AWS SAA 합격으로 가는 길 #14

안녕하세요! 넥스트클라우드의 SA 백종훈입니다.

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 첫번째 문제를 풀어 볼게요!

---

문제1

회사의 시설에는 건물 전체의 모든 입구에 배지 판독기가 있습니다. 배지를 스캔하면 판독기가 HTTPS를 통해 메시지를 보내 누가 해당 입구에 엑세스하려고 시도했는지 나타냅니다. 솔루션 설계자는 센서에서 보내는 이러한 메시지를 처리하는 시스템을 설계해야 합니다. 솔루션은 가용성이 높아야 하며 회사의 보안 팀이 분석할 수 있도록 결과를 제공해야 합니다.

솔루션 설계자는 어떤 시스템 아키텍처를 추천해야합니까?

 

 

선택지

A. Amazon EC2 인스턴스를 시작하여 HTTPS 엔드포인트 역할을 하고 메시지를 처리합니다. 결과를 Amazon S3 버킷에 저장하도록 EC2 인스턴스를 구성합니다.

B. Amazon API Gateway에서 HTTPS 엔드포인트를 생성합니다. AWS Lambda 함수를 호출하여 메시지를 처리하고 결과를 Amazon DynamoDB 테이블에 저장하도록 API Gateway 엔드포인트를 구성합니다.

C. Amazon Route 53을 사용하여 들어오는 센서 메시지를 AWS Lambda함수로 보냅니다. 메시지를 처리하고 Amazon DynamoDB 테이블에 저장하도록 Lambda 함수를 구성합니다.

D. Amazon S3용 게이트웨이 VPC 엔드포인트를 생성합니다. 센서 데이터가 VPC 엔드포인트를 통해 S3 버킷에 직접 기록될 수 있도록 사설 네트워크에서 VPC로의 Site-to-Site VPN 연결을 구성합니다.

 

▼ 단어 뜻 확인하기

HTTPS

→ 웹사이트와 사용자 사이의 데이터를 암호화하여 안전하게 주고받는 통신 방식

 

DynamoDB

→ 빠르고 유연한 NoSQL 데이터베이스 서비스

 

API Gateway

→ 개발자가 쉽게 API를 생성, 관리, 모니터링할 수 있게 해주는 완전관리형 서비스

 

Route 53

→ 사용자를 웹사이트로 연결해주는 AWS의 DNS(도메인 이름 시스템) 웹 서비스

 

S3

→ 인터넷상에서 데이터를 저장하고 검색할 수 있는 객체 스토리지 서비스

 

EC2

→ 클라우드에서 가상 서버를 생성하고 운영할 수 있는 서비스

 

엔드포인트

→ 네트워크나 통신 채널의 끝 지점으로, 서비스에 접근할 수 있는 URL이나 네트워크 주소

---

풀이

API Gateway와 Lambda를 사용해 높은 가용성의 서버리스 아키텍처를 구현할 수 있기 때문입니다. HTTPS 엔드포인트로 안전하게 메시지를 수신하고, Lambda로 처리한 후 DynamoDB에 저장하여 보안 팀의 효율적인 분석을 가능하게 합니다. 이 구성은 확장성과 관리 용이성도 제공합니다.

정답 : B

 

▼ 자세한 문제 풀이 확인하기

1.  문제의 요구사항 분석하기

• HTTPS를 통해 전송되는 배지 판독기 메시지 처리
• 높은 가용성 확보
• 보안 팀의 분석을 위한 결과 제공 및 저장

2. 관련 AWS 서비스 생각하기

 

• HTTPS를 통해 전송되는 배지 판독기 메시지 처리
  • Amazon API Gateway: 안전한 HTTPS 엔드포인트를 제공하여 배지 판독기로부터 메시지를 수신합니다. SSL/TLS 암호화를 자동으로 관리하여 데이터 전송 보안을 보장합니다.
  • AWS Lambda: API Gateway와 통합되어 수신된 메시지를 실시간으로 처리합니다. 각 접근 시도를 로깅하고 필요한 분석을 수행할 수 있습니다

• 높은 가용성 확보
  • Amazon API Gateway: 여러 가용 영역에 자동으로 배포되어 고가용성을 제공합니다.
  • AWS Lambda: 여러 가용 영역에서 자동으로 실행되어 단일 장애 지점을 방지합니다.
  • Amazon DynamoDB: 완전관리형 NoSQL 데이터베이스로, 접근 로그를 저장하고 여러 리전에 걸쳐 자동으로 복제하여 고가용성을 보장합니다.

• 보안 팀의 분석을 위한 결과 제공 및 저장
  • Amazon S3: 처리된 접근 로그와 분석 결과를 장기 보관할 수 있는 내구성 있는 객체 스토리지입니다.
  • Amazon Athena: S3에 저장된 로그 데이터를 SQL을 사용하여 직접 쿼리할 수 있어, 보안 팀이 필요한 분석을 수행할 수 있습니다.
  • Amazon QuickSight: 저장된 데이터를 시각화하여 보안 팀에게 접근 패턴, 이상 징후 등의 인사이트를 제공할 수 있는 BI 도구입니다.

3. 선택지 분석하기

A. Amazon EC2 인스턴스를 시작하여 HTTPS 엔드포인트 역할을 하고 메시지를 처리합니다. 결과를 Amazon S3 버킷에 저장하도록 EC2 인스턴스를 구성합니다.

→ 수동 관리가 필요하고 고가용성 보장을 위해 추가 구성이 필요하여 운영 부담이 큼.

 

B. Amazon API Gateway에서 HTTPS 엔드포인트를 생성합니다. AWS Lambda 함수를 호출하여 메시지를 처리하고 결과를 Amazon DynamoDB 테이블에 저장하도록 API Gateway 엔드포인트를 구성합니다.

→ 완전 관리형 서비스 조합으로 고가용성, 확장성, 낮은 운영 부담을 제공하며 요구사항을 모두 충족함.

 

C. Amazon Route 53을 사용하여 들어오는 센서 메시지를 AWS Lambda함수로 보냅니다. 메시지를 처리하고 Amazon DynamoDB 테이블에 저장하도록 Lambda 함수를 구성합니다.

→ Route 53은 DNS 서비스로 HTTPS 요청을 직접 처리하는 데 적합하지 않아 요구사항을 충족하지 못함.

 

D. Amazon S3용 게이트웨이 VPC 엔드포인트를 생성합니다. 센서 데이터가 VPC 엔드포인트를 통해 S3 버킷에 직접 기록될 수 있도록 사설 네트워크에서 VPC로의 Site-to-Site VPN 연결을 구성합니다.

→ HTTPS 엔드포인트를 제공하지 않고 S3는 실시간 처리에 부적합하며 불필요한 복잡성을 추가함.

 

 

두번째 문제입니다.

---

문제2.

Amazon EC2 인스턴스에서 호스팅되는 애플리케이션은 Amazon S3 버킷에 엑세스해야 합니다. 트래픽이 인터넷을 통과하면 안됩니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 엑세스를 어떻게 구성해야 합니까?

 

선택지

A. Amazon Route 53을 사용하여 프라이빗 호스팅 영역을 생성합니다.

B. VPC에서 Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 설정합니다.

C. NAT 게이트웨이를 사용하여 S3 버킷에 엑세스하도록 EC2 인스턴스를 구성합니다.

D. VPC와 S3 버킷 간에 AWS Site-to-Site VPN 연결을 설정합니다.

 

▼ 단어 뜻 확인하기

NAT 게이트웨이

→ 프라이빗 서브넷의 리소스가 인터넷이나 다른 AWS 서비스에 안전하게 접속할 수 있도록 해주는 관리형 서비스

 

AWS Site-to-Site VPN

→ 회사의 네트워크와 AWS 클라우드 사이에 안전한 암호화 통신 터널을 만들어주는 서비스

---

풀이

게이트웨이 VPC 엔드포인트를 사용하면 VPC 내부에서 S3에 직접 연결할 수 있어, 인터넷을 통과하지 않고 안전하게 S3에 접근할 수 있기 때문입니다.

정답 : B

 

▼ 자세한 문제 풀이 확인하기

1.  문제의 요구사항 분석하기

• EC2 인스턴스에서 S3 버킷에 접근해야 함
• 트래픽이 인터넷을 통과하지 않아야 함

2. 관련 AWS 서비스 생각하기

• EC2 인스턴스에서 S3 버킷에 접근해야 함
  • Amazon EC2: 클라우드에서 안전하고 크기 조정이 가능한 컴퓨팅 용량을 제공하는 웹 서비스입니다.
  • Amazon S3: 안전하고 내구성이 뛰어난 확장 가능한 객체 스토리지 서비스입니다.

• 트래픽이 인터넷을 통과하지 않아야 함
  • VPC 엔드포인트: VPC와 지원되는 AWS 서비스 간에 프라이빗 연결을 제공합니다. 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결 없이도 VPC의 인스턴스가 AWS 서비스와 통신할 수 있습니다.
  • 게이트웨이 VPC 엔드포인트: S3와 같은 서비스에 대해 특별히 설계된 VPC 엔드포인트 유형으로, 라우팅 테이블을 사용하여 트래픽을 제어합니다.

3. 선택지 분석하기

A. Amazon Route 53을 사용하여 프라이빗 호스팅 영역을 생성합니다.

→ Route 53의 프라이빗 호스팅 영역은 VPC 내부의 DNS 확인에만 사용되며, S3에 대한 private 액세스를 제공하지 않아 트래픽이 인터넷을 통과하는 것을 막지 못합니다.

 

B. VPC에서 Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 설정합니다.

→ 게이트웨이 VPC 엔드포인트를 사용하면 EC2 인스턴스에서 S3로의 트래픽이 AWS 네트워크 내에서만 라우팅되어 인터넷을 통과하지 않으므로 모든 요구사항을 충족합니다.

 

C. NAT 게이트웨이를 사용하여 S3 버킷에 엑세스하도록 EC2 인스턴스를 구성합니다.

→ NAT 게이트웨이를 사용하면 트래픽이 인터넷을 통과하게 되어 문제의 요구사항을 충족시키지 못합니다.

 

D. VPC와 S3 버킷 간에 AWS Site-to-Site VPN 연결을 설정합니다.

→ S3는 VPN 엔드포인트를 지원하지 않으며, 이 방법으로는 트래픽이 인터넷을 통과하지 않도록 보장할 수 없습니다.

 

 

세번째 문제입니다.

---

문제3.

회사는 ap-southeast-3 리전의 Amazon Aurora PostgreSQL 데이터베이스에 기밀 데이터를 저장합니다. 데이터베이스는 AWS Key Management Service(AWS KMS) 고객 관리형 키로 암호화합니다. 이 회사는 최근에 인수되었으며 ap-southeast-3에서 인수 회사의 AWS 계정과 데이터베이스 백업을 안전하게 공유해야 합니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야합니까?

 

선택지

A. 데이터베이스 스냅샷을 생성합니다. 스냅샷을 암호화되지 않은 새 스냅샷에 복사합니다. 인수 회사의 AWS 계정과 새 스냅샷을 공유합니다.

B. 데이터베이스 스냅샷을 생성합니다. 인수 회사의 AWS 계정을 KMS 키 정책에 추가합니다. 인수 회사의 AWS 계정과 스냅샷을 공유합니다.

C. 다른 AWS 관리형 KMS 키를 사용하는 데이터베이스 스냅샷을 생성합니다. 인수 회사의 AWS 계정을 KMS 키 별칭에 추가합니다. 인수 회사의 AWS 계정과 스냅샷을 공유합니다.

D. 데이터베이스 스냅샷을 생성합니다. 데이터베이스 스냅샷을 다운로드합니다. Amazon S3 버킷에 데이터베이스 스냅샷을 업로드합니다. 인수 회사의 AWS 계정에서 엑세스를 허용하도록 S3 버킷 정책을 업데이트합니다.

 

 

▼ 단어 뜻 확인하기

Amazon Aurora PostgreSQL

→ AWS에서 제공하는 고성능 관계형 데이터베이스로, PostgreSQL과 호환되며 클라우드에 최적화된 서비스

 

관계형 데이터베이스

→ 데이터를 여러 개의 연결된 표(테이블)로 구조화하여 저장하고 관리하는 시스템으로, 효율적인 데이터 검색과 관리

 

AWS KMS

→ 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 만들고 관리할 수 있게 해주는 서비스

 

스냅샷

→ 특정 시점의 데이터베이스 또는 스토리지 볼륨의 전체 복사본으로, 백업이나 데이터 복구에 사용

---

풀이

고객 관리형 KMS 키로 암호화된 스냅샷을 안전하게 공유하기 위해서는, 대상 AWS 계정(여기서는 인수 회사)에 해당 KMS 키에 대한 접근 권한을 부여해야 하기 때문입니다. 이는 KMS 키 정책에 대상 계정을 추가함으로써 달성할 수 있습니다.

정답 : B

 

▼ 자세한 문제 풀이 확인하기

1.  문제의 요구사항 분석하기

• Amazon Aurora PostgreSQL 데이터베이스에 저장된 기밀 데이터의 보안 유지
• AWS KMS 고객 관리형 키로 암호화된 데이터베이스 백업
• 인수 회사의 AWS 계정과 데이터베이스 백업을 안전하게 공유
• ap-southeast-3 리전 내에서의 데이터 공유

 

2. 관련 AWS 서비스 생각하기

• Amazon Aurora PostgreSQL 데이터베이스에 저장된 기밀 데이터의 보안 유지
  • Amazon Aurora PostgreSQL: 고성능 관계형 데이터베이스 엔진으로, 기본적으로 암호화 기능을 제공하여 저장 중인 데이터의 보안을 강화합니다. Aurora는 데이터베이스 인스턴스와 스냅샷, 클러스터 볼륨을 암호화하여 저장 데이터를 보호합니다.

• AWS KMS 고객 관리형 키로 암호화된 데이터베이스 백업
  • AWS Key Management Service (KMS): 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 생성하고 제어할 수 있게 해주는 관리형 서비스입니다. Aurora PostgreSQL 데이터베이스와 그 백업을 암호화하는 데 사용되는 고객 관리형 키를 생성하고 관리합니다.

• 인수 회사의 AWS 계정과 데이터베이스 백업을 안전하게 공유
  • Amazon RDS: 관계형 데이터베이스를 쉽게 설정, 운영 및 확장할 수 있게 해주는 관리형 서비스입니다. RDS는 암호화된 스냅샷을 다른 AWS 계정과 공유할 수 있는 기능을 제공합니다. 이를 통해 인수 회사의 AWS 계정과 데이터베이스 백업을 안전하게 공유할 수 있습니다.
  • AWS Identity and Access Management (IAM): AWS 리소스에 대한 액세스를 안전하게 제어할 수 있게 해주는 서비스입니다. IAM 역할과 정책을 사용하여 인수 회사의 AWS 계정에 필요한 최소한의 권한만 부여하여 데이터베이스 백업에 안전하게 액세스할 수 있도록 할 수 있습니다.

• ap-southeast-3 리전 내에서의 데이터 공유
  • Amazon Aurora Global Database: 여러 AWS 리전에 걸쳐 단일 Aurora 데이터베이스를 확장할 수 있게 해주는 기능입니다. 하지만 이 경우에는 같은 리전 내에서 데이터를 공유해야 하므로, 대신 RDS의 스냅샷 공유 기능을 사용하여 ap-southeast-3 리전 내에서 데이터를 안전하게 공유할 수 있습니다.

 

 

3. 선택지 분석하기

A. 데이터베이스 스냅샷을 생성합니다. 스냅샷을 암호화되지 않은 새 스냅샷에 복사합니다. 인수 회사의 AWS 계정과 새 스냅샷을 공유합니다.

→ 암호화되지 않은 스냅샷을 공유하는 것은 기밀 데이터의 보안을 위험에 빠뜨리므로 요구사항을 충족하지 못합니다.

 

B. 데이터베이스 스냅샷을 생성합니다. 인수 회사의 AWS 계정을 KMS 키 정책에 추가합니다. 인수 회사의 AWS 계정과 스냅샷을 공유합니다.

→ KMS 키 정책에 인수 회사의 AWS 계정을 추가하고 암호화된 스냅샷을 공유하는 것은 안전하게 데이터를 공유할 수 있는 방법으로, 모든 요구사항을 충족합니다.

 

C. 다른 AWS 관리형 KMS 키를 사용하는 데이터베이스 스냅샷을 생성합니다. 인수 회사의 AWS 계정을 KMS 키 별칭에 추가합니다. 인수 회사의 AWS 계정과 스냅샷을 공유합니다.

→ AWS 관리형 KMS 키를 사용하는 것은 고객 관리형 키를 사용해야 한다는 요구사항에 부합하지 않으며, KMS 키 별칭에 계정을 추가하는 것은 올바른 접근 방식이 아닙니다.

 

D.

데이터베이스 스냅샷을 생성합니다. 데이터베이스 스냅샷을 다운로드합니다. Amazon S3 버킷에 데이터베이스 스냅샷을 업로드합니다. 인수 회사의 AWS 계정에서 엑세스를 허용하도록 S3 버킷 정책을 업데이트합니다.

→ 스냅샷을 다운로드하고 S3에 업로드하는 과정은 불필요하게 복잡하고 시간이 소요되며, 데이터가 일시적으로 암호화되지 않은 상태로 노출될 위험이 있어 보안 요구사항을 충족하지 못합니다.

 

 

여러분, 정말 수고하셨습니다! 👏

"백지장도 맞들면 낫다"라는 속담이 있죠.

오늘 이 글을 읽으신 여러분은 이미 함께 배우고 성장하는 여정에 동참하셨습니다.

서로 도우며 꾸준히 노력한다면, 언젠가 우리 모두가 이 분야의 전문가로 성장해 있을 거예요!!!

여러분의 협력 정신과 열정을 응원합니다!💞