
안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김서윤입니다. 🌿
벌써 금요일이에요! 주말 전 마지막 세 문제, 가볍게 마무리해 볼까요?
문제는 세 가지 단계를 거치며 풀어가겠습니다.
1. 문제의 요구사항 분석하기
2. 관련 AWS 서비스 생각하기
3. 선택지 분석하기
바로 문제 풀이 시작합니다.
문제1
회사는 Amazon S3를 데이터 레이크로 사용합니다. 회사에는 SFTP를 사용하여 데이터 파일을 업로드해야 하는 새로운 파트너가 있습니다. 솔루션 설계자는 운영 오버헤드를 최소화하는 고가용성 SFTP 솔루션을 구현해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. AWS Transfer Family를 사용하여 공개적으로 액세스할 수 있는 엔드포인트가 있는 SFTP 지원 서버를 구성합니다. S3 데이터 레이크를 대상으로 선택합니다.
B. Amazon S3 파일 게이트웨이를 SFTP 서버로 사용합니다. S3 파일 게이트웨이 엔드포인트 URL을 새 파트너에게 노출합니다. S3 파일 게이트웨이 엔드포인트를 새 파트너와 공유합니다.
C. VPC의 프라이빗 서브넷에서 Amazon EC2 인스턴스를 시작합니다. VPN을 사용하여 EC2 인스턴스에 파일을 업로드하도록 새 파트너에게 지시합니다. EC2 인스턴스에서 cron 작업 스크립트를 실행하여 S3 데이터 레이크에 파일을 업로드합니다.
D. VPC의 프라이빗 서브넷에서 Amazon EC2 인스턴스를 시작합니다. EC2 인스턴스 앞에 NLB(Network Load Balancer)를 배치합니다. NLB에 대한 SFTP 수신기 포트를 만듭니다. NLB 호스트 이름을 새 파트너와 공유합니다. EC2 인스턴스에서 cron 작업 스크립트를 실행하여 S3 데이터 레이크에 파일을 업로드합니다.
풀이
이 문제는 외부 파트너가 SFTP 프로토콜을 사용하여 S3 기반 데이터 레이크에 파일을 업로드할 때, 관리 부담을 줄이면서 가용성을 높이는 아키텍처를 묻고 있습니다. AWS Transfer Family는 완전 관리형 서비스로서 서버 구축이나 스크립트 작성 없이 고가용성 엔드포인트를 제공하므로 운영 오버헤드 최소화라는 요구사항을 충족합니다.
정답 : A
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- Amazon S3를 활용한 데이터 레이크 아키텍처 유지 및 관리.
- 외부 파트너를 위한 표준 SFTP 프로토콜 기반 인터페이스 제공.
- 서버 패치·모니터링 등 운영 오버헤드를 최소화할 수 있는 관리형 솔루션 필요.
- 파일 전송 중단을 방지하는 고가용성(HA) 구성 필요.
2. 관련 AWS 서비스 생각하기
- Amazon S3 : 데이터를 버킷이라는 바구니에 객체 단위로 담아 보관하는 저장소로, 저장 용량에 한계가 없으며 한 번 저장된 데이터가 손실되지 않도록 여러 장소에 자동으로 복제되어 관리됩니다.
- AWS Transfer Family : SFTP, FTPS 및 FTP 워크로드를 Amazon S3 또는 Amazon EFS로 직접 마이그레이션할 수 있게 해주는 완전 관리형 서비스로, 서버 관리 없이 기존 프로토콜을 유지하면서 클라우드 스토리지의 이점을 활용할 수 있습니다.
- AWS Storage Gateway (S3 파일 게이트웨이) : 온프레미스 환경에서 NFS/SMB 프로토콜로 Amazon S3에 접근할 수 있도록 해주는 하이브리드 스토리지 서비스입니다.
3. 선택지 분석하기
A. AWS Transfer Family를 사용하여 공개적으로 액세스할 수 있는 엔드포인트가 있는 SFTP 지원 서버를 구성합니다. S3 데이터 레이크를 대상으로 선택합니다.
→ AWS Transfer Family를 사용하면 서버 관리 없이 고가용성 SFTP 엔드포인트를 생성하고 데이터를 S3로 직접 전송할 수 있습니다.
B. Amazon S3 파일 게이트웨이를 SFTP 서버로 사용합니다. S3 파일 게이트웨이 엔드포인트 URL을 새 파트너에게 노출합니다. S3 파일 게이트웨이 엔드포인트를 새 파트너와 공유합니다.
→ S3 파일 게이트웨이는 주로 온프레미스 내 로컬 애플리케이션의 S3 연결을 위한 장치이며, 외부 파트너용 SFTP 서버로 설계된 서비스가 아닙니다.
C. VPC의 프라이빗 서브넷에서 Amazon EC2 인스턴스를 시작합니다. VPN을 사용하여 EC2 인스턴스에 파일을 업로드하도록 새 파트너에게 지시합니다. EC2 인스턴스에서 cron 작업 스크립트를 실행하여 S3 데이터 레이크에 파일을 업로드합니다.
→ EC2 인스턴스와 VPN을 사용하는 방식은 인스턴스 패치, 스크립트 관리 등 운영 오버헤드가 큽니다.
D. VPC의 프라이빗 서브넷에서 Amazon EC2 인스턴스를 시작합니다. EC2 인스턴스 앞에 NLB(Network Load Balancer)를 배치합니다. NLB에 대한 SFTP 수신기 포트를 만듭니다. NLB 호스트 이름을 새 파트너와 공유합니다. EC2 인스턴스에서 cron 작업 스크립트를 실행하여 S3 데이터 레이크에 파일을 업로드합니다.
→ NLB와 EC2를 결합한 형태는 고가용성을 일부 제공할 수 있으나 서버 인프라를 직접 관리해야 하므로 운영 오버헤드 최소화 요건에 어긋납니다.
이어서 다음 문제입니다.
문제2
한 회사가 여러 AWS 계정에서 프로덕션 및 비프로덕션 환경 워크로드를 실행하고 있습니다. 계정은 AWS Organizations의 조직에 있습니다. 회사는 비용 사용 태그의 수정을 방지하는 솔루션을 설계해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. 권한이 부여된 보안 주체 외에는 태그 수정을 방지하기 위해 사용자 지정 AWS Config 규칙을 생성합니다.
B. 태그 수정을 방지하기 위해 AWS CloudTrail에서 사용자 지정 추적을 생성합니다.
C. 인증된 주체 외에는 태그 수정을 방지하기 위해 서비스 제어 정책(SCP)을 생성합니다.
D. 태그 수정을 방지하기 위해 사용자 지정 Amazon CloudWatch 로그를 생성합니다.
풀이
AWS Organizations 내의 여러 계정에 걸쳐 리소스 태그 수정과 같은 특정 작업을 원천적으로 차단(방지)하려면 서비스 제어 정책(SCP)을 사용해야 합니다. SCP는 조직 전체의 사용자 및 역할이 수행할 수 있는 최대 권한을 제한하는 중앙 집중식 보안 가드레일입니다.
정답 : C
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- AWS Organizations를 통한 다중 계정 환경 통합 관리.
- 특정 권한이 없는 사용자의 비용 태그 수정을 사전에 방지(차단).
- 여러 계정에 걸친 일관된 정책 적용 필요.
2. 관련 AWS 서비스 생각하기
- AWS Organizations (SCP) : 다중 계정 환경에서 보안 및 권한 정책을 중앙 집중식으로 관리하고, 특정 API 작업을 사전에 거부할 수 있는 제어 기능을 제공합니다. SCP는 조직 내 계정에 대한 최대 권한 경계를 설정합니다.
- AWS Config : 리소스의 구성 변경 내역을 추적하고 규정 준수 여부를 사후에 평가하는 서비스입니다.
- AWS CloudTrail : AWS 계정 내에서 수행된 API 호출 및 이벤트를 기록하여 감사·보안 분석에 활용할 수 있게 해주는 로깅 서비스입니다.
- Amazon CloudWatch : AWS 리소스와 애플리케이션의 지표, 로그, 이벤트를 수집·모니터링하는 관측 서비스입니다.
3. 선택지 분석하기
A. 권한이 부여된 보안 주체 외에는 태그 수정을 방지하기 위해 사용자 지정 AWS Config 규칙을 생성합니다.
→ AWS Config는 리소스 설정이 규정을 준수하는지 모니터링하고 사후에 평가하는 서비스입니다. 작업이 발생하는 것을 사전에 차단하는 기능은 제공하지 않습니다.
B. 태그 수정을 방지하기 위해 AWS CloudTrail에서 사용자 지정 추적을 생성합니다.
→ AWS CloudTrail은 계정 내에서 발생하는 API 호출을 기록하고 감사하는 로깅 서비스입니다. 사용자 권한을 제어하거나 리소스 수정을 차단하는 기능은 없습니다.
C. 인증된 주체 외에는 태그 수정을 방지하기 위해 서비스 제어 정책(SCP)을 생성합니다.
→ 여러 계정이 속한 조직 환경에서 허가되지 않은 사용자가 태그를 수정하지 못하도록 원천적으로 사전 차단하기에 적합한 해결책입니다.
D. 태그 수정을 방지하기 위해 사용자 지정 Amazon CloudWatch 로그를 생성합니다.
→ Amazon CloudWatch는 시스템 및 애플리케이션의 지표와 로그 데이터를 수집하고 모니터링하는 서비스입니다. 사용자의 작업 권한을 제한하여 변경을 방지할 수 없습니다.
마지막 문제 살펴보겠습니다.
문제3
회사의 AWS Organizations에는 모든 기능이 활성화된 조직이 있습니다. 회사는 기존 또는 신규 AWS 계정의 모든 API 호출 및 로그인을 감사해야 한다고 요구합니다. 회사에서는 추가 작업을 방지하고 비용을 최소화하기 위해 관리형 솔루션이 필요합니다. 또한 회사는 AWS 계정이 AWS FSBP(Foundational Security Best Practices) 표준을 준수하지 않는 경우도 알아야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. 조직 마스터 계정에 AWS Control Tower 환경을 배포합니다. 환경에서 AWS Security Hub 및 AWS Control Tower Account Factory를 활성화합니다.
B. 전용 조직 회원 계정에 AWS Control Tower 환경을 배포합니다. 환경에서 AWS Security Hub 및 AWS Control Tower Account Factory를 활성화합니다.
C. AWS Managed Services(AMS) Accelerate를 사용하여 다중 계정 랜딩 존(MALZ)을 구축합니다. MALZ의 셀프 서비스 프로비저닝 Amazon GuardDuty에 RFC를 제출하세요.
D. AWS Managed Services(AMS) Accelerate를 사용하여 MALZ(다중 계정 랜딩 존)를 구축합니다. MALZ의 셀프 서비스 프로비저닝 AWS Security Hub에 RFC를 제출하세요.
풀이
다중 계정 환경에서 새 계정 생성 시 권한 제어와 감사(CloudTrail) 설정을 자동화하는 가장 효율적인 관리형 서비스는 AWS Control Tower입니다. 이 서비스는 아키텍처상 반드시 조직의 마스터(관리) 계정에 배포되어야 합니다. 추가로 AWS Foundational Security Best Practices(FSBP) 표준 위반 여부를 자동으로 모니터링하려면 AWS Security Hub를 함께 활성화해야 합니다.
정답 : A
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 신규 및 기존 계정의 API 호출 및 로그인 감사 로깅 자동화.
- AWS FSBP 보안 표준 준수 여부 모니터링.
- 운영 오버헤드와 비용을 최소화하는 완전 관리형 솔루션.
2. 관련 AWS 서비스 생각하기
- AWS Control Tower : 모범 사례를 기반으로 다중 계정 환경(랜딩 존)을 쉽게 설정하며, Account Factory를 통해 새 계정에 보안 및 감사 설정을 자동으로 적용합니다. 조직의 관리(마스터) 계정에서만 초기 배포가 가능합니다.
- AWS Security Hub : AWS 환경 전반의 보안 상태를 중앙에서 관리하고, FSBP 등 산업 표준에 대한 규정 준수 자동 검사를 수행합니다.
- AWS Managed Services(AMS) : AWS 전담 팀이 고객의 인프라 운영을 대신 관리해 주는 프리미엄 서비스로, RFC(변경 요청) 티켓을 통해 작업을 요청하는 방식입니다.
- Amazon GuardDuty : 머신러닝 기반으로 계정 내 악성 활동과 비정상적인 동작을 탐지하는 지능형 위협 탐지 서비스입니다.
3. 선택지 분석하기
A. 조직 마스터 계정에 AWS Control Tower 환경을 배포합니다. 환경에서 AWS Security Hub 및 AWS Control Tower Account Factory를 활성화합니다.
→ Control Tower는 조직의 관리(마스터) 계정에 배포해야 정상 작동합니다. Account Factory로 계정 생성 및 감사를 자동화하고, Security Hub로 FSBP 표준을 검사하여 요구사항을 충족합니다.
B. 전용 조직 회원 계정에 AWS Control Tower 환경을 배포합니다. 환경에서 AWS Security Hub 및 AWS Control Tower Account Factory를 활성화합니다.
→ AWS Control Tower는 설계상 조직의 멤버(회원) 계정이 아닌 마스터 계정에서만 초기 설정 및 배포가 가능하므로 기술적으로 불가능한 구성입니다.
C. AWS Managed Services(AMS) Accelerate를 사용하여 다중 계정 랜딩 존(MALZ)을 구축합니다. MALZ의 셀프 서비스 프로비저닝 Amazon GuardDuty에 RFC를 제출하세요.
→ AMS는 전담 팀이 인프라를 대신 관리해 주는 고비용 서비스라 비용 최소화 목적에 맞지 않습니다. 또한 Amazon GuardDuty는 지능형 위협 탐지 서비스로, FSBP 규정 준수를 평가하는 기능은 제공하지 않습니다.
D. AWS Managed Services(AMS) Accelerate를 사용하여 MALZ(다중 계정 랜딩 존)를 구축합니다. MALZ의 셀프 서비스 프로비저닝 AWS Security Hub에 RFC를 제출하세요.
→ AMS를 통한 방식은 수동으로 티켓(RFC)을 제출해야 하는 등 프로세스가 무겁고 비용이 높아, 운영 오버헤드를 최소화해야 한다는 요구사항에 적합하지 않습니다.
오늘도 함께 문제 풀어주셔서 감사합니다. 이번 주말도 즐겁게 보내세요!
'AWS > SAA 준비' 카테고리의 다른 글
| AWS SAA 합격으로 가는 길 #173 (0) | 2026.05.01 |
|---|---|
| AWS SAA 합격으로 가는 길 #173 (0) | 2026.04.27 |
| AWS SAA 합격으로 가는 길 #171 (0) | 2026.04.20 |
| AWS SAA 합격으로 가는 길 #170 (0) | 2026.04.13 |
| AWS SAA 합격으로 가는 길 #169 (0) | 2026.04.03 |