가해야 트래픽이 엔드포인트를 통해 라우팅됩니다.

 

B. DynamoDB용 게이트웨이 엔드포인트를 생성합니다.

→ DynamoDB는 게이트웨이 엔드포인트를 지원하는 서비스이며, 이를 생성하면 프라이빗 연결이 가능합니다.

 

C. Amazon EC2용 인터페이스 엔드포인트를 생성합니다.

→ EC2용 인터페이스 엔드포인트는 EC2 API 호출을 위한 것이며, DynamoDB 연결과는 무관합니다.

 

D. VPC의 각 서브넷에서 끝점에 대한 탄력적 네트워크 인터페이스를 만듭니다.

→ 게이트웨이 엔드포인트는 ENI(탄력적 네트워크 인터페이스)를 생성하지 않습니다. ENI는 인터페이스 엔드포인트에서만 사용됩니다.

 

E. 엔드포인트의 보안 그룹에 보안 그룹 항목을 생성하여 액세스를 제공합니다.

→ 게이트웨이 엔드포인트는 보안 그룹을 사용하지 않습니다. 엔드포인트 정책으로 액세스를 제어합니다.

---

 

마지막 문제 살펴보겠습니다.

---

문제3

회사는 계약 문서를 보관해야 합니다. 계약은 5년 동안 지속됩니다. 회사는 5년 동안 문서를 덮어쓰거나 삭제할 수 없도록 해야 합니다. 회사는 미사용 문서를 암호화하고 매년 암호화 키를 자동으로 교체해야 합니다.

최소한의 운영 오버헤드로 이러한 요구 사항을 충족하기 위해 솔루션 설계자가 수행해야 하는 단계 조합은 무엇입니까? (두 가지를 선택하세요.)

 

선택지

A. Amazon S3에 문서를 저장합니다. 거버넌스 모드에서 객체 잠금을 사용합니다.

B. Amazon S3에 문서를 저장합니다. 규정 준수 모드에서 객체 잠금을 사용합니다.

C. Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용합니다. 키 순환을 구성합니다.

D. AWS Key Management Service(AWS KMS) 고객 관리형 키로 서버 측 암호화를 사용합니다. 키 순환을 구성합니다.

E. AWS Key Management Service(AWS KMS) 고객 제공(가져온) 키로 서버 측 암호화를 사용합니다. 키 순환을 구성합니다.

---

풀이

AWS 서비스를 사용하여 계약 문서를 5년 동안 변경할 수 없도록 보호하고, AWS KMS 고객 관리형 키로 서버 측 암호화를 사용하고 키 순환을 구성하는 것이 가장 적절합니다.

 

정답 : B, D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 계약 문서를 5년 동안 덮어쓰거나 삭제할 수 없어야 함
• 미사용 문서는 암호화되어야 함
• 암호화 키를 매년 자동으로 교체해야 함
• 최소한의 운영 오버헤드

2. 관련 AWS 서비스 생각하기

• Amazon S3(Simple Storage Service) : 객체 스토리지 서비스로, S3 객체 잠금 기능을 통해 객체 변경이나 삭제를 방지할 수 있습니다. S3의 규정 준수 모드(Compliance mode)는 객체 보존 기간 동안 객체를 덮어쓰거나 삭제할 수 없고 보존 기간도 변경할 수 없습니다.
• AWS KMS(Key Management Service) : 암호화 키 관리 서비스로, 고객 관리형 키(Customer Managed Key)를 사용하면 키 순환(Key Rotation) 기능을 통해 정기적으로 키를 자동 교체할 수 있습니다. S3 서버 측 암호화(Server-Side Encryption)를 사용하면 S3에 저장된 객체가 자동으로 암호화됩니다.

3. 선택지 분석하기

A. Amazon S3에 문서를 저장합니다. 거버넌스 모드에서 객체 잠금을 사용합니다.

→ 거버넌스 모드는 특별 권한을 가진 사용자가 삭제/수정할 수 있으므로, "누구도 덮어쓰거나 삭제할 수 없다"는 요구사항을 충족하지 못합니다. 

 

B. Amazon S3에 문서를 저장합니다. 규정 준수 모드에서 객체 잠금을 사용합니다.

→ 규정 준수 모드는 보존 기간 동안 루트 사용자를 포함해 누구도 객체를 삭제하거나 수정할 수 없어 요구사항을 완벽히 충족합니다.

 

C. Amazon S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용합니다. 키 순환을 구성합니다.

→ Amazon S3 관리형 키(SSE-S3)는 AWS 관리형 키를 사용하며 자동 순환되지만, 순환 주기를 제어하거나 확인할 수 없고 "매년" 순환을 보장할 수 없습니다. 

 

D. AWS Key Management Service(AWS KMS) 고객 관리형 키로 서버 측 암호화를 사용합니다. 키 순환을 구성합니다.

→ KMS 고객 관리형 키는 자동 키 순환을 활성화하면 매년 자동으로 교체되며, 순환 이력을 추적할 수 있어 최소 운영 오버헤드로 요구사항을 충족합니다.

 

E. AWS Key Management Service(AWS KMS) 고객 제공(가져온) 키로 서버 측 암호화를 사용합니다. 키 순환을 구성합니다.

→ 고객 제공 키(가져온 키)는 자동 키 순환을 지원하지 않으므로, 수동으로 새 키를 가져오고 교체해야 하여 운영 오버헤드가 증가합니다.

---

 

이번 주 문제는 AWS 시험에서 자주 나오는 개념들로 구성되어 있네요!

확실히 알아두시면 나중에도 많은 도움이 되실 거에요 ☺️

그럼 저희는 이번 주 금요일에 다시 뵙겠습니다!