AWS SAA 합격으로 가는 길 #39

안녕하세요! 넥스트클라우드의 SA 백종훈입니다. 😊

 

문제는 세 가지 단계를 거치며 풀어 나갈 거예요.

1. 문제의 요구사항 분석하기

2. 관련 AWS 서비스 생각하기

3. 선택지 분석하기

 

바로 문제 풀이 해볼까요?

---

문제1

회사는 AWS Organizations를 사용하여 여러 부서의 여러 AWS 계정을 관리합니다.

마스터 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있습니다.

회사는 이 S3 버킷에 대한 액세스를 AWS Organizations의 조직 내 계정 사용자로만 제한하려고 합니다. 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

 

선택지

A. 조직 ID에 대한 참조와 함께 aws PrincipalOrgID 전역 조건 키를 S3 버킷 정책에 추가합니다.

B. 각 부서에 대한 조직 단위(OU)를 만듭니다. aws:PrincipalOrgPaths 전역 조건 키를 S3 버킷 정책에 추가합니다.

C. AWS CloudTrail을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization 및 RemoveAccountFromOrganization 이벤트를 모니터링합니다. 그에 따라 S3 버킷 정책을 업데이트합니다.

D. S3 버킷에 액세스해야 하는 각 사용자에게 태그를 지정합니다. aws:PrincipalTag 전역 조건 키를 S3 버킷 정책에 추가합니다.

---

풀이

aws PrincipalOrgID 전역 조건 키를 S3 버킷 정책에 추가하면 이 버킷에 대한 액세스를 AWS Organizations의 조직 내 계정 사용자로만 제한할 수 있습니다. 이 옵션은 요구사항을 충족하면서도 운영 오버헤드를 최소화할 수 있습니다.

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• AWS Organizations를 사용하여 여러 부서의 AWS 계정을 관리 
• 마스터 계정의 S3 버킷에 대한 액세스를 조직 내 계정 사용자로만 제한 
• 최소한의 운영 오버헤드

2. 관련 AWS 서비스 생각하기

• AWS Organizations: AWS 계정을 중앙에서 관리 및 제어할 수 있는 서비스입니다. 
• Amazon S3: 클라우드에서 안전하게 데이터를 저장할 수 있는 객체 스토리지 서비스입니다. 
• S3 버킷 정책: JSON 기반 정책으로 버킷에 대한 액세스를 제어할 수 있습니다. 
• 전역 조건 키: 리소스에 대한 액세스를 제한하기 위해 정책에서 사용할 수 있는 키입니다.

3. 선택지 분석하기

A. 조직 ID에 대한 참조와 함께 aws PrincipalOrgID 전역 조건 키를 S3 버킷 정책에 추가합니다.

→ PrincipalOrgID 조건 키를 사용하면 조직 내 계정 사용자에게만 액세스를 제한할 수 있습니다. 요구사항을 충족하면서도 운영 오버헤드가 최소화됩니다.

 

B. 각 부서에 대한 조직 단위(OU)를 만듭니다. aws:PrincipalOrgPaths 전역 조건 키를 S3 버킷 정책에 추가합니다.

→ OU 경로를 기반으로 액세스를 제한하는 방법이지만, OU 구조를 새로 만들어야 하므로 운영 오버헤드가 증가합니다.

 

C. AWS CloudTrail을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization 및 RemoveAccountFromOrganization 이벤트를 모니터링합니다. 그에 따라 S3 버킷 정책을 업데이트합니다.

→ CloudTrail로 모니터링하고 수동으로 정책을 업데이트해야 하므로 운영 오버헤드가 높아집니다. 또한 계정 생성/삭제 외에도 계정 간 사용자 이동 등을 고려해야 합니다.

 

D. S3 버킷에 액세스해야 하는 각 사용자에게 태그를 지정합니다. aws:PrincipalTag 전역 조건 키를 S3 버킷 정책에 추가합니다. → 개별 사용자에게 태그를 지정하는 것은 규모가 커질수록 운영 오버헤드가 높아지므로 적절하지 않습니다.

 

이어서 다음 문제입니다.

---

문제2

솔루션 설계자는 웹 사이트를 위한 고가용성 인프라를 설계해야 합니다.

이 웹 사이트는 Amazon EC2 인스턴스에서 실행되는 Windows 웹 서버로 구동됩니다.

솔루션 설계자는 수천 개의 IP 주소에서 발생하는 대규모 DDoS 공격을 완화할 수 있는 솔루션을 구현해야 합니다.

다운타임은 웹사이트에 허용되지 않습니다. 그러한 공격으로부터 웹 사이트를 보호하기 위해 솔루션 설계자는 어떤 조치를 취해야 합니까? (두 가지를 선택하세요.)

 

선택지

A. AWS Shield Advanced를 사용하여 DDoS 공격을 중지하십시오.

B. 공격자를 자동으로 차단하도록 Amazon GuardDuty를 구성합니다.

C. 정적 및 동적 콘텐츠 모두에 대해 Amazon CloudFront를 사용하도록 웹 사이트를 구성합니다.

D. AWS Lambda 함수를 사용하여 공격자 IP 주소를 VPC 네트워크 ACL에 자동으로 추가합니다.

E. CPU 사용률이 80%로 설정된 대상 추적 조정 정책과 함께 Auto Scaling 그룹에서 EC2 스팟 인스턴스를 사용합니다.

---

풀이

DDoS 공격으로부터 웹 사이트를 보호하기 위해서는 AWS Shield Advanced와 Amazon CloudFront를 사용하는 것이 적절합니다. Shield Advanced는 DDoS 공격을 탐지하고 완화할 수 있으며, CloudFront는 웹 사이트의 정적 및 동적 콘텐츠를 캐싱하여 DDoS 공격의 영향을 줄일 수 있습니다.

 

정답 : A, C

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• 수천 개의 IP 주소에서 발생하는 대규모 DDoS 공격 완화
• 웹 사이트 다운타임 방지
• EC2 인스턴스에서 실행되는 Windows 웹 서버

2. 관련 AWS 서비스 생각하기

• AWS Shield Advanced: DDoS 공격을 탐지하고 완화하는 관리형 서비스입니다. 
• Amazon CloudFront: 콘텐츠를 전 세계의 엣지 로케이션에 캐싱하는 CDN 서비스입니다. 
• Amazon GuardDuty: 악의적인 활동과 무단 행위를 모니터링하고 탐지하는 보안 서비스입니다. 
• AWS Lambda: 서버리스 컴퓨팅 서비스로, VPC 네트워크 ACL 업데이트 등에 사용할 수 있습니다. 
• AWS Auto Scaling: 애플리케이션 트래픽에 따라 EC2 인스턴스 수를 자동으로 조정하는 서비스입니다.

3. 선택지 분석하기

A. AWS Shield Advanced를 사용하여 DDoS 공격을 중지하십시오.

→Shield Advanced는 DDoS 공격을 탐지하고 완화하는 데 적합한 서비스입니다.

 

B. 공격자를 자동으로 차단하도록 Amazon GuardDuty를 구성합니다.

→ GuardDuty는 악의적인 활동을 탐지하지만, DDoS 공격 완화에는 Shield Advanced가 더 적합합니다.

 

C. 정적 및 동적 콘텐츠 모두에 대해 Amazon CloudFront를 사용하도록 웹 사이트를 구성합니다.

→ CloudFront는 캐싱과 분산을 통해 DDoS 공격의 영향을 줄일 수 있습니다.

 

D. AWS Lambda 함수를 사용하여 공격자 IP 주소를 VPC 네트워크 ACL에 자동으로 추가합니다.

→ Lambda를 사용하여 ACL을 업데이트할 수 있지만, 대규모 DDoS 공격 시 전체 솔루션으로는 부족할 수 있습니다.

 

E. CPU 사용률이 80%로 설정된 대상 추적 조정 정책과 함께 Auto Scaling 그룹에서 EC2 스팟 인스턴스를 사용합니다.

→ Auto Scaling은 애플리케이션 확장에는 도움이 되지만, DDoS 공격 완화에는 직접적인 효과가 없습니다.

 

마지막 문제 살펴볼게요.

---

문제3

회사에서 데이터 저장을 위해 Amazon DynamoDB 테이블을 사용할 계획입니다.

회사는 비용 최적화에 관심이 있습니다. 테이블은 대부분의 아침에 사용되지 않습니다.

저녁에는 읽기 및 쓰기 트래픽을 예측할 수 없는 경우가 많습니다. 트래픽 급증이 발생하면 매우 빠르게 발생합니다.

솔루션 설계자는 무엇을 추천해야 합니까?

 

선택지

A. 온디맨드 용량 모드에서 DynamoDB 테이블을 생성합니다.

B. 글로벌 보조 인덱스가 있는 DynamoDB 테이블을 생성합니다.

C. 프로비저닝된 용량과 Auto Scaling으로 DynamoDB 테이블을 생성합니다.

D. 프로비저닝된 용량 모드에서 DynamoDB 테이블을 생성하고 글로벌 테이블로 구성합니다.

---

풀이

DynamoDB 테이블의 트래픽이 예측 불가능하고 급증하는 경향이 있다면 온디맨드 용량 모드를 사용하는 것이 가장 적절합니다. 이 모드에서는 AWS가 자동으로 프로비저닝된 용량을 조정하여 트래픽 변화에 대응할 수 있습니다. 비용 최적화에도 유리합니다.

 

정답 : A

 

▼ 자세한 문제 풀이를 원하신 분은 아래 더보기를 통해 확인해 주세요.

1.  문제의 요구사항 분석하기

• DynamoDB 테이블에 데이터 저장 예정 
• 비용 최적화 
• 아침에는 트래픽이 낮지만, 저녁에는 읽기/쓰기 트래픽이 예측 불가능하고 급증

2. 관련 AWS 서비스 생각하기

• Amazon DynamoDB: 완전관리형 NoSQL 데이터베이스 서비스입니다. 
• DynamoDB 용량 모드: -
  • 온디맨드 용량 모드: AWS가 필요에 따라 자동으로 용량을 프로비저닝하고 조정합니다. 
  • 프로비저닝된 용량 모드: 개발자가 직접 읽기/쓰기 용량을 프로비저닝해야 합니다. 
• DynamoDB Auto Scaling: 프로비저닝된 용량 모드에서 트래픽 패턴에 따라 용량을 자동으로 확장하고 축소합니다. 
• DynamoDB 글로벌 보조 인덱스: 데이터에 대한 다양한 쿼리 패턴을 지원합니다. 
• DynamoDB 글로벌 테이블: 여러 AWS 리전에 걸쳐 데이터를 복제합니다.

3. 선택지 분석하기

A. 온디맨드 용량 모드에서 DynamoDB 테이블을 생성합니다.

→ 트래픽 패턴이 예측 불가능하고 급증하는 경향이 있으므로 온디맨드 모드가 가장 적합합니다. AWS가 자동으로 용량을 조정하여 비용 최적화에도 유리합니다.

 

B. 글로벌 보조 인덱스가 있는 DynamoDB 테이블을 생성합니다.

→ 글로벌 보조 인덱스는 다양한 쿼리 패턴을 지원하지만, 용량 관리와는 직접적인 관련이 없습니다.

 

C. 프로비저닝된 용량과 Auto Scaling으로 DynamoDB 테이블을 생성합니다.

→ Auto Scaling은 프로비저닝된 용량 모드에서 용량을 자동으로 조정하지만, 트래픽 급증에 대응하기 어려울 수 있습니다.

 

D. 프로비저닝된 용량 모드에서 DynamoDB 테이블을 생성하고 글로벌 테이블로 구성합니다.

→ 글로벌 테이블은 여러 리전에 걸쳐 데이터를 복제하지만, 용량 관리와는 직접적인 관련이 없습니다.

 

감사합니다. 다음 글에서 만나요~