AWS SAA 합격으로 가는 길 #155

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김서윤입니다. 🤓

입사 후 첫 포스팅이 2월의 첫 글이 되었네요!

앞으로 잘 부탁드리겠습니다 ㅎㅎ

 

문제는 세 가지 단계를 거치며 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다.

---

문제1

금융회사는 매우 민감한 데이터를 처리해야 합니다. 회사는 Amazon S3 버킷에 데이터를 저장합니다. 회사는 데이터가 전송 중이거나 저장되어 있을 때 암호화되었는지 확인해야 합니다. 회사는 AWS 클라우드 외부의 암호화 키를 관리해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

선택지

A. AWS Key Management Service(AWS KMS) 고객 관리형 키를 사용하는 서버 측 암호화(SSE)로 S3 버킷의 데이터를 암호화합니다.

B. AWS Key Management Service(AWS KMS) AWS 관리형 키를 사용하는 서버 측 암호화(SSE)로 S3 버킷의 데이터를 암호화합니다.

C. 기본 서버 측 암호화(SSE)를 사용하여 S3 버킷의 데이터를 암호화합니다.

D. S3 버킷에 데이터를 저장하기 전에 회사 데이터 센터의 데이터를 암호화하십시오.

---

풀이

이 문제는 데이터 기밀성을 보장하기 위해 암호화 키를 AWS 외부에서 직접 통제해야 한다는 것이 핵심입니다. 따라서 클라우드 내부에서 키를 관리하는 KMS 대신, 데이터를 전송하기 전 자체 데이터 센터에서 미리 암호화하는 클라이언트 측 암호화 방식을 적용해야만 외부 관리 조건을 충족하고 완전한 통제권을 확보할 수 있습니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

닫기

---

1.  문제의 요구사항 분석하기

• 민감 데이터 보호를 위한 강력한 보안 체계 구축
• 전송 및 저장 단계의 전면적 데이터 암호화
• AWS 외부 인프라를 통한 암호화 키 관리

2. 관련 AWS 서비스 생각하기

• Amazon S3 : 확장성과 데이터 가용성 및 보안을 제공하는 클라우드 기반의 객체 스토리지 서비스입니다. 기본적으로 강력한 암호화 기능을 지원하여 저장된 데이터와 전송 중인 데이터를 모두 안전하게 보호할 수 있습니다. 따라서 민감한 정보를 다루는 환경에서도 안심하고 데이터를 보관할 수 있는 최적의 저장소 역할을 수행합니다.
• AWS Key Management Service : 데이터를 암호화하는 데 사용되는 암호화 키를 생성하고 제어할 수 있게 해주는 관리형 서비스입니다. S3와 같은 AWS 서비스와 쉽게 연동되어 데이터 접근 권한을 중앙에서 관리할 수 있게 돕습니다.

3. 선택지 분석하기

A. AWS Key Management Service(AWS KMS) 고객 관리형 키를 사용하는 서버 측 암호화(SSE)로 S3 버킷의 데이터를 암호화합니다.

→ 고객 관리형 키는 AWS 인프라 내부에서 생성되고 관리되므로 외부 관리 조건을 충족하지 못합니다

 

B. AWS Key Management Service(AWS KMS) AWS 관리형 키를 사용하는 서버 측 암호화(SSE)로 S3 버킷의 데이터를 암호화합니다.

→ Elastic Beanstalk는 내부적으로 EC2 기반으로 동작하므로 서버 관리 부담이 존재해 서버리스 아키텍처 요구와 거리가 있습니다.

 

C. Amazon Elastic Kubernetes Service(Amazon EKS)를 사용합니다. 자체 관리형 EC2 인스턴스의 Auto Scaling 그룹을 시작합니다.

→ AWS 관리형 키는 사용자가 키를 직접 제어하거나 외부에서 관리할 수 없습니다.

 

D. S3 버킷에 데이터를 저장하기 전에 회사 데이터 센터의 데이터를 암호화하십시오.

→ 회사 데이터 센터에서 미리 데이터를 암호화하면 키를 클라우드 외부에서 관리할 수 있으며, 전송과 저장 시 보안을 모두 확보하게 됩니다.

 

---

 

이어서 다음 문제입니다.

---

문제2

회사는 AWS Organizations에 조직을 가지고 있습니다. 이 회사는 루트 조직 단위(OU)에 있는 4개의 AWS 계정에서 Amazon EC2 인스턴스를 실행합니다. 비프로덕션 계정 3개와 프로덕션 계정 1개가 있습니다. 회사는 사용자가 비프로덕션 계정에서 특정 크기의 EC2 인스턴스를 시작하는 것을 금지하려고 합니다. 회사는 금지된 유형을 사용하는 시작 인스턴스에 대한 액세스를 거부하기 위해 서비스 제어 정책(SCP)을 만들었습니다. SCP를 배포하는 솔루션은 이러한 요구 사항을 충족합니까? (2개를 선택하세요.)

 

선택지

A. SCP를 조직의 루트 OU에 연결합니다.

B. 세 개의 비생산 조직 구성원 계정에 SCP를 연결합니다.

C. SCP를 조직 마스터 계정에 연결합니다.

D. 프로덕션 계정에 대한 OU를 생성합니다. SCP를 OU에 연결합니다. 프로덕션 구성원 계정을 새 OU로 이동합니다.

E. 필요한 계정에 대한 OU를 생성합니다. SCP를 OU에 연결합니다. 비프로덕션 구성원 계정을 새 OU로 이동합니다.

---

풀이

이 문제는 여러 계정 중 특정 대상에만 정책을 정확히 적용하는 것이 핵심입니다. 루트에 정책을 적용하면 프로덕션 계정까지 영향을 받으므로, 비프로덕션 계정들만 별도의 조직 단위로 묶거나 개별 계정에 SCP를 직접 연결하여 제한을 설정하는 것이 가장 효율적인 방법입니다.

 

정답 : B, E

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

닫기

---

1.  문제의 요구사항 분석하기

• SCP를 활용한 비인가 인스턴스 시작 원천 차단
• AWS Organizations 기반의 계정 권한 중앙 제어
• 비프로덕션 계정 한정 인스턴스 규격 제한

2. 관련 AWS 서비스 생각하기

• AWS Organizations : 여러 AWS 계정을 통합하여 중앙에서 정책을 관리할 수 있게 해주는 서비스입니다. 서비스 제어 정책을 통해 하위 계정의 권한을 강제하고, 조직 단위별로 맞춤형 보안 정책을 효율적으로 적용할 수 있습니다.
• Amazon EC2 : 애플리케이션 서버를 운영하는 가상 머신 서비스이며, 인스턴스 간 네트워크 성능을 설정할 수 있습니다. 본 문제에서는 서비스 제어 정책(SCP)을 통해 특정 사양(Instance Type) 이상의 자원 생성을 차단하여 자원 오남용을 방지하는 도구로 활용됩니다.

3. 선택지 분석하기

A. SCP를 조직의 루트 OU에 연결합니다.

→ 루트에 정책을 연결하면 정책의 영향을 받지 않아야 할 프로덕션 계정까지 제한이 걸리게 됩니다.

 

B. 세 개의 비생산 조직 구성원 계정에 SCP를 연결합니다.

→ 개별 비프로덕션 계정에 정책을 직접 연결하는 방식은 대상 계정에만 정확하게 정책을 적용할 수 있는 올바른 방법입니다.

 

C. SCP를 조직 마스터 계정에 연결합니다.

→ 마스터 계정에 정책을 연결한다고 해서 하위 계정들에 동일한 제한이 전파되는 구조는 아닙니다.

 

D. 프로덕션 계정에 대한 OU를 생성합니다. SCP를 OU에 연결합니다. 프로덕션 구성원 계정을 새 OU로 이동합니다.

→ 프로덕션 계정을 위한 새로운 단위를 만들고 거기에 제한 정책을 연결하면 정작 제한이 필요한 비프로덕션 계정에는 아무런 영향이 없습니다.

 

E. 필요한 계정에 대한 OU를 생성합니다. SCP를 OU에 연결합니다. 비프로덕션 구성원 계정을 새 OU로 이동합니다.

→ 제한이 필요한 계정들을 하나의 조직 단위로 묶고 정책을 연결하면 관리 포인트가 줄어들면서도 정확한 권한 제어가 가능합니다.

---

 

마지막 문제 살펴보겠습니다.

---

문제3

한 회사가 AWS에서 웹 애플리케이션을 설계하고 있습니다. 애플리케이션은 회사의 기존 데이터 센터와 회사의 VPC 간의 VPN 연결을 사용합니다. 이 회사는 DNS 서비스로 Amazon Route 53을 사용합니다. 애플리케이션은 프라이빗 DNS 레코드를 사용하여 VPC에서 온프레미스 서비스와 통신해야 합니다.

가장 안전한 방식으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 해석기 규칙을 만듭니다. 해석기 규칙을 VPC와 연결합니다.

B. Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 해석기 규칙을 만듭니다. 해석기 규칙을 VPC와 연결합니다.

C. Route 53 프라이빗 호스팅 영역을 생성합니다. 프라이빗 호스팅 영역을 VPC와 연결합니다.

D. Route 53 퍼블릭 호스팅 영역을 생성합니다. 서비스 통신이 가능하도록 각 서비스에 대한 기록을 생성합니다.

---

풀이

이 문제는 VPC 자원이 온프레미스 사설 도메인을 해석할 수 있도록 DNS 쿼리 경로를 구성하는 것이 핵심입니다. 이를 위해 Route 53 Resolver 아웃바운드 엔드포인트를 생성하고, 특정 도메인 쿼리를 VPN을 통해 온프레미스 DNS로 전달하는 규칙을 설정해야 합니다. 이렇게 하면 보안 연결을 통해 AWS와 온프레미스 간의 원활한 이름 해석 통신이 가능해집니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

닫기

---

1.  문제의 요구사항 분석하기

• VPC 내 애플리케이션의 온프레미스 프라이빗 DNS 해석
• VPN을 통한 데이터 센터와 VPC 간 안전한 통신 경로 확보
• Route 53 기반의 하이브리드 통합 DNS 시스템 구축

2. 관련 AWS 서비스 생각하기

• Amazon Route 53 : 확장성이 뛰어난 클라우드 DNS 서비스로 도메인 등록과 트래픽 라우팅을 담당합니다. 특히 Route 53 Resolver를 통해 온프레미스 환경과 연결된 하이브리드 DNS 체계를 구축하고, 원활한 이름 해석을 지원합니다.

3. 선택지 분석하기

A. Route 53 Resolver 아웃바운드 엔드포인트를 생성합니다. 해석기 규칙을 만듭니다. 해석기 규칙을 VPC와 연결합니다.

→ 아웃바운드 엔드포인트는 VPC 내부에서 온프레미스 방향으로 DNS 요청을 보낼 때 반드시 필요한 역할을 수행합니다.

B. Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 해석기 규칙을 만듭니다. 해석기 규칙을 VPC와 연결합니다.

→ 인바운드 엔드포인트는 AWS 내부의 도메인을 찾고자 할 때 사용하는 입구이므로 현재 상황에는 맞지 않습니다.

 

C. Route 53 프라이빗 호스팅 영역을 생성합니다. 프라이빗 호스팅 영역을 VPC와 연결합니다.

→ 프라이빗 호스팅 영역은 AWS 내부에서 사용할 도메인 정보를 담는 그릇이지 외부 DNS 서버와 통신하는 통로가 아닙니다.

 

D. Route 53 퍼블릭 호스팅 영역을 생성합니다. 서비스 통신이 가능하도록 각 서비스에 대한 기록을 생성합니다.

→ 퍼블릭 호스팅 영역은 전 세계 누구나 접근 가능한 사설망 통신이라는 점에서 보안 요구 사항에 적합하지 않습니다.

---

 

2월 첫 시작도 파이팅입니다!