AWS SAA 합격으로 가는 길 #19

안녕하세요! 넥스트클라우드의 SA 백종훈입니다. 😊

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼께요!

---

문제1

회사는 VPC에서 공용 3계층 웹 애플리케이션을 실행합니다. 애플리케이션은 여러 가용 영역의 Amazon EC2 인스턴스에서 실행됩니다. 프라이빗 서브넷에서 실행되는 EC2 인스턴스는 인터넷을 통해 라이선스 서버와 통신해야 합니다. 회사는 운영 유지 보수를 최소화하는 관리형 솔루션이 필요합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

선택지

A.퍼블릭 서브넷에서 NAT 인스턴스를 프로비저닝합니다. NAT 인스턴스를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

B.프라이빗 서브넷에서 NAT 인스턴스를 프로비저닝합니다. NAT 인스턴스를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

C.퍼블릭 서브넷에서 NAT 게이트웨이를 프로비저닝합니다. NAT 게이트웨이를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

D.프라이빗 서브넷에서 NAT 게이트웨이를 프로비저닝합니다. NAT 게이트웨이를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

---

풀이

NAT 게이트웨이는 관리형 서비스로 운영 유지 보수가 최소화되며, 퍼블릭 서브넷에 위치해야 인터넷과 통신할 수 있습니다.

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 공용 3계층 웹 애플리케이션을 VPC에서 실행
• 프라이빗 서브넷의 EC2 인스턴스가 인터넷을 통해 라이선스 서버와 통신 필요
• 운영 유지 보수를 최소화하는 관리형 솔루션 필요

2. 관련 AWS 서비스 생각하기

 

• 프라이빗 서브넷에서 인터넷 접근
  • NAT 게이트웨이: 완전 관리형 서비스로, 프라이빗 서브넷의 인스턴스가 인터넷에 접근할 수 있게 해줍니다. 고가용성을 제공하며 운영 유지 보수가 최소화됩니다.
  • NAT 인스턴스: EC2 인스턴스 기반의 NAT 솔루션으로, 더 많은 제어가 가능하지만 관리가 필요합니다.
• 네트워크 구성
  • Amazon VPC: 사용자 정의 가상 네트워크를 생성하여 AWS 리소스를 실행할 수 있습니다. 퍼블릭 및 프라이빗 서브넷을 구성할 수 있어 3계층 아키텍처 구현이 가능합니다.
  • 라우팅 테이블: VPC 내 네트워크 트래픽을 제어합니다. NAT 게이트웨이나 인스턴스로 트래픽을 라우팅하도록 구성할 수 있습니다.
• 운영 유지 보수 최소화
  • 관리형 서비스: AWS에서 관리하는 서비스를 사용하면 운영 유지 보수를 최소화할 수 있습니다. NAT 게이트웨이가 이에 해당합니다.
• 고가용성
  • 다중 가용 영역 구성: 여러 가용 영역에 리소스를 배포하여 고가용성을 확보할 수 있습니다. NAT 게이트웨이는 각 가용 영역에 별도로 구성하여 가용성을 높일 수 있습니다.

 

3. 선택지 분석하기

A. 퍼블릭 서브넷에서 NAT 인스턴스를 프로비저닝합니다. NAT 인스턴스를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

→ NAT 인스턴스는 관리가 필요하며, 운영 유지 보수를 최소화하는 요구사항에 부합하지 않습니다.

B. 프라이빗 서브넷에서 NAT 인스턴스를 프로비저닝합니다. NAT 인스턴스를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

→ NAT 인스턴스가 프라이빗 서브넷에 있으면 인터넷과 통신할 수 없어 요구사항을 충족하지 못합니다.

C. 퍼블릭 서브넷에서 NAT 게이트웨이를 프로비저닝합니다. NAT 게이트웨이를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

→ NAT 게이트웨이는 AWS에서 관리하는 서비스로, 운영 유지 보수를 최소화할 수 있습니다. 퍼블릭 서브넷에 위치하여 인터넷 통신이 가능합니다.

D. 프라이빗 서브넷에서 NAT 게이트웨이를 프로비저닝합니다. NAT 게이트웨이를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

→ NAT 게이트웨이가 프라이빗 서브넷에 있으면 인터넷과 통신할 수 없어 요구사항을 충족하지 못합니다.

 

이어서 다음 문제입니다.

---

문제2

솔루션 설계자는 Amazon S3 버킷에 업로드된 모든 객체가 암호화되도록 하려면 어떻게 해야 합니까?

 

선택지

A. PutObject에 s3:x-amz-acl 헤더 세트가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

B. PutObject에 프라이빗으로 설정된 s3:x-amz-acl 헤더가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

C. PutObject에 true로 설정된 aws:SecureTransport 헤더가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

D. PutObject에 x-amz-server-side-encryption 헤더 세트가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

---

풀이

x-amz-server-side-encryption 헤더는 S3에 업로드되는 객체의 서버 측 암호화를 요청하는 데 사용됩니다. 이 헤더가 없는 PutObject 요청을 거부하도록 버킷 정책을 설정하면, 모든 업로드되는 객체가 암호화되도록 강제할 수 있습니다.

 

정답 : D

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• Amazon S3 버킷에 업로드되는 모든 객체가 암호화되어야 함
• 암호화를 강제하는 방법이 필요함

2. 관련 AWS 서비스 생각하기

• Amazon S3 (Simple Storage Service)
  • 객체 스토리지 서비스로, 데이터를 "버킷"에 저장합니다.
  • 서버 측 암호화 (SSE) 기능을 제공하여 저장 데이터를 암호화할 수 있습니다.
• S3 버킷 정책
  • JSON 기반의 정책으로, S3 버킷에 대한 액세스를 제어합니다.
  • 특정 조건을 만족하지 않는 요청을 거부하도록 구성할 수 있습니다.
• S3 암호화 관련 헤더
  • x-amz-server-side-encryption: 서버 측 암호화를 요청하는 헤더입니다.
  • s3:x-amz-acl: 객체의 액세스 제어 목록(ACL)을 설정하는 헤더입니다.
  • aws:SecureTransport: HTTPS를 통한 보안 연결을 요구하는 조건 키입니다.

3. 선택지 분석하기

A. PutObject에 s3:x-amz-acl 헤더 세트가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

→ s3:x-amz-acl 헤더는 객체의 ACL을 설정하는 것으로, 암호화와 직접적인 관련이 없습니다. 이 옵션은 요구사항을 충족하지 않습니다.

B. PutObject에 프라이빗으로 설정된 s3:x-amz-acl 헤더가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

→ 이 옵션도 ACL 설정에 관한 것으로, 객체 암호화를 보장하지 않습니다. 요구사항을 충족하지 않습니다.

C. PutObject에 true로 설정된 aws:SecureTransport 헤더가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

→ aws:SecureTransport는 HTTPS 사용을 강제하는 것으로, 전송 중 암호화는 보장하지만 저장 데이터의 암호화를 보장하지는 않습니다. 요구사항을 완전히 충족하지 않습니다.

D. PutObject에 x-amz-server-side-encryption 헤더 세트가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

→ x-amz-server-side-encryption 헤더는 서버 측 암호화를 요청하는 것으로, 이 헤더가 없는 요청을 거부하면 모든 업로드되는 객체의 암호화를 강제할 수 있습니다. 이 옵션이 요구사항을 가장 잘 충족합니다.

 

 

 

마지막 문제 살펴볼게요.

---

문제3

회사는 PostgreSQL DB 인스턴스용 Amazon RDS를 사용하여 웹 서버 플릿을 실행합니다. 일상적인 규정 준수 검사 후 회사는 모든 프로덕션 데이터베이스에 대해 1초 미만의 복구 지점 목표(RPO)를 요구하는 표준을 설정합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

 

 

선택지

A. DB 인스턴스에 대해 다중 AZ 배포를 활성화합니다.

B. 하나의 가용 영역에서 DB 인스턴스에 대해 Auto Scaling을 활성화합니다.

C. 하나의 가용 영역에서 DB 인스턴스를 구성하고 별도의 가용 영역에서 여러 읽기 전용 복제본을 생성합니다.

D. 하나의 가용 영역에서 DB 인스턴스를 구성하고 AWS DMS(AWS Database Migration Service) 변경 데이터 캡처(CDC) 작업을 구성합니다.

 

풀이

다중 AZ 배포는 동기식 복제를 사용하여 프라이머리 DB 인스턴스의 변경 사항을 실시간으로 스탠바이 인스턴스에 복제합니다. 이를 통해 1초 미만의 RPO를 달성할 수 있어, 문제의 규정 준수 요구사항을 충족합니다.

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• PostgreSQL DB 인스턴스용 Amazon RDS 사용
• 모든 프로덕션 데이터베이스에 대해 1초 미만의 복구 지점 목표(RPO) 필요
• 규정 준수 요구사항 충족 필요

2. 관련 AWS 서비스

• Amazon RDS (Relational Database Service)
  • 관리형 관계형 데이터베이스 서비스로, PostgreSQL을 지원합니다.
  • 다중 AZ 배포, 읽기 전용 복제본 등 고가용성 및 재해 복구 기능을 제공합니다.
• 다중 AZ 배포
  • 동기식 복제를 사용하여 두 번째 가용 영역에 스탠바이 인스턴스를 유지합니다.
  • 거의 실시간으로 데이터를 복제하여 매우 낮은 RPO를 제공합니다.
• 읽기 전용 복제본
  • 비동기식 복제를 사용하여 읽기 성능을 향상시킵니다.
  • RPO가 다중 AZ 배포보다 높을 수 있습니다.

3. 선택지 분석하기

A. DB 인스턴스에 대해 다중 AZ 배포를 활성화합니다.

→ 다중 AZ 배포는 동기식 복제를 사용하여 1초 미만의 RPO를 제공할 수 있습니다. 이 옵션이 요구사항을 가장 잘 충족합니다.

B. 하나의 가용 영역에서 DB 인스턴스에 대해 Auto Scaling을 활성화합니다.

→ Auto Scaling은 성능 확장에 도움이 되지만, 데이터 복제나 RPO 개선과는 직접적인 관련이 없습니다. 요구사항을 충족하지 않습니다.

C. 하나의 가용 영역에서 DB 인스턴스를 구성하고 별도의 가용 영역에서 여러 읽기 전용 복제본을 생성합니다.

→ 읽기 전용 복제본은 비동기식 복제를 사용하므로 1초 미만의 RPO를 보장하기 어렵습니다. 요구사항을 완전히 충족하지 않습니다.

D. 하나의 가용 영역에서 DB 인스턴스를 구성하고 AWS DMS(AWS Database Migration Service) 변경 데이터 캡처(CDC) 작업을 구성합니다.

→ DMS CDC는 지속적인 복제를 제공하지만, 일반적으로 1초 미만의 RPO를 보장하기 어렵습니다. 요구사항을 완전히 충족하지 않습니다.

 

 

최근 "블로그 글을 잘 읽었습니다" 혹은 "잘 보고 있습니다"라는 말씀 하나하나가 저에게 큰 힘이 되었습니다.

더욱 세심하게 문제를 다루고, 더 흥미로운 내용으로 글을 채워 나가겠습니다.

여러분의 목표 달성을 위해 저 역시 최선을 다해 도움을 드리겠습니다.

궁금한 점이나 도움이 필요한 부분이 있다면 언제든지 연락 주시기 바랍니다.

함께 노력하고 성장하는 이 여정에 동참해 주셔서 감사합니다.