
안녕하세요! 넥스트클라우드의 테크니컬 트레이너 김서윤입니다. 🌼
금요일이에요! 한 주를 잘 마무리하면서 오늘도 세 문제 함께 풀어볼게요.
문제는 세 가지 단계를 거치며 풀어가겠습니다.
1. 문제의 요구사항 분석하기
2. 관련 AWS 서비스 생각하기
3. 선택지 분석하기
바로 문제 풀이 시작합니다.
문제1
미디어 회사는 us-east-1 리전에 다중 계정 AWS 환경을 보유하고 있습니다. 이 회사는 성능 지표를 게시하는 프로덕션 계정에 Amazon Simple 알림 서비스(Amazon SNS) 주제를 가지고 있습니다. 회사는 로그 데이터를 처리하고 분석하기 위해 관리자 계정에 AWS Lambda 기능을 가지고 있습니다. 관리자 계정에 있는 Lambda 함수는 중요한 지표가 보고될 때 프로덕션 계정에 있는 SNS 주제의 메시지로 호출되어야 합니다.
이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (2개를 선택하세요.)
선택지
A. Amazon SNS가 함수를 호출하도록 허용하는 Lambda 함수에 대한 IAM 리소스 정책을 생성합니다. 프로덕션 계정에 있는 SNS 주제의 메시지를 버퍼링하기 위해 관리자 계정에 Amazon Simple Queue Service(Amazon SQS) 대기열을 구현합니다. Lambda 함수를 호출하도록 SQS 대기열을 구성합니다.
B. Lambda 함수가 주제를 구독하도록 허용하는 SNS 주제에 대한 IAM 정책을 생성합니다.
C. 프로덕션 계정에서 Amazon EventBridge 규칙을 사용하여 SNS 주제 알림을 캡처합니다. 관리자 계정에 있는 Lambda 함수에 알림을 전달하도록 EventBridge 규칙을 구성합니다.
D. 프로덕션 계정의 Amazon S3 버킷에 성능 지표를 저장합니다. Amazon Athena를 사용하여 관리자 계정의 지표를 분석합니다.
풀이
크로스 어카운트 SNS → Lambda 호출에서는 양쪽 정책 모두 필요합니다. Lambda 함수에는 SNS가 호출할 수 있도록 리소스 기반 권한 정책을, SNS 주제에는 다른 계정의 Lambda가 구독할 수 있도록 주제 정책을 부여하면 정상적으로 트리거됩니다.
정답 : A, B
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 프로덕션 계정의 SNS 주제 → 관리자 계정의 Lambda 호출.
- 크로스 어카운트 호출을 위한 양방향 권한 구성.
- 메시지를 안정적으로 수신·처리.
2. 관련 AWS 서비스 생각하기
- Amazon SNS : 게시-구독(pub/sub) 메시징 서비스로 여러 구독자(Email, SMS, SQS, Lambda, HTTP 등)에게 알림을 푸시할 수 있습니다. 크로스 어카운트 구독은 SNS 주제 정책으로 허용해야 합니다.
- AWS Lambda 리소스 기반 정책 : Lambda 함수에 첨부되는 권한 정책으로, 어떤 서비스·계정·주체가 함수를 호출할 수 있는지 정의합니다. 크로스 어카운트 호출 시 lambda:InvokeFunction 권한을 부여해야 합니다.
- Amazon SQS : 메시지 큐 서비스로 SNS → SQS → Lambda 패턴에서 메시지 버퍼링·재시도 등에 활용할 수 있습니다.
3. 선택지 분석하기
A. Amazon SNS가 함수를 호출하도록 허용하는 Lambda 함수에 대한 IAM 리소스 정책을 생성합니다. 프로덕션 계정에 있는 SNS 주제의 메시지를 버퍼링하기 위해 관리자 계정에 Amazon Simple Queue Service(Amazon SQS) 대기열을 구현합니다. Lambda 함수를 호출하도록 SQS 대기열을 구성합니다.
→ Lambda에 SNS 호출 권한 부여는 크로스 어카운트 구독의 핵심 단계입니다.
B. Lambda 함수가 주제를 구독하도록 허용하는 SNS 주제에 대한 IAM 정책을 생성합니다.
→ SNS 주제 정책에 다른 계정 구독 허용을 추가해야 합니다.
C. 프로덕션 계정에서 Amazon EventBridge 규칙을 사용하여 SNS 주제 알림을 캡처합니다. 관리자 계정에 있는 Lambda 함수에 알림을 전달하도록 EventBridge 규칙을 구성합니다.
→ SNS 발행 자체가 EventBridge 이벤트는 아니어서 직접적인 매핑이 어렵습니다.
D. 프로덕션 계정의 Amazon S3 버킷에 성능 지표를 저장합니다. Amazon Athena를 사용하여 관리자 계정의 지표를 분석합니다.
→ 기존 SNS 기반 알림 구조를 폐기하는 우회 방식이라 요구사항과 다릅니다.
이어서 다음 문제입니다.
문제2
한 회사가 워크로드를 AWS로 마이그레이션하고 있습니다. 회사는 SQL Server 인스턴스에서 실행되는 온프레미스 관계형 데이터베이스에 민감하고 중요한 데이터를 보유하고 있습니다. 회사는 AWS 클라우드를 사용하여 보안을 강화하고 데이터베이스의 운영 오버헤드를 줄이고 싶어합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. 데이터베이스를 Amazon EC2 인스턴스로 마이그레이션합니다. 암호화를 위해 AWS Key Management Service(AWS KMS) AWS 관리형 키를 사용합니다.
B. 데이터베이스를 SQL Server DB 인스턴스용 다중 AZ Amazon RDS로 마이그레이션합니다. 암호화를 위해 AWS Key Management Service(AWS KMS) AWS 관리형 키를 사용합니다.
C. 데이터를 Amazon S3 버킷으로 마이그레이션합니다. Amazon Macie를 사용하여 데이터 보안을 보장하세요.
D. 데이터베이스를 Amazon DynamoDB 테이블로 마이그레이션합니다. Amazon CloudWatch Logs를 사용하여 데이터 보안을 보장하세요.
풀이
SQL Server 데이터베이스 그대로 운영 오버헤드를 낮추려면 관리형 서비스인 Amazon RDS for SQL Server가 적합합니다. 다중 AZ 배포로 자동 페일오버·고가용성을 확보하고, KMS 관리형 키로 저장 시 데이터를 암호화하면 보안 강화와 운영 부담 감소를 동시에 달성합니다.
정답 : B
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- SQL Server 워크로드를 AWS로 마이그레이션.
- 패치·백업·HA 등 데이터베이스 운영 오버헤드 감소.
- 민감 데이터에 대한 저장 시 암호화 적용.
2. 관련 AWS 서비스 생각하기
- Amazon RDS for SQL Server : SQL Server 엔진을 관리형으로 제공하는 서비스로, 백업·패치·OS 관리·다중 AZ 페일오버까지 AWS가 처리하므로 자체 운영 부담이 크게 줄어듭니다.
- 다중 AZ(Multi-AZ) 배포 : 동기식 대기 인스턴스를 다른 AZ에 두어 장애 발생 시 자동으로 페일오버해 가용성을 높이는 RDS 기능입니다.
- AWS Key Management Service (KMS) : 데이터 암호화를 위한 키 관리 서비스로, RDS 저장 시 암호화에 통합되며 키 사용 감사를 제공합니다.
- Amazon Macie : S3에 저장된 데이터에서 민감 정보를 자동 식별·분류해 주는 서비스로, 데이터베이스 호스팅과는 무관합니다.
3. 선택지 분석하기
A. 데이터베이스를 Amazon EC2 인스턴스로 마이그레이션합니다. 암호화를 위해 AWS Key Management Service(AWS KMS) AWS 관리형 키를 사용합니다.
→ 자체 관리형 EC2 운영은 패치·HA를 직접 챙겨야 해 운영 오버헤드가 큽니다.
B. 데이터베이스를 SQL Server DB 인스턴스용 다중 AZ Amazon RDS로 마이그레이션합니다. 암호화를 위해 AWS Key Management Service(AWS KMS) AWS 관리형 키를 사용합니다.
→ 관리형 RDS + 다중 AZ + KMS 암호화로 보안·가용성·운영 부담을 모두 해결합니다.
C. 데이터를 Amazon S3 버킷으로 마이그레이션합니다. Amazon Macie를 사용하여 데이터 보안을 보장하세요.
→ S3는 객체 스토리지이며 관계형 데이터베이스 워크로드와 맞지 않습니다.
D. 데이터베이스를 Amazon DynamoDB 테이블로 마이그레이션합니다. Amazon CloudWatch Logs를 사용하여 데이터 보안을 보장하세요.
→ DynamoDB는 NoSQL이라 SQL Server를 그대로 옮길 수 없고 CloudWatch는 보안 서비스가 아닙니다.
마지막 문제 살펴보겠습니다.
문제3
미디어 회사는 Amazon CloudFront 배포를 사용하여 인터넷을 통해 콘텐츠를 제공합니다. 회사는 프리미엄 고객만 미디어 스트림과 파일 콘텐츠에 액세스할 수 있기를 원합니다. 회사는 모든 콘텐츠를 Amazon S3 버킷에 저장합니다. 회사는 또한 영화 대여나 음악 다운로드와 같은 특정 목적을 위해 주문형 콘텐츠를 고객에게 제공합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. S3 서명 쿠키를 생성하여 프리미엄 고객에게 제공합니다.
B. 프리미엄 고객에게 CloudFront 서명 URL을 생성하고 제공합니다.
C. 원본 액세스 제어(OAC)를 사용하여 비프리미엄 고객의 액세스를 제한합니다.
D. 비프리미엄 고객을 차단하기 위해 필드 수준 암호화를 생성하고 활성화합니다.
풀이
CloudFront 서명 URL은 개별 파일(영화 한 편, 음악 한 곡 등)에 대해 인증된 사용자만 접근할 수 있도록 만료 시간과 정책을 포함한 URL을 발급하는 기능입니다. 영화 대여·음악 다운로드처럼 콘텐츠 단위로 권한을 부여해야 하는 시나리오에 가장 적합합니다.
정답 : B
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 프리미엄 고객만 미디어·파일 콘텐츠에 액세스 허용.
- 영화 대여·음악 다운로드 등 콘텐츠 단위 접근 제어.
- CloudFront 배포를 통한 안전한 콘텐츠 전달.
2. 관련 AWS 서비스 생각하기
- CloudFront 서명 URL : 개별 콘텐츠(파일·스트림)에 만료 시간·접근 정책을 포함한 URL을 발급해 특정 사용자만 접근하도록 제한하는 기능입니다. 영화 대여·다운로드 등 콘텐츠 단위 권한 부여에 사용됩니다.
- CloudFront 서명 쿠키 : 여러 콘텐츠에 대한 접근 권한을 한 번에 부여할 때 사용하는 방식으로, URL을 변경하지 않고 다수 파일을 일괄 보호하는 시나리오에 적합합니다.
- Origin Access Control (OAC) : CloudFront만 S3 버킷에 접근할 수 있게 제한해 오리진 직접 노출을 막는 기능으로, 사용자 그룹별 권한 분리와는 다른 목적입니다.
- 필드 수준 암호화 : 특정 폼 필드 값을 엔드투엔드 암호화해 전달하는 기능으로 접근 제어 용도가 아닙니다.
3. 선택지 분석하기
A. S3 서명 쿠키를 생성하여 프리미엄 고객에게 제공합니다.
→ S3에는 서명 쿠키 기능이 없습니다(쿠키는 CloudFront 기능).
B. 프리미엄 고객에게 CloudFront 서명 URL을 생성하고 제공합니다.
→ 개별 콘텐츠 단위로 만료 시간 포함한 접근 제어가 가능해 요구사항을 충족합니다.
C. 원본 액세스 제어(OAC)를 사용하여 비프리미엄 고객의 액세스를 제한합니다.
→ OAC는 S3 오리진 보호용이며 사용자 등급별 접근 제어와는 다릅니다.
D. 비프리미엄 고객을 차단하기 위해 필드 수준 암호화를 생성하고 활성화합니다.
→ 필드 수준 암호화는 데이터 보호용이며 사용자 접근 제어가 아닙니다.
오늘도 함께해 주셔서 감사합니다. 즐거운 주말 보내세요!
'AWS > SAA 준비' 카테고리의 다른 글
| AWS SAA 합격으로 가는 길 #187 (0) | 2026.06.26 |
|---|---|
| AWS SAA 합격으로 가는 길 #186 (0) | 2026.06.22 |
| AWS SAA 합격으로 가는 길 #184 (1) | 2026.06.15 |
| AWS SAA 합격으로 가는 길 #183 (0) | 2026.06.12 |
| AWS SAA 합격으로 가는 길 #182 (0) | 2026.06.08 |