AWS SAA 합격으로 가는 길 #168

안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김유림입니다. 😊

어느덧 화창한 봄이 오고 있습니다. 그러나 계절의 환절기도 같이 오고 있으니 건강에 유의하시기 바랍니다.

 

문제는 세 가지 단계를 거치며 풀어가겠습니다.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 시작합니다.

---

문제1

회사는 온프레미스 LDAP 디렉터리 서비스를 사용하여 AWS Management Console에 사용자를 인증해야 합니다. 디렉터리 서비스는 SAML(Security Assertion Markup Language)과 호환되지 않습니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. AWS와 온프레미스 LDAP 간에 AWS IAM Identity Center(AWS Single Sign-On)를 활성화합니다.

B. AWS 자격 증명을 사용하는 IAM 정책을 생성하고 정책을 LDAP에 통합합니다.

C. LDAP 자격 증명이 업데이트될 때마다 IAM 자격 증명을 교체하는 프로세스를 설정합니다.

D. AWS Security Token Service(AWS STS)를 사용하여 단기 자격 증명을 얻는 온프레미스 사용자 지정 자격 증명 브로커 애플리케이션 또는 프로세스를 개발합니다.

---

풀이

이 문제는 표준 인증 방식인 SAML을 지원하지 않는 구형 LDAP 시스템을 AWS Management Console과 어떻게 연결할 것인지 묻는 고난도 설계 문제입니다. 표준 방식을 사용할 수 없을 때는 LDAP에서 신원을 확인한 뒤 AWS STS에 요청하여 임시 자격 증명을 받아오는 별도의 중개자 역할을 하는 애플리케이션이 필요합니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• SAML 미지원 온프레미스 LDAP으로 사용자 인증
• AWS Management Console 접근 허용
• 안전한 임시 자격 증명 방식 사용

2. 관련 AWS 서비스 생각하기

• AWS Identity and Access Management(Amazon IAM) : AWS 자원에 대한 접근을 안전하게 제어하는 핵심 보안 서비스로 사용자나 그룹의 권한을 정의하고 관리하는 역할을 담당합니다. 단순히 아이디와 비밀번호를 관리하는 것에 그치지 않고 임시 권한을 부여하는 역할을 통해 애플리케이션이나 외부 사용자가 안전하게 클라우드 자원을 이용할 수 있는 통로를 마련해 줍니다.
• AWS Security Token Service(AWS STS) : 사용자에게 영구적인 비밀번호 대신 특정 시간 동안만 사용할 수 있는 임시 보안 자격 증명을 발급하여 자원 접근의 안전성을 극대화하는 서비스입니다. 발급된 자격 증명은 정해진 시간이 지나면 자동으로 만료되므로 보안 사고 발생 시 피해를 최소화할 수 있으며 자격 증명 브로커와 같은 복잡한 인증 연동 시나리오에서 반드시 필요한 구성 요소입니다.
• 추가 개념 설명
  • LDAP(Lightweight Directory Access Protocol) : 회사 내부에서 사용하는 사용자 정보 저장소라고 생각하면 됩니다. 직원의 아이디, 비밀번호, 소속 부서 등을 저장하고, 로그인 시 해당 정보를 조회하여 인증하는 역할을 합니다. Windows 환경에서 많이 쓰는 Active Directory가 대표적인 예입니다.
  • SAML(Security Assertion Markup Language) : 서로 다른 서비스 간에 로그인 정보를 안전하게 전달하기 위한 공통 언어입니다. 예를 들어 회사 계정으로 한 번 로그인하면 AWS, Google 등 여러 서비스에 자동으로 접근할 수 있게 해주는 SSO(Single Sign-On)의 기반 기술입니다. 문제에서 LDAP이 이 방식을 지원하지 않기 때문에 일반적인 연동 방법을 사용할 수 없습니다.

3. 선택지 분석하기 

A. AWS와 온프레미스 LDAP 간에 AWS IAM Identity Center(AWS Single Sign-On)를 활성화합니다.

→ IAM Identity Center는 SAML이라는 공통 언어를 통해 외부 디렉터리와 연동하는데, 이 문제의 LDAP은 SAML을 지원하지 않으므로 연결 자체가 불가능합니다.

 

B. AWS 자격 증명을 사용하는 IAM 정책을 생성하고 정책을 LDAP에 통합합니다.

→ IAM 정책은 AWS 리소스에 대한 권한 규칙을 정의하는 것으로, 회사 내부 사용자 저장소인 LDAP에 직접 붙여넣거나 연결하는 방법이 존재하지 않습니다.

 

C. LDAP 자격 증명이 업데이트될 때마다 IAM 자격 증명을 교체하는 프로세스를 설정합니다.

→ LDAP 비밀번호가 바뀔 때마다 AWS 계정 정보도 수동으로 바꾸는 방식으로, 관리가 매우 번거롭고 그 사이에 정보가 유출될 보안 위험이 있습니다.

 

D. AWS Security Token Service(AWS STS)를 사용하여 단기 자격 증명을 얻는 온프레미스 사용자 지정 자격 증명 브로커 애플리케이션 또는 프로세스를 개발합니다.

→ 커스텀 브로커가 LDAP으로 사용자를 확인한 뒤 STS에 임시 출입증을 요청하는 방식으로, SAML 없이도 AWS 콘솔 접근을 안전하게 구현할 수 있는 올바른 방법입니다.

---

 

이어서 다음 문제입니다.

---

문제2

한 금융 서비스 회사는 두 개의 데이터 센터를 폐쇄하고 100TB가 넘는 데이터를 AWS로 마이그레이션하려고 합니다. 데이터는 하위 폴더의 깊은 계층 구조로 구성된 수백만 개의 작은 파일을 포함하는 복잡한 디렉터리 구조를 가지고 있습니다. 대부분의 데이터는 구조화되지 않았으며 회사의 파일 스토리지에는 다양한 공급업체의 SMB 기반 스토리지 유형이 포함되어 있습니다. 회사는 마이그레이션 후 데이터에 액세스하기 위해 애플리케이션을 변경하지 않기를 원합니다.

솔루션 설계자는 운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족하기 위해 어떤 접근 방식을 취해야 합니까?

 

선택지

A. AWS Direct Connect를 활용하여 데이터를 Amazon S3로 마이그레이션합니다.

B. AWS DataSync를 사용하여 데이터를 Amazon FSx for Lustre로 마이그레이션합니다.

C. AWS DataSync를 사용하여 Windows 파일 서버용 Amazon FSx로 데이터를 전송합니다.

D. AWS Direct Connect를 사용하여 온프레미스 파일 스토리지를 AWS Storage Gateway 볼륨 게이트웨이로 마이그레이션합니다.

---

풀이

SMB 기반 스토리지를 사용하는 회사가 애플리케이션 변경 없이 데이터에 접근하려면 SMB 프로토콜을 지원하는 스토리지가 필요합니다. Amazon FSx for Windows File Server는 SMB 프로토콜을 네이티브로 지원하며, AWS DataSync는 복잡한 디렉터리 구조와 수백만 개의 소규모 파일 마이그레이션에 최적화되어 있습니다.

 

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• SMB 기반 스토리지에서 100TB 이상의 데이터를 AWS로 마이그레이션
• 복잡한 디렉터리 구조와 수백만 개의 소규모 파일을 효율적으로 전송
• 마이그레이션 후 애플리케이션 변경 없이 기존 방식으로 데이터 접근

2. 관련 AWS 서비스 생각하기

• AWS DataSync : 온프레미스 스토리지와 AWS 스토리지 서비스 간 데이터 이동을 자동화하는 관리형 전송 서비스입니다. 데이터 전송 시 메타데이터와 파일 권한을 보존하며, 전송 속도 조절, 예약 실행, 전송 무결성 검증 기능을 제공합니다.
• Amazon FSx for Windows File Server : Windows 파일 시스템을 기반으로 하는 완전 관리형 파일 스토리지 서비스입니다. SMB 프로토콜과 Windows NTFS를 기본 지원하며 Active Directory와 통합하여 사용자 인증 및 접근 제어를 관리할 수 있습니다.
• Amazon FSx for Lustre : 고성능 병렬 파일 시스템인 Lustre를 기반으로 한 완전 관리형 스토리지 서비스입니다. 고성능 컴퓨팅, 머신러닝, 미디어 처리 등 높은 처리량과 낮은 지연 시간이 요구되는 워크로드에 사용됩니다.
• Amazon S3 : 인터넷을 통해 어디서든 접근 가능한 완전 관리형 객체 스토리지 서비스입니다. 데이터를 버킷과 객체 단위로 저장하며 높은 내구성과 가용성을 제공하고 정적 웹 호스팅, 백업, 데이터 아카이빙 등 다양한 용도로 활용됩니다.
• AWS Storage Gateway 볼륨 게이트웨이 : 온프레미스 환경에서 AWS 클라우드 스토리지를 iSCSI 블록 스토리지 볼륨 형태로 제공하는 하이브리드 스토리지 서비스입니다. 데이터를 로컬 캐시에 저장하면서 실제 데이터는 Amazon S3에 백업하는 방식으로 동작합니다.

 

 

 

3. 선택지 분석하기

A. AWS Direct Connect를 활용하여 데이터를 Amazon S3로 마이그레이션합니다.

→ S3는 객체 스토리지로 SMB 프로토콜을 지원하지 않아 애플리케이션 변경이 불가피합니다. 또한 Direct Connect는 전용 네트워크 연결이지 마이그레이션 도구가 아닙니다.

 

B. AWS DataSync를 사용하여 데이터를 Amazon FSx for Lustre로 마이그레이션합니다.

→ FSx for Lustre는 SMB가 아닌 POSIX 및 Linux 환경에 최적화되어 있어 SMB 기반 애플리케이션이 변경 없이 접근할 수 없습니다.

 

C. AWS DataSync를 사용하여 Windows 파일 서버용 Amazon FSx로 데이터를 전송합니다.

→ DataSync는 복잡한 디렉터리 구조와 소규모 파일 대량 마이그레이션에 최적화되어 있고, FSx for Windows는 SMB를 네이티브 지원하기에 적절한 설계로 볼 수 있습니다.

 

D. AWS Direct Connect를 사용하여 온프레미스 파일 스토리지를 AWS Storage Gateway 볼륨 게이트웨이로 마이그레이션합니다.

→ 볼륨 게이트웨이는 온프레미스와 클라우드의 하이브리드 연결에 적합하며 대규모 일괄 데이터 마이그레이션 도구로는 적절하지 않습니다.

---

 

마지막 문제 살펴보겠습니다.

---

문제3

회사에서 새로운 AWS 계정을 개설했습니다. 계정이 새로 프로비저닝 되었으며 기본 설정이 변경되지 않았습니다. 회사는 AWS 계정 루트 사용자의 보안을 우려하고 있습니다.

루트 사용자를 보호하려면 어떻게 해야 합니까?

 

선택지

A. 일상적인 관리 작업을 위해 IAM 사용자를 생성합니다. 루트 사용자를 비활성화합니다.

B. 일상적인 관리 작업을 위한 IAM 사용자를 생성합니다. 루트 사용자에 대해 다단계 인증을 활성화합니다.

C. 루트 사용자에 대한 액세스 키를 생성합니다. AWS Management Console 대신 일일 관리 작업에 액세스 키를 사용하세요.

D. 최고 수석 솔루션 설계자에게 루트 사용자 자격 증명을 제공합니다. 솔루션 설계자가 일상적인 관리 작업에 루트 사용자를 사용하도록 하세요.

---

풀이

이 문제는 AWS 계정 생성 직후 가장 먼저 실천해야 하는 보안 모범 사례인 루트 사용자 보호 대책을 묻고 있습니다. 루트 사용자는 계정의 모든 자원에 대해 무제한의 권한을 가지므로 일상적인 업무에는 별도로 생성한 IAM 사용자를 활용하고 루트 계정 자체는 강력한 다단계 인증을 설정하여 보관해야 합니다.

 

정답 : B

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

---

1.  문제의 요구사항 분석하기

• 새로 개설된 AWS 계정의 루트 사용자 보호
• 일상적인 관리 작업을 루트 사용자 대신 별도 계정으로 수행
• 운영 보안 모범 사례에 따라 최소 권한 원칙 적용

2. 관련 AWS 서비스 생각하기

• AWS IAM(Identity and Access Management) : AWS 리소스에 대한 접근 권한을 관리하는 서비스입니다. 루트 사용자 대신 사용할 개별 IAM 사용자와 역할을 생성하고, 최소 권한 원칙에 따라 세분화된 권한을 부여할 수 있습니다. 단순히 아이디와 비밀번호를 관리하는 것에 그치지 않고 임시 권한을 부여하는 역할을 통해 애플리케이션이나 외부 사용자가 안전하게 클라우드 자원을 이용할 수 있는 통로를 마련해 줍니다.
  • IAM Policy : 어떤 사람이 어떤 서비스를 이용할 수 있고 어떤 행동은 할 수 없는지를 상세하게 정의해 놓은 권한 명세서입니다. 특정 저장소에 대해서는 읽기만 허용하거나 특정 시간대에만 서버를 운영할 수 있게 제한하는 등 매우 구체적이고 세밀한 통제 규칙을 설정할 수 있습니다.
  • AWS MFA(Multi-Factor Authentication) : AWS 계정 로그인 시 비밀번호 외에 추가 인증 수단을 요구하는 보안 기능입니다. 루트 사용자처럼 권한이 강력한 계정에 활성화하면 자격 증명 탈취 시에도 무단 접근을 차단할 수 있습니다.

3. 선택지 분석하기

A. 일상적인 관리 작업을 위해 IAM 사용자를 생성합니다. 루트 사용자를 비활성화합니다.

→ 일상적인 작업을 위한 IAM 사용자를 만드는 과정은 올바르지만 루트 사용자 자체를 완전히 비활성화하는 기능은 AWS에서 제공되지 않습니다.

 

B. 일상적인 관리 작업을 위한 IAM 사용자를 생성합니다. 루트 사용자에 대해 다단계 인증을 활성화합니다.

→ 루트 사용자에게 다단계 인증을 설정하면 비밀번호가 노출되더라도 추가 인증 없이는 접속이 불가능해져 계정을 가장 안전하게 보호할 수 있습니다.

 

C. 루트 사용자에 대한 액세스 키를 생성합니다. AWS Management Console 대신 일일 관리 작업에 액세스 키를 사용하세요.

→ 루트 사용자의 액세스 키를 생성하는 행위는 키가 유출될 경우 계정 전체가 통제 불능 상태에 빠질 수 있는 매우 위험한 보안 취약점을 만드는 일입니다.

 

D. 최고 수석 솔루션 설계자에게 루트 사용자 자격 증명을 제공합니다. 솔루션 설계자가 일상적인 관리 작업에 루트 사용자를 사용하도록 하세요.

→ 루트 사용자의 자격 증명은 누구와도 공유해서는 안 되는 계정 소유주만의 고유 자산이며 타인에게 제공하는 것은 심각한 보안 규정 위반입니다.

 

---

 

오늘 다룬 문제들은 각 AWS 서비스의 프로토콜 지원 여부와 용도 차이를 정확히 구분하는 것이 핵심이었습니다.

특히 FSx for Windows와 FSx for Lustre처럼 이름이 비슷해 보이는 서비스도 지원 프로토콜과 대상 워크로드가 전혀 다르므로, 서비스별 핵심 특징을 명확히 정리해 두시면 실전에서 큰 도움이 될 것입니다.

 

오늘 학습하신 내용이 시험 준비에 좋은 밑거름이 되길 바랍니다!