안녕하세요! 넥스트클라우드의 SA 손유림입니다. 😊
문제는 세 가지 단계를 거치며 풀어 나갈 거예요.
1. 문제의 요구사항 분석하기
2. 관련 AWS 서비스 생각하기
3. 선택지 분석하기
바로 문제 풀이 해볼까요?
문제1
인프라에 대한 월별 유지 관리를 수행합니다. 이러한 유지 관리 활동 중에 회사는 여러 AWS 리전에서 AWS Amazon RDS for MySQL 데이터베이스에 대한 자격 증명을 교체해야 합니다. 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. 자격 증명을 AWS Secrets Manager에 비밀로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 비밀을 교체하도록 Secrets Manager를 구성합니다.
B. 보안 문자열 파라미터를 생성하여 Systems Manager에 자격 증명을 비밀로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 암호를 교체하도록 AWS Systems Manager를 구성합니다.
C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명을 저장합니다. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 AWS Lambda 함수를 호출하여 자격 증명을 교체합니다.
D. AWS Key Management Service(AWS KMS) 다중 리전 고객 관리 키를 사용하여 자격 증명을 비밀로 암호화합니다. Amazon DynamoDB 전역 테이블에 암호를 저장합니다. AWS Lambda 함수를 사용하여 DynamoDB에서 비밀을 검색합니다. RDS API를 사용하여 암호를 교체합니다.
풀이
AWS Secrets Manager를 사용하면 자격 증명을 안전하게 저장하고 자동으로 교체할 수 있습니다. 다중 리전 비밀 복제 기능을 통해 여러 리전에서 자격 증명을 관리할 수 있으며, 자동 교체 기능으로 운영 오버헤드를 최소화할 수 있습니다.
정답 : A
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 여러 AWS 리전에서 RDS for MySQL 데이터베이스의 자격 증명 교체
- 최소한의 운영 오버헤드로 솔루션 구현
2. 관련 AWS 서비스 생각하기
- AWS Secrets Manager는 자격 증명, API 키, 토큰 등의 보안 정보를 안전하게 저장, 관리, 검색할 수 있는 서비스입니다. 자동 교체 기능을 제공하여 정기적으로 보안 정보를 업데이트할 수 있습니다. 또한, 다중 리전 비밀 복제를 지원하여 여러 리전에서 동일한 보안 정보를 사용할 수 있습니다. AWS 서비스와의 통합이 용이하며, 특히 RDS와 긴밀하게 연동됩니다.
- AWS Systems Manager Parameter Store는 구성 데이터 관리 및 암호화된 문자열 파라미터를 저장할 수 있는 서비스입니다. 계층적 구조로 파라미터를 저장하고 관리할 수 있습니다. AWS KMS와 통합되어 암호화를 지원합니다.
- Amazon S3는 확장성, 데이터 가용성, 보안 및 성능을 제공하는 객체 스토리지 서비스입니다. 서버 측 암호화(SSE)를 지원하여 저장 데이터를 보호할 수 있습니다. 주로 대용량 데이터 저장에 사용됩니다.
- AWS KMS는 암호화 키를 생성, 관리 및 제어할 수 있는 관리형 서비스입니다. 다중 리전 키를 지원하여 여러 리전에서 동일한 키를 사용할 수 있습니다.
- Amazon DynamoDB는 완전관리형 NoSQL 데이터베이스 서비스입니다. 전역 테이블 기능을 통해 여러 리전에 데이터를 복제할 수 있습니다. 주로 애플리케이션 데이터 저장에 사용됩니다.
3. 선택지 분석하기
A. 자격 증명을 AWS Secrets Manager에 비밀로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 비밀을 교체하도록 Secrets Manager를 구성합니다.
B. 보안 문자열 파라미터를 생성하여 Systems Manager에 자격 증명을 비밀로 저장합니다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 암호를 교체하도록 AWS Systems Manager를 구성합니다.
→ Parameter Store는 구성 데이터와 암호를 저장할 수 있지만, 다중 리전 복제 기능이 없어 여러 리전 관리에 부적합합니다. 또한 자동 교체 기능이 제한적이어서 운영 오버헤드가 증가할 수 있습니다.
C. 서버 측 암호화(SSE)가 활성화된 Amazon S3 버킷에 자격 증명을 저장합니다. Amazon EventBridge(Amazon CloudWatch Events)를 사용하여 AWS Lambda 함수를 호출하여 자격 증명을 교체합니다.
→ S3는 대용량 데이터 저장에 적합하지만, 자격 증명 관리에는 최적화되어 있지 않습니다. Lambda를 통한 교체 로직 구현은 추가적인 개발과 관리가 필요하여 운영 오버헤드가 증가합니다. SSE는 저장 데이터 보호에는 효과적이지만, 자격 증명 관리 기능을 제공하지는 않습니다.
D. AWS Key Management Service(AWS KMS) 다중 리전 고객 관리 키를 사용하여 자격 증명을 비밀로 암호화합니다. Amazon DynamoDB 전역 테이블에 암호를 저장합니다. AWS Lambda 함수를 사용하여 DynamoDB에서 비밀을 검색합니다. RDS API를 사용하여 암호를 교체합니다.
→ 이 방식은 높은 보안성을 제공할 수 있지만, 여러 서비스를 조합하여 사용하므로 구성이 복잡합니다. Lambda를 통한 자격 증명 검색 및 교체 로직 구현은 추가적인 개발과 관리가 필요하여 운영 오버헤드가 크게 증가합니다. DynamoDB는 자격 증명 관리에 최적화되어 있지 않아 추가적인 보안 고려사항이 필요합니다.
이어서 다음 문제입니다.
문제2
온프레미스 데이터 센터를 AWS로 마이그레이션하려고 합니다.
데이터 센터는 NFS 기반 파일 시스템에 데이터를 저장하는 SFTP 서버를 호스팅합니다.
서버에는 전송해야 하는 200GB 의 데이터가 있습니다.
서버는 Amazon Elastic File System(Amazon EFS) 파일 시스템을 사용하는 Amazon EC2 인스턴스에서 호스팅 되어야 합니다.
이 작업을 자동화하기 위해 솔루션 설계자가 수행해야 하는 단계 조합은 무엇입니까? (두 가지를 선택하세요.)
선택지
A. EFS 파일 시스템과 동일한 가용 영역에서 EC2 인스턴스를 시작합니다.
B. 온프레미스 데이터 센터에 AWS DataSync 에이전트를 설치합니다.
C. 데이터를 위해 EC2 인스턴스에 보조 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성합니다.
D. 운영 체제 복사 명령을 수동으로 사용하여 데이터를 EC2 인스턴스로 푸시합니다.
E. AWS DataSync를 사용하여 온프레미스 SFTP서버에 적합한 위치 구성을 생성합니다.
풀이
AWS DataSync를 사용하면 온프레미스 데이터를 효율적으로 AWS로 전송할 수 있습니다. DataSync 에이전트를 설치하고 적절한 위치 구성을 생성함으로써 SFTP 서버의 데이터를 EFS로 자동으로 전송할 수 있습니다.
정답 : B, E
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 온프레미스 SFTP 서버의 데이터를 AWS로 마이그레이션
- NFS 기반 파일 시스템에서 Amazon EFS로 데이터 이동
- EC2 인스턴스에서 EFS 사용
- 자동화된 솔루션 필요
2. 관련 AWS 서비스 생각하기
- AWS DataSync는 온프레미스와 AWS 스토리지 서비스 간의 데이터 전송을 자동화하는 서비스로, NFS, SMB, HDFS 등 다양한 프로토콜을 지원합니다. 에이전트 기반으로 작동하며, 온프레미스에 설치된 에이전트가 데이터를 AWS로 안전하게 전송합니다. 대량의 데이터를 효율적으로 전송할 수 있어서 네트워크 사용량을 최적화합니다. EFS와 직접 통합되어 데이터를 EFS로 바로 전송할 수 있습니다.
- Amazon EC2 (Elastic Compute Cloud)는 클라우드에서 가상 서버를 제공하는 서비스입니다. 다양한 운영 체제와 구성을 지원하며, 필요에 따라 확장 가능합니다. EFS와 함께 사용하여 공유 파일 스토리지를 구현할 수 있습니다.
- Amazon EFS (Elastic File System)는 완전 관리형 파일 스토리지 서비스입니다. NFS 프로토콜을 지원하여 많은 EC2 인스턴스에서 동시에 액세스 할 수 있습니다. 자동으로 확장되므로 용량 관리가 필요 없고, 여러 가용 영역에 데이터를 복제하여 높은 가용성과 내구성을 제공합니다.
- Amazon EBS (Elastic Block Store)는 EC2 인스턴스용 영구 블록 스토리지 볼륨을 제공하는 서비스입니다. 높은 성능과 낮은 지연 시간을 제공하지만, 단일 EC2 인스턴스에만 연결할 수 있습니다. EFS와 달리 여러 인스턴스 간 공유가 어렵습니다.
3. 선택지 분석하기
A. EFS 파일 시스템과 동일한 가용 영역에서 EC2 인스턴스를 시작합니다.
→ EFS는 여러 가용 영역에서 액세스할 수 있으므로 특정 가용 영역에서 EC2를 시작할 필요가 없습니다. 또한 이 단계는 데이터 전송 자동화와 직접적인 관련이 없습니다.
B. 온프레미스 데이터 센터에 AWS DataSync 에이전트를 설치합니다.
C. 데이터를 위해 EC2 인스턴스에 보조 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성합니다.
→ EFS를 사용하므로 추가 EBS 볼륨이 필요하지 않습니다. EFS는 자체적으로 확장 가능한 스토리지를 제공하므로 이 단계는 불필요합니다.
D. 운영 체제 복사 명령을 수동으로 사용하여 데이터를 EC2 인스턴스로 푸시합니다.
→ 이 방법은 수동 작업을 필요로 하므로 자동화 요구사항에 부합하지 않습니다. 또한 대량의 데이터(200GB) 전송 시 시간이 많이 소요되고 오류가 발생할 가능성이 높습니다.
E. AWS DataSync를 사용하여 온프레미스 SFTP서버에 적합한 위치 구성을 생성합니다.
마지막 문제 살펴볼게요.
문제3
회사의의 컨테이너화된 애플리케이션이 Amazon EC2 인스턴스에서 실행됩니다.
애플리케이션은 다른 비즈니스 애플리케이션과 통신하기 전에 보안 인증서를 다운로드해야 합니다.
회사는 거의 실시간으로 인증서를 암호화하고 해독할 수 있는 매우 안전한 솔루션을 원합니다.
또한 솔루션은 데이터가 암호화된 후 고가용성 스토리지에 데이터를 저장해야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
선택지
A. 암호화된 인증서에 대한 AWS Secrets Manager 비밀을 생성합니다. 필요에 따라 인증서를 수동으로 업데이트합니다. 세분화된 IAM 액세스를 사용하여 데이터에 대한 액세스를 제어합니다.
B. Python 암호화 라이브러리를 사용하여 암호화 작업을 수신하고 수행하는 AWS Lambda 함수를 생성합니다. Amazon S3 버킷에 함수를 저장합니다.
C. AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. EC2 역할이 암호화 작업에 KMS 키를 사용하도록 허용합니다 암호화된 데이터를 Amazon S3에 저장합니다.
D. AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. EC2 역할이 암호화 작업에 KMS 키를 사용하도록 허용합니다. 암호화된 데이터를 Amazon Elastic Block Store(Amazon EBS) 볼륨에 저장합니다.
풀이
AWS KMS와 Amazon S3를 사용하는 방식이 가장 적합합니다. KMS는 실시간 암호화와 복호화를 제공하며, S3는 고가용성 스토리지를 제공합니다. EC2 역할을 통한 KMS 키 사용 허용은 보안을 강화하면서 운영 오버헤드를 최소화합니다. 이 조합은 보안성, 성능, 가용성 요구사항을 모두 충족하면서 운영 오버헤드를 최소화합니다.
정답 : C
▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.
1. 문제의 요구사항 분석하기
- 암호화 및 복호화 기능의 매우 안전한 솔루션
- 암호화된 데이터의 고가용성 스토리지 저장
- 최소한의 운영 오버헤드
2. 관련 AWS 서비스 생각하기
- AWS Key Management Service (KMS)는 암호화 키 생성, 관리 및 제어를 위한 관리형 서비스입니다. FIPS 140-2 검증된 하드웨어 보안 모듈을 사용하여 키를 보호합니다. 또한, 밀리초 단위의 지연 시간으로 거의 실시간 암호화 및 복호화를 제공합니다. AWS 서비스 및 애플리케이션과 통합이 용이해 IAM과 통합되어 세분화된 액세스 제어도 가능합니다.
- Amazon S3 (Simple Storage Service)는 높은 내구성과 가용성을 제공하는 객체 스토리지 서비스입니다. 99.9%의 내구성과 99.9%의 가용성을 제공하며 확장성이 뛰어나 대용량 데이터 저장에 적합합니다.서버 측 암호화를 지원하여 저장 데이터를 보호할 수 있고, 버전 관리, 액세스 로깅, 객체 잠금 등 다양한 보안 기능을 제공합니다.
- Amazon EBS (Elastic Block Store)는 EC2 인스턴스용 영구 블록 스토리지 볼륨을 제공하는 서비스입니다. 높은 성능과 낮은 지연 시간을 제공합니다. 단일 가용 영역에 제한되어 있어 고가용성 측면에서 S3보다 제한적입니다. 암호화를 지원하여 저장 데이터를 보호할 수 있습니다.
- AWS Secrets Manager는 보안 인증 정보를 안전하게 저장, 관리, 검색할 수 있는 서비스입니다. 자동 교체 기능을 제공하여 보안을 강화할 수 있습니다. 주로 데이터베이스 자격 증명, API 키 등의 관리에 사용됩니다.
- AWS Lambda는 서버리스 컴퓨팅 서비스로, 코드를 실행하고 관리할 수 있습니다. 이벤트 기반으로 트리거되어 필요할 때만 실행됩니다. 사용자 지정 로직을 구현하는 데 유용하지만, 복잡한 암호화 작업에는 제한이 있을 수 있습니다.
3. 선택지 분석하기
A. 암호화된 인증서에 대한 AWS Secrets Manager 비밀을 생성합니다. 필요에 따라 인증서를 수동으로 업데이트합니다. 세분화된 IAM 액세스를 사용하여 데이터에 대한 액세스를 제어합니다.
→ Secrets Manager는 보안 인증 정보 관리에 적합하지만, 실시간 암호화/복호화 기능이 제한적입니다. 수동 업데이트는 운영 오버헤드를 증가시킵니다. 고가용성 스토리지 요구사항을 직접적으로 충족하지 않습니다.
B. Python 암호화 라이브러리를 사용하여 암호화 작업을 수신하고 수행하는 AWS Lambda 함수를 생성합니다. Amazon S3 버킷에 함수를 저장합니다.
→ 커스텀 암호화 솔루션은 복잡성을 증가시키고 운영 오버헤드를 높입니다. Lambda의 실행 시간제한으로 인해 대량의 데이터 처리에 제한이 있을 수 있습니다. S3에 함수를 저장하는 것은 Lambda 배포 방식과 맞지 않습니다.
C. AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. EC2 역할이 암호화 작업에 KMS 키를 사용하도록 허용합니다 암호화된 데이터를 Amazon S3에 저장합니다.
D. AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. EC2 역할이 암호화 작업에 KMS 키를 사용하도록 허용합니다. 암호화된 데이터를 Amazon Elastic Block Store(Amazon EBS) 볼륨에 저장합니다.
→ KMS 사용은 적절하지만, EBS는 단일 가용 영역에 제한되어 고가용성 요구사항을 완전히 충족하지 못합니다. EBS는 EC2 인스턴스에 직접 연결되어야 하므로, 컨테이너화된 애플리케이션에서의 사용이 복잡할 수 있습니다.
감사합니다. 다음 글에서 만나요! 😊
'AWS > SAA 준비' 카테고리의 다른 글
| AWS SAA 합격으로 가는 길 #29 (1) | 2024.10.25 |
|---|---|
| AWS SAA 합격으로 가는 길 #28 (0) | 2024.10.21 |
| AWS SAA 합격으로 가는 길 #26 (0) | 2024.10.14 |
| AWS SAA 합격으로 가는 길 #25 (0) | 2024.10.11 |
| AWS SAA 합격으로 가는 길 #24 (0) | 2024.10.07 |