[Associate SAA-C03] - dump 정리 251 ~ 270

---

251
인스턴스는 VPC의 프라이빗 서브넷에 존재 / 이 서브넷에는 아웃바운드 인터넷 액세스X

→ 외부 공급업체에서 월별 보안 업데이트를 다운로드 필요

 

B. NAT 게이트웨이를 생성하고 퍼블릭 서브넷에 배치합니다. NAT 게이트웨이를 기본 경로로 사용하도록 프라이빗 서브넷 경로 테이블을 구성합니다.

NAT 인스턴스, NAT gateway →   public subnet에 배치

---

252

시간이 지남에 따라 증가 하는 파일 저장 시스템 설계 / 여러 애플리케이션 서버에서 동시에 액세스 / 기본 제공 중복성

 

A. Amazon Elastic File System(Amazon EFS)

 

* EFS: 완전 관리형 네트워크 파일 시스템 / 자동 확장, 축소 / 다중 액세스 가능 / 여러 가용 영역에 저장, 복제 가능. 

---

253

두 개의 IAM 정책 Policy1과 Policy2를 생성. /  두 정책 모두 IAM 그룹에 연결

클라우드 엔지니어가 IAM 그룹에 IAM 사용자로 추가

 수행할 수 있는 작업은? 

C. Amazon EC2 인스턴스 삭제 

" ec2: *" → EC2 인스턴스에 대한 전체 제어 허용
IAM → get 및 list 권한만 부여하므로 삭제는 불가능

ds: Delete → deny는 delete-directory를 거부

---

254
3계층 애플리케이션을 VPC로 최근 마이그레이션 / 애플리케이션 계층 간의 EC2 보안 그룹 유입 및 유출 규칙에 최소 권한 원칙이 적용되지 않는 다는 것 발견 → 문제 해결

 

B. 보안 그룹 ID를 소스 또는 대상으로 사용하여 보안 그룹 규칙을 만듭니다.

SG-chaining: 보안그룹 id를 원본 또는 대상으로 하여 보안 그룹 규칙 생성

최소 권한 원칙 -> 필요한 대상만 특정하여 접근을 허용. 

보안 그룹 id를 사용하면 특정 트래픽이 한 애플리케이션 계층의 보안 그룹에서만 허용. 계층 간 통신 세밀하게 제어.

---

255
데이터베이스에 주문을 쓰고 서비스를 호출하여 결제를 처리하는 체크아웃 워크플로 /
체크아웃 프로세스 중에 시간 초과 경험 / 체크아웃 양식을 다시 제출하면 동일한 원하는 거래에 대해 여러 개의 고유한 주문 생성 → 리팩토링하여 여러 주문 생성 방지

 

D. 데이터베이스에 주문을 저장합니다. 주문 번호가 포함된 메시지를 Amazon Simple Queue Service(Amazon SQS) FIFO 대기열로 보냅니다. 결제 서비스를 설정하여 메시지를 검색하고 주문을 처리합니다. 대기열에서 메시지를 삭제합니다.

⇒SQS FIFO: 중복된 작업을 방지하고 메세지를 순서대로 처리 후 대기열에서 메세지 삭제. 

---

256

 Amazon S3 버킷을 사용하여 문서 검토 애플리케이션 / 실수로 문서를 삭제하는 것을 방지 / 모든 버전의 문서를 사용

사용자가 문서를 다운로드, 수정 및 업로드 가능. 

B. 버킷에서 버전 관리를 활성화합니다. -> 모든 버전의 문서 사용 가능 

D. 버킷에서 MFA 삭제를 활성화합니다. -> 문서의 우발적 삭제 방지

 

* MFA: 다중 인증

* MFA 삭제 활성화: 사용자는 버킷에서 객체를 삭제하기 위해 추가 인증 요소를 제공해야 합니다. 이를 통해 실수로 또는 무단으로 삭제되는 것을 방지하고 중요한 문서에 대한 보안 수준을 높일 수 있습니다.

---

257
ASG 이벤트 보고 솔루션 / 서버리스 솔루션 사용하여 S3에 ASG 상태 데이터 저장 / 대시보드 실시간 업데이트 제공

요구사항 → 시작 속도에 영향 x / 데이터를 S3로 옮기는 방법. 

A. Amazon CloudWatch 메트릭 스트림을 사용하여 EC2 자동 확장 상태 데이터를 Amazon Kinesis Data Firehose로 전송합니다. Amazon S3에 데이터를 저장합니다.

 

서버리스 + 실시간 + s3 데이터 저장 

* EMR 클러스터: 빅 데이터용
* CloudWatch 메트릭 스트림: 서버리스 / 실시간 전송 및 낮은 지연 시간 / Kinesis Data Firehose를 통해 Amazon S3로 데이터 전송.

 

Amazon CloudWatch 메트릭 스트림을 사용하여 EC2 Auto Scaling 이벤트를 캡처하고 Kinesis Data Firehose로 전송함으로써, EC2 인스턴스의 시작 속도에 영향을 주지 않으면서 데이터를 수집

---

258
수백 개의 .csv 파일을 S3에 버킷에 업로드 / 업로드 때마다 파일을 Apache Parquet 형식으로 변환하고 출력 파일을 S3에 넣어야함 / 가장 적은 운영 오버헤드

 

D. AWS Glue 추출, 변환 및 로드(ETL) 작업을 생성하여 .csv 파일을 Parquet 형식으로 변환하고 출력 파일을 S3 버킷에 넣습니다. 각 S3 PUT 이벤트에 대해 AWS Lambda 함수를 생성하여 ETL 작업을 호출합니다. 

 

AWS Glue: 자동으로 데이터 변환 작업. 대량 데이터 처리. Parquet 형식으로의 변환과 S3에 저장하는 작업을 쉽게 처리. 서버리스 데이터 통합 서비스로 운영 오버헤드가 가장 적음.

 

S3 PUT 이벤트: .csv 파일이 S3 버킷에 PUT(업로드)될 때 Lambda 함수 트리거.

Lambda가 ETL작업 호출. Glue ETL 작업을 시작하여 파일을 parquet 형식으로 변환.

 

* Apache Spark 작업: 대규모 데이터 처리 및 분석. 변환은 가능하지만 클러스터 관리 운영 오버헤드. 

* AWS Lambda가 직접 다운로드 하고 변환 하면 오버헤드 및 대용량 파일에 제약. 15분의 최대 실행 시간.

* Athena : 데이터 쿼리 비용 발생. 변환 보다는 데이터 조회에 최적화

---

259
RDS DB 인스턴스에서 실행되는 데이터베이스 보존 정책 구현 / 최소 2년 동안 일일 백업 보존

→ 백업은 일관되고 복원 가능

 

A. AWS Backup에서 백업 볼트를 만들어 RDS 백업을 보관합니다. 일일 일정과 생성 후 2년의 만료 기간이 있는 새 백업 계획을 만듭니다. RDS DB 인스턴스를 백업 계획에 할당합니다.

AWS Backup : aws 및 하이브리드 워크로드 전반의 데이터 보호를 중앙 집중화하고 자동화하는 완전관리형 서비스

백업 볼트: 컨테이너 역할. 데이터를 안전하게 저장, 관리 

 

B. 일일 스냅샷을 위한 RDS DB 인스턴스의 백업 윈도우를 구성합니다. 각 RDS DB 인스턴스에 2년의 스냅샷 보존 정책을 할당합니다. Amazon Data Lifecycle Manager(Amazon DLM)를 사용하여 스냅샷 삭제를 예약합니다.

→ 일관되고 복원 가능한 백업에 대한 요구사항을 다루지 않음.

 

C. 데이터베이스 트랜잭션 로그를 2년의 만료 기간으로 Amazon CloudWatch Logs에 자동으로 백업하도록 구성합니다.

→ 백업 및 복원 기능을 제공하도록 설계 x / 백업이 일관되도록 보장하거나 쉬운 복원 메커니즘을 제공하지 않습니다.

 

D. AWS Database Migration Service(AWS DMS) 복제 작업을 구성합니다. 복제 인스턴스를 배포하고 변경 데이터 캡처(CDC) 작업을 구성하여 데이터베이스 변경 사항을 대상으로 Amazon S3에 스트리밍합니다. 2년 후 스냅샷을 삭제하도록 S3 수명 주기 정책을 구성합니다.

→ 일일 백업 및 일관된 백업의 보관 요구 사항을 다루지 않습니다. 백업 및 복원보다는 복제 및 변경 데이터 캡처에 더 중점을 둡니다.

---

260
파일 공유를 AWS로 이동 / 공유는 Windows Server SMB 파일 공유 /  Active Directory 그룹이 AWS로 이동한 후 FSx for Windows File Server SMB 규정 준수 공유, 폴더 및 파일에 대한 액세스를 제한하도록 해야함. 

 

D. 파일 시스템을 Active Directory에 가입하여 액세스를 제한합니다.

 

→ 파일 시스템이 Active Directory에 가입하면 파일 공유, 폴더 및 파일에 대한 엑세스를 제한할 수 있음.

기존 액세스 구조를 계속 사용할 수 있으므로 전환이 더 원활해짐. 

FSx for Windows File Server는 SMB 파일 공유를 제공.

IAM 역할은 AWS 서비스의 액세스를 관리하는 데 사용되지만, SMB 파일 공유의 파일 및 폴더 수준의 액세스 제어에는 적합하지 않음. 

---

261
글로벌 고객에게 리테일 웹 사이트 배포 / ELB, ASG 실행 / 회사는 고객이 웹사이트에 액세스하는데 사용하는 장치에 따라 다양한 버전의 콘텐츠를 고객에게 제공

 

A. Amazon CloudFront를 구성하여 콘텐츠의 여러 버전을 캐싱합니다. 

C. User-Agent 헤더를 기반으로 특정 객체를 사용자에게 전송하도록 Lambda@Edge 함수를 구성합니다.

 

* CloudFront: 콘텐츠 배포 네트워크(CDN) / 다양한 버전의 콘텐츠 캐싱 가능

* Lambda@Edge : 생성하면 들어오는 요청의 User-Agent 헤더를 검사하고 사용중인 기기 유형 확인 가능

* user-agent: HTTP 요청을 보내는 디바이스와 브라우저 등 사용자 SW의 식별 정보를 담고 있음 / 사용자가 어떤 장치를 사용하고 있는지 판별

* NLB(Network Load Balancer):

NLB는 EC2 인스턴스, IP 주소 또는 Lambda 함수와 같은 여러 유형의 대상 그룹에 트래픽을 라우팅

4계층(TCP/UDP)에서  작동

자동 확장 그룹(ASG)과 통합

---

262
ElastiCache 클러스터에 대한 Cache VPC와 애플리케이션의 Amazon EC2 인스턴스에 대한 App VPC 생성

두 VPC 모두 us-east-1 지역 

→ 애플리케이션의 EC2 인스턴스에 ElastiCache 클러스터에 대한 액세스를 제공하는 솔루션

→ 가장 비용 효율적인 솔루션

 

* Amazon ElastiCache : 완전 관리형 인메모리 캐시 / 캐시 클러스터 크기 자동 확장, 축소. / Redis와 Memcached 지원. 

A. VPC 간에 피어링 연결을 만듭니다. 두 VPC 모두에서 피어링 연결에 대한 경로 테이블 항목을 추가합니다. ElastiCache 클러스터의 보안 그룹에 대한 인바운드 규칙을 구성하여 애플리케이션의 보안 그룹에서 인바운드 연결을 허용합니다.

* Transit VPC: 여러 vpc를 연결하는 중앙 허브 역할. VPC 간의 트래픽 라우팅. 중앙에서 관리. 비용 효율적 x

---

263
마이크로서비스로 구성된 애플리케이션 구축 / 컨테이너 기술로 sw 배포

→ 유지 관리 및 확장을 위해 지속적인 노력의 양을 최소화하는 솔루션 + 추가 인프라 관리 X

 

A. Amazon Elastic Container Service(Amazon ECS) 클러스터를 배포합니다.

D. Fargate 시작 유형으로 Amazon Elastic Container Service(Amazon ECS) 서비스를 배포합니다. 원하는 작업 번호 수준을 2 이상 지정하세요.

* ECS(Elastic Container Service): AWS에서 제공하는 컨테이너 오케스트레이션 서비스. 컨테이너를 쉽게 관리, 스케일링, 배포. / 자동화된 인프라 관리. 
* Fargate: 컨테이너를 지원하는 서버리스 컴퓨팅 엔진으로 서버를 관리하지 않고 사용한만큼만 비용 지불

→ 인프라 관리보다 애플리케이션 개발에 집중. 

---

264
Route 53에서 트래픽을 유도하는 10개의 인스턴스에 호스팅된 웹 애플리케이션 / 탐색중에 가끔 시간 초과 오류 발생 / DNS 쿼리가 비정상 인스턴스의 IP 주소를 반환하여 시간 초과 오류 발생

→ 시간 초과 오류 극복 솔루션

 

D. EC2 인스턴스 앞에 상태 확인이 있는 애플리케이션 로드 밸런서(ALB)를 만듭니다. Route 53에서 ALB로 경로 지정합니다.

 

* ALB ⇒ EC2 상태를 지속적으로 모니터링, 비정상 인스턴스를 자동으로 감지하고 트래픽을 건강한 인스턴스로만 라우팅

Route 53 단순 라우팅 정책 + 상태 검사

→ 트래픽을 분배하지만 고장난 인스턴스를 배제하지 않음. 

---

265
고가용성 애플리케이션 설계 / HTTPS 콘텐츠 전송은 가능한 엣지에 가까워야하며 전송 시간은 짧아야함

 

C. 프라이빗 서브넷에 여러 개의 중복 Amazon EC2 인스턴스가 있는 퍼블릭 애플리케이션 로드 밸런서(ALB)를 구성합니다. 퍼블릭 ALB를 원본으로 사용하여 HTTPS 콘텐츠를 전송하도록 Amazon CloudFront를 구성합니다.

⇒ CloudFront + HTTPS + Public ALB를 원본으로 하여 CloudFront 구성

---

266
게임 플랫폼 / 지연시간에 민감 (사용자 경험에 영향을 미치고 일부 플레이어에게 불공평한 이점 제공)  / ALB

→ 애플리케이션의 상태를 모니터링하고 트래픽을 정상적인 엔드포인트로 리디렉션하는 메커니즘 구현

 

A. AWS Global Accelerator에서 가속기를 구성합니다. 애플리케이션이 수신 대기하는 포트에 대한 리스너를 추가하고 각 지역의 지역 엔드포인트에 연결합니다. ALB를 엔드포인트로 추가합니다.

* Global Accelerator: ALB를 엔드포인트로 추가. 정상적인 엔드포인트로 리디렉션. 

* CloudFront, S3 → 정적 콘텐츠 캐싱 / 게임과 같은 동적 트래픽에는 적합 x 

---

267

사용자 100만명 / 실시간 데이터 사용량 분석, 암호화 / Apache Parquet 형식으로 중앙 위치에 데이터를 저장

→ 운영 오버헤드 최소화 

 

D. Amazon S3에 데이터를 저장하기 위해 Amazon Kinesis Data Firehose 전송 스트림을 만듭니다. 데이터를 분석하기 위해 Amazon Kinesis Data Analytics 애플리케이션을 만듭니다.

 

⇒ S3에 데이터를 저장하기 위해 Kinesis Data Firehose 전송 스트림 + 데이터 분석을 위해 Kinesis Data Analytics

 

* Kinesis Data Firehose: 실시간 데이터를 캡처하고 데이터를 자동으로 변환 및 암호화하여 Amazon S3 같은 중앙 저장소에 저장할 수 있는 서비스. 또한, 운영 오버헤드가 적음.

→ 데이터를 Apache Parquet 형식으로 변환 o

 

* Kinesis Data Analytics: 실시간 스트리밍 데이터 분석하는 서비스. 서버리스이므로 운영 오버헤드가 매우 적음.

 

* Amazon EMR 클러스터: ETL 작업 / 빅데이터 처리 및 분석을 위한 분산 클러스터 서비스. / 운영 오버헤드가 큼. 

---

268
게임 점수 표시 웹 앱플리케이션 / RDS for MYSQL 데이터베이스 / 읽기 성능으로 인해 긴 지연과 중단을 경험

→ 변경을 최소화하면서 사용자 경험 개선

A. 데이터베이스 앞에 Amazon ElastiCache를 사용합니다. 

 

* Amazon ElastiCache : 데이터베이스 쿼리 결과를 캐시하여 읽기 요청을 줄이고, 지연 시간을 감소. 점수와 같이 자주 조회되는 데이터를 캐싱을 통해 성능 향상.

ElastiCache → 읽기 작업으로 인한 부하감소
RDS Proxy → 많은 연결로 인한 부하감소

---

269

RDS 웹 애플리케이션의 성능 저하 / 원인 : 분석가가 트리거한 읽기 전용 SQL 쿼리의 수가 증가 /

웹 애플리케이션을 최소한으로 변경하여 문제 해결. 

 

C. 기본 데이터베이스의 읽기 복제본을 만들고 비즈니스 분석가에게 쿼리를 실행하게 합니다.

DynamoDB, ElastiCache, Redshift=> 애플리케이션에 대한 주요 변경이 필요

DynamoDB는 NoSQL 데이터베이스, ElastiCache는 캐시 솔루션, Redshift는 데이터 웨어하우스 솔루션, 분석 용도

---

270
중앙 집중형 AWS 계정을 사용하여 S3 버킷에 로그 데이터 저장 / S3 버킷에 업로드되기 전에 데이터가 휴면 상태에서 암호화되었는지 확인 / 전송 중에도 암호화

 

A. 클라이언트 측 암호화를 사용하여 S3 버킷에 업로드되는 데이터를 암호화합니다.

클라이언트 측 암호화: 데이터 업로드 전에 암호화를 한 후 전송하는 방식. (이미 암호화된 상태로 전송)

서버측 암호화: 데이터가 저장될 때 암호화되어 저장되고, 데이터가 인출시에는 복호화되어 반환된다.

업로드되기 전에 암호화가 보장 x

 

S3 관리 암호화 키(SSE-S3) : 암호화 자동화 / 휴면 상태에서 암호화되는 것을 보장x 

Key Management Service(AWS KMS) 키: 휴면 상태에서 데이터를 암호화하지만, 전송 중 암호화 x

 

---