AWS SAA 합격으로 가는 길 #31

안녕하세요! 넥스트클라우드에서 SA로 활동 중인 강준우입니다!!

오늘도 실제 AWS SAA 기출문제를 함께 풀어보면서, AWS 서비스들의 특징과 활용 방안에 대해 알아보도록 하겠습니다.

문제는 세 가지 단계를 거치며 풀어보겠습니다!!

1. 문제의 요구사항 분석하기
2. 관련 AWS 서비스 생각하기
3. 선택지 분석하기

바로 시작하겠습니다!

문제1

한 제약회사에서 신약을 개발하고 있습니다. 지난 몇 달 동안 회사에서 생성되는 데이터의 양이 기하급수적으로 증가했습니다. 회사의 연구원들은 최소한의 지연으로 즉시 사용할 수 있도록 전체 데이터 세트의 하위 집합을 정기적으로 요구합니다. 그러나 전체 데이터 세트에 매일 액세스할 필요는 없습니다. 현재 모든 데이터는 온프레미스 스토리지 어레이에 상주하고 있으며 회사는 지속적인 자본 비용을 줄이고 싶어합니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 스토리지 솔루션을 권장해야 합니까?

A. AWS DataSync를 예약된 cron 작업으로 실행하여 지속적으로 데이터를 Amazon S3 버킷으로 마이그레이션합니다.

B. Amazon S3 버킷을 대상 스토리지로 사용하여 AWS Storage Gateway 파일 게이트웨이를 배포합니다. 데이터를 Storage Gateway 어플라이언스로 마이그레이션합니다.

C. Amazon S3 버킷을 대상 스토리지로 사용하여 캐시된 볼륨이 있는 AWS Storage Gateway 볼륨 게이트웨이를 배포합니다. 데이터를 Storage Gateway 어플라이언스로 마이그레 이션합니다.

D. 온프레미스 환경에서 AWS로 AWS Site-to-Site VPN 연결을 구성합니다. Amazon Elastic File System(Amazon EFS) 파일 시스템으로 데이터를 마이그레이션합니다.

풀이

하이브리드 스토리지 아키텍처 설계 문제로, 자주 액세스하는 데이터는 빠르게 접근할 수 있으면서도 전체 데이터 세트는 비용 효율적으로 저장해야 하는 요구사항을 가지고 있습니다.

Storage Gateway의 볼륨 게이트웨이를 캐시된 볼륨 모드로 구성하면, 자주 액세스하는 데이터는 로컬 캐시에 유지하여 빠른 접근이 가능하고, 전체 데이터는 S3에 저장하여 비용을 절감할 수 있습니다.

캐시된 볼륨 모드는 전체 데이터 세트를 클라우드에 저장하면서도 자주 사용하는 데이터에 대한 로컬 액세스를 제공하여, 성능과 비용 효율성을 모두 만족시킬 수 있습니다.

정답 : C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1. 문제의 요구사항 분석하기
- 빠른 데이터 접근성 필요
- 전체 데이터 세트의 일부만 정기적 접근
- 자본 비용 절감 필요
- 온프레미스에서 클라우드로 전환
- 최소한의 지연시간 요구

2. 관련 AWS 서비스 생각하기
AWS Storage Gateway는 온프레미스 환경과 AWS 클라우드 스토리지를 연결하는 하이브리드 스토리지 서비스입니다. 볼륨 게이트웨이의 캐시된 볼륨 모드는 자주 접근하는 데이터를 로컬에 캐시하면서 전체 데이터는 클라우드에 저장할 수 있게 해줍니다.

3. 선택지 분석하기
A. AWS DataSync 사용
→ 데이터 마이그레이션 도구로, 실시간 액세스 요구사항을 충족하지 못합니다.

B. 파일 게이트웨이 사용
→ 파일 액세스에는 적합하나 캐싱 기능이 제한적입니다.

C. 캐시된 볼륨 게이트웨이 사용
→ 자주 사용하는 데이터의 로컬 캐싱과 클라우드 스토리지를 효율적으로 결합합니다.

D. EFS와 VPN 사용
→ 지연 시간이 증가할 수 있으며, 하이브리드 환경에 최적화되지 않았습니다.

---

 

문제2

회사에는 회사 데이터 센터에서 us-east-1 지역의 VPC까지 AWS Direct Connect 연결이 있습니다. 이 회사는 최근 온프레미스 데이터 센터와 eu-west-2 지역 간에 여러 개의 VPC와 Direct Connect 연결을 갖춘 회사를 인수했습니다. 회사와 회사의 VPC에 대한 CIDR 블록은 중복되지 않습니다. 회사에서는 두 지역과 데이터 센터 간의 연결이 필요합니다. 회사에는 운영 오버헤드를 줄이면서 확장 가능한 솔루션이 필요합니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

A. us-east-1의 VPC와 eu-west-2의 VPC 간에 리전 간 VPC 피어링을 설정합니다.

B. us-east-1의 Direct Connect 연결에서 eu-west-2의 VPC로 프라이빗 가상 인터페이스를 생성합니다.

C. Amazon EC2에서 호스팅하는 완전히 메시된 VPN 네트워크에 VPN 어플라이언스를 설정합니다. AWS VPN CloudHub를 사용하여 데이터 센터와 각 VPC 간에 데이터를 보내고 받습니다.

D. 기존 Direct Connect 연결을 Direct Connect 게이트웨이에 연결합니다. 각 리전에 있는 VPC의 가상 프라이빗 게이트웨이에서 Direct Connect 게이트웨이로 트래픽을 라우팅합니 다.

풀이

멀티 리전 네트워크 연결 아키텍처 설계 문제로, 여러 리전의 VPC와 온프레미스 데이터 센터를 효율적으로 연결하면서 운영 복잡성을 최소화해야 합니다.

Direct Connect 게이트웨이는 여러 리전의 VPC를 단일 Direct Connect 연결을 통해 온프레미스 네트워크와 연결할 수 있게 해줍니다. 이는 네트워크 구성을 단순화하고 운영 오버헤드를 줄여줍니다.

각 리전의 VPC를 Direct Connect 게이트웨이에 연결함으로써, 확장 가능하고 관리하기 쉬운 네트워크 아키텍처를 구축할 수 있습니다.

정답 : D

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

 

 

1. 문제의 요구사항 분석하기
- 멀티 리전 VPC 연결 필요
- 온프레미스 데이터 센터 연결
- 운영 오버헤드 최소화
- 확장 가능한 솔루션 필요
- CIDR 블록 중복 없음

2. 관련 AWS 서비스 생각하기
AWS Direct Connect 게이트웨이는 여러 리전의 VPC를 하나의 Direct Connect 연결을 통해 온프레미스 네트워크와 연결할 수 있게 해주는 서비스입니다. 중앙 집중식 관리와 확장성을 제공하여 복잡한 네트워크 구성을 단순화합니다.

3. 선택지 분석하기
A. VPC 피어링 사용
→ 리전 간 연결은 가능하지만 온프레미스 연결을 포함하지 않습니다.

B. 프라이빗 가상 인터페이스 생성
→ 리전 간 직접 연결이 불가능하며 확장성이 제한됩니다.

C. VPN CloudHub 사용
→ 운영 오버헤드가 증가하며 확장성이 제한적입니다.

D. Direct Connect 게이트웨이 사용
→ 중앙 집중식 관리와 확장성을 제공하며 운영 복잡성을 줄입니다.

---

문제3

소매 회사에는 여러 비즈니스가 있습니다. 각 비즈니스의 IT 팀은 자체 AWS 계정을 관리합니다. 각 팀 계정은 AWS Organizations에서 조직의 일부입니다. 각 팀은 팀 자체 AWS 계정의 Amazon DynamoDB 테이블에서 제품 재고 수준을 모니터링합니다.

회사는 공유 AWS 계정에 중앙 재고 보고 애플리케이션을 배포하고 있습니다. 애플리케이션은 모든 팀의 DynamoDB 테이블에서 항목을 읽을 수 있어야 합니다.

이러한 요구 사항을 가장 안전하게 충족하는 인증 옵션은 무엇입니까?

A. 인벤토리 애플리케이션 계정에서 DynamoDB를 AWS Secrets Manager와 통합합니다. Secrets Manager의 올바른 암호를 사용하여 DynamoDB 테이블을 인증하고 읽도록 애 플리케이션을 구성합니다. 30일마다 비밀 순환을 예약합니다.

B. 모든 비즈니스 계정에서 프로그래밍 방식 액세스 권한이 있는 IAM 사용자를 생성합니다. 올바른 IAM 사용자 액세스 키 ID와 보안 액세스 키를 사용하여 DynamoDB 테이블을 인증하 고 읽도록 애플리케이션을 구성합니다. 30일마다 IAM 액세스 키를 수동으로 교체합니다.

C. 모든 비즈니스 계정에서 DynamoDB 테이블에 대한 역할 액세스 권한을 부여하는 정책과 인벤토리 애플리케이션 계정의 특정 역할을 신뢰하는 신뢰 정책을 사용하여 BU_ROLE이라는 IAM 역할을 생성합니다. 인벤토리 계정에서 STS AssumeRole API 작업에 대한 액세스를 허용하는 APP_ROLE이라는 역할을 생성합니다. APP_ROLE을 사용하도록 애플리케이 션을 구성하고 DynamoDB 테이블을 읽기 위해 교차 계정 역할 BU_ROLE을 수임합니다.

D. DynamoDB를 AWS Certificate Manager(ACM)와 통합합니다. DynamoDB를 인증하기 위해 ID 인증서를 생성합니다. 올바른 인증서를 사용하여 DynamoDB 테이블을 인증 하고 읽도록 애플리케이션을 구성합니다.

풀이

다중 계정 환경에서의 보안 액세스 관리 문제로, 중앙 애플리케이션이 여러 계정의 DynamoDB 테이블에 안전하게 접근해야 합니다. 이를 위해서는 최소 권한 원칙을 준수하면서도 효율적인 인증 메커니즘이 필요합니다.

IAM 역할을 사용한 교차 계정 액세스는 보안성과 관리 효율성을 모두 제공합니다. 각 비즈니스 계정에서 필요한 권한만을 가진 역할을 생성하고, 중앙 애플리케이션이 이 역할을 수임하도록 구성함으로써 안전한 액세스가 가능합니다.

STS AssumeRole을 통한 임시 보안 자격 증명 사용은 보안을 강화하며, 자격 증명 관리의 운영 부담을 줄입니다.

정답 : C

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

 

 

1. 문제의 요구사항 분석하기
- 다중 계정 환경
- 중앙 집중식 데이터 접근 필요
- 보안성 중시
- AWS Organizations 사용
- 여러 DynamoDB 테이블 접근 필요

2. 관련 AWS 서비스 생각하기
AWS IAM의 교차 계정 역할과 AWS STS는 다중 계정 환경에서 안전한 리소스 접근을 가능하게 합니다. 역할 기반 액세스 제어를 통해 최소 권한 원칙을 준수하면서도 필요한 리소스에 대한 액세스를 제공할 수 있습니다.

3. 선택지 분석하기
A. Secrets Manager 사용
→ 데이터베이스 자격 증명 관리에는 적합하지만, 교차 계정 액세스 관리에는 최적이 아닙니다.

B. IAM 사용자 및 액세스 키 사용
→ 장기 자격 증명 사용으로 보안 위험이 증가하며, 관리 부담이 큽니다.

C. IAM 역할과 STS AssumeRole 사용
→ 임시 자격 증명과 최소 권한 원칙을 통해 안전한 액세스를 제공합니다.

D. ACM 인증서 사용
→ SSL/TLS 인증서 관리 서비스로, 리소스 액세스 제어에 적합하지 않습니다.

감사합니다. 주말 잘 보내시고, 다음 글에서 만나요!! 😊