800
회사의 기본 AWS 계정에서 VPC에서 실행되는 Lambda 함수를 만들어야함 + Lambda 함수는 회사가 EFS 파일 시스템에 저장하는 파일에 액세스해야함 + EFS 파일 시스템은 보조 AWS 계정에 있음 + 가장 비용 효율적
B. 기본 계정과 보조 계정에 있는 VPC 간에 VPC 피어링 연결을 생성합니다.
⇒ 비용 효율적으로 액세스하기 위해서 VPC Peering 구현 + Lambda 없이 파일에 직접 접근 가능.
801
민감한 데이터 처리 + 전송 중 및 저장 중에 암호화 + AWS 클라우드 외부에서 암호화 키 관리
D. S3 버킷에 데이터를 저장하기 전에 회사 데이터 센터에서 데이터를 암호화합니다.
⇒ 회사 데이터 센터에서 데이터를 암호화하면 암호화 키를 회사 내부에서 완전히 제어 가능
⇒ 클라우드 외부에서 암호화 키 관리: AWS상에서 관리 X
802
AWS에서 결제 애플리케이션 실행 + 모바일 기기에서 결제 알림 수신 + 전송 전에 기본 검증 필요 + 백엔드 장기 실행, 컴퓨팅과 메모리를 조정 + 인프라를 관리 X + 최소한의 운영 오버헤드
D. Amazon API Gateway API를 만듭니다. API를 AWS Lambda와 통합하여 모바일 기기에서 결제 알림을 받습니다. Lambda 함수를 호출하여 결제 알림을 검증하고 알림을 백엔드 애플리케이션으로 보냅니다. Amazon Elastic Container Service(Amazon ECS)에 백엔드 애플리케이션을 배포합니다. AWS Fargate 시작 유형으로 Amazon ECS를 구성합니다.
⇒ EKS Anywhere(온프레미스): EKS 자체 관리 노드 사용 ⇒ 클러스터 관리를 직접 해야하므로 운영 오버헤드 증가
ECS가 EKS 보다 운영 오버헤드 더 낮음
⇒ ECS 사용 + 컨테이너 작업이므로 Fargate 같이 사용 + Lambda
* AWS Step Functions: 오류 처리 + 대규모 병렬 프로세싱. 분산 애플리케이션을 조정하고 여러 AWS 서비스와 워크플로우를 시각적으로 설계 + 서버리스
803
회사를 위한 사용자 인증 솔루션 + 일관되지 않은 지리적 위치, ip 주소 또는 장치에서 로그인하는 사용자에 대해 2단계 인증을 호출 + 수백만명의 사용자를 수용할 수 있도록 확장 해야함
A. 사용자 인증을 위해 Amazon Cognito 사용자 풀을 구성합니다. 다중 요소 인증(MFA)으로 위험 기반 적응 인증 기능을 활성화합니다.
* Cognito 사용자 풀: 인증을 위한 것
* Cognito ID 풀: 권한을 부여하고 다른 AWS 서비스에 대한 액세스 권한을 부여하기 위한 것 + 사용자 계정을 의심스러운 활동으로부터 보호
* AWS IAM Identity Center (AWS Single Sign-On): 주로 기업 내에서 사용자 및 액세스 관리를 중앙화하는 데 사용되며, 외부 사용자를 처리하는 인증 솔루션으로는 적합x
804
S3 데이터 레이크 존재 + 데이터 레이크의 데이터를 변환하여 매일 데이터 웨어하우스에 로드하는 솔루션 필요 + 데이터 웨어하우스에는 대량 병렬 처리 기능(MPP)가 있어야함 + 데이터에 SQL 명령을 사용하여 머신러닝(ML) 모델을 만들고 학습 해야함 + 서버리스
서비스를 가능한 사용해야함
C. 매일 AWS Glue 작업을 실행하여 데이터를 변환하고 Amazon Redshift Serverless에 데이터를 로드합니다. Amazon Redshift ML을 사용하여 ML 모델을 만들고 학습합니다.
* Glue: 데이터 변환 + 서버리스
* Redshift: 데이터 로드 + 대량 병렬 처리 기능(MPP) + 서버리스 + SQL 쿼리 분석
* Athena: SQL 명령 (서버리스) 머신 러닝 모델을 만들고 학습.
* AWS EMR: 클러스터 기반. 서버리스 x + 대규모 데이터 처리 워크로드 + 분산 클러스터 + 병렬 처리
805
회사가 회사 로컬 데이터 센터의 Kubernetes 환경에서 컨테이너를 실행 + 회사는 EKS 및 기타 AWS 관리 서비스를 사용하려함 → 데이터는 회사 데이터 센터에 로컬로 유지되어야 하며 규정 준수를 위해 원격 사이트나 클라우드에 저장할 수 없음
C. 회사 데이터 센터에 AWS Outposts 랙을 설치합니다.
* AWS Outposts: 온프레미스 데이터 센터에 설치할 수 있는 완전 관리형 AWS 인프라 및 서비스, AWS의 클라우드 서비스를 온프레미스 환경에서 사용
806
회사에 데이터를 수집하고 처리하는 워크로드 + 온프레미스 NFS 스토리지에 데이터를 저장 + 데이터 저장소는 회사의 확장되는 비즈니스 요구를 충족할 만큼 빠르게 확장 X + 데이터 저장소를 마이그레이션 + 가장 비용 효율적
B. AWS Storage Gateway Amazon S3 File Gateway를 설정합니다. Amazon S3 Lifecycle 정책을 사용하여 데이터를 적절한 스토리지 클래스로 전환합니다.
⇒ S3 File Gateway: NFS, SMB 프로토콜을 사용하여 S3 버킷에 액세스
* Storage Gateway: 온프레미스와 AWS 스토리지 간의 원활하고 안전한 통합을 제공하는 하이브리드 클라우드 스토리지
* S3 File Gateway: 저지연 액세스를 위한 로컬 캐싱과 함께 S3에 파일 인터페이스를 제공하는 Storage Gateway 유형
* Volume Gateway: 블록 스토리지 서비스를 제공
807
마케팅 이벤트 중에 메시지 큐에서 지속적으로 증가하는 수의 메시지를 처리하기 위해 높은 동시성 Lambda 함수를 사용 → 컴퓨팅 비용을 줄이고 고객에게 서비스 지연 시간을 유지
D. Lambda 함수에 대한 프로비저닝된 동시성을 구성합니다. AWS Compute Optimizer 권장 사항에 따라 메모리를 늘립니다.
⇒ 프로비저닝된 동시성: 함수에 할당된 사전 초기화된 실행 환경의 수, 이러한 환경은 수신 함수 요청에 즉시 응답할 수 있도록 준비되어 있음. 함수에 대해 콜드 스타트 지연 시간을 줄이는데 유용 ⇒ 높은 동시성이 필요한 CPU 집약적인 작업에서 중요
Lambda는 메모리 할당에 비례하여 CPU 성능을 할당 → 메모리를 늘리면 CPU 성능도 향상
* Compute Optimizer: AWS 사용자의 EC2 인스턴스, ECS 태스크, Lambda 함수 등 다양한 컴퓨팅 리소스를 분석하여 최적화된 사용 방안을 제안
808
회사가 ECS에서 워크로드 실행 + 작업 정의에서 사용하는 컨테이너 이미지는 Common Vulnerabilities and Exposures(CVE)에 대해 스캔해야함 + 생성된 새 컨테이너 이미지도 스캔해야함 + 워크로드에 가장 적은 변경을 가하면서 요구사항 충족
A. Amazon Elastic Container Registry(Amazon ECR)를 개인 이미지 저장소로 사용하여 컨테이너 이미지를 저장합니다. ECR 기본 스캔에 대해 푸시 필터에서 스캔을 지정합니다.
* Amazon ECR 기본스캔 ⇒ 일반적인 취약성 및 노출(CVE) 에 대한 기본 검사 제공
* Amazon ECR 강화스캔(고급스캔) ⇒ 운영체제 및 프로그래밍 언어 패키지 취약성 모두
809
회사가 AWS Batch 작업을 사용하여 하루 종료 판매 프로세스를 실행 + Batch 작업이 성공하면 타사 보고 애플리케이션을 호출하는 서버리스 솔루션이 필요 + 보고 애플리케이션에는 사용자 이름 및 비밀번호 인증을 사용하는 HTTP API 인터페이스 존재
A. 들어오는 AWS Batch 작업 SUCCEEDED 이벤트와 일치하도록 Amazon EventBridge 규칙을 구성합니다. 사용자 이름과 비밀번호를 사용하여 타사 API를 EventBridge API 대상으로 구성합니다. API 대상을 EventBridge 규칙 대상으로 설정합니다.
* AWS Batch: 다양한 인스턴스 유형과 시작 모드를 사용할 수 있는 옵션과 함께 배치 작업에 필요한 인프라를 자동으로 프로비저닝 하는 완전 관리형 서비스
* Amazon EventBridge: AWS Batch 작업의 성공적인 완료를 감지하고 이 이벤트에 따라 작업을 트리거 가능 + 인증 자격 증명을 사용하여 타사 API를 API 대상으로 구성함으로써 EventBridge는 추가 서비스가 필요 없이 타사 보고 애플리케이션을 직접 호출
810
회사가 공급업체로부터 데이터를 수집하고 처리 + 공급업체 자체 AWS 계정 RDS for MYSQL 데이터베이스에 데이터 저장 + 회사의 VPC에는 인터넷 게이트웨이, Direct Connect 연결 또는 Site to Site VPN 연결이 없음 → 회사는 공급업체 데이터베이스에 있는
데이터에 액세스해야함
C. 공급업체에 네트워크 로드 밸런서(NLB)를 만들도록 지시합니다. NLB를 Amazon RDS for MySQL 데이터베이스 앞에 배치합니다. AWS PrivateLink를 사용하여 회사의 VPC와 공급업체의 VPC를 통합합니다.
⇒ AWS PrivateLink VPC: 마치 VPC에 있는 것처럼 서비스에 비공개로 연결하는 데 사용할 수 있는 가용성과 확장성이 뛰어난 기술 + 인터넷 게이트웨이, NAT 디바이스, 퍼블릭 IP 주소, AWS Direct Connect 연결 또는 AWS Site-to-Site VPN 연결을 사용하지
않아도 프라이빗 서브넷에서 서비스와 통신 가능
811
회사가 Amazon Managed Grafana를 시각화 도구로 설정하려함 + RDS 데이터베이스의 데이터를 하나의 데이터 소스로 시각화하려함 + 인터넷을 통해 데이터를 노출하지 않는 안전한 솔루션 필요
B. VPC에 Amazon Managed Grafana 작업 공간을 만듭니다. RDS 데이터베이스에 대한 개인 엔드포인트를 만듭니다. Amazon Managed Grafana에서 개인 엔드포인트를 데이터 소스로 구성합니다.
⇒ VPC 내에서 Amazon Managed Grafana 작업 공간을 생성하면, 데이터가 인터넷을 통하지 않고 안전하게 관리
⇒ RDS 데이터베이스에 대한 개인 엔드포인트를 사용하면, 데이터베이스와 Grafana 간의 통신이 AWS 네트워크 내에서 이루어져 외부 노출이 방지
⇒ AWS PrivateLink를 설정하는 것은 가능하지만, 불필요하게 복잡함.
812
S3에 데이터 레이크 호스팅 + 데이터 레이크는 다양한 데이터 소스에서 Apache Parquet 형식으로 데이터를 수집 + 여러 변환 단계를 사용하여 수집된 데이터를 준비 → 데이터 분석가가 액세스하는 S3 버킷에 변환된 데이터를 저장해야함 + 코드가 필요없는 데이터
변환을 위한 사전 구축된 솔루션 필요 + 전체 직원과 데이터 변환 단계 공유
C. AWS Glue DataBrew를 구성하여 데이터를 변환합니다. DataBrew 레시피를 사용하여 직원과 변환 단계를 공유합니다.
* AWS Glue DataBrew: 코드를 작성하지 않고 데이터를 정리하고 정규화할 수 있는 시각적 데이터 변환 준비 도구
813
ALB 뒤에 있는 여러 EC2 인스턴스에서 웹 애플리케이션 실행 + 공개 웹사이트를 통해 애플리케이션에 접근 가능 → 웹 사이트의 개발 버전을 사용하여 특정 개발 EC2 인스턴스 하나에 액세스하여 새로운 기능을 테스트 + 개발 인스턴스가 교체되더라도 자동으로 개발
인스턴스로 라우팅해야함
A. ALB로 설정된 값을 갖는 개발 웹사이트에 대한 A 레코드를 만듭니다. 개발 인스턴스를 포함하는 대상 그룹에 개발 웹사이트에 대한 요청을 전달하는 ALB에 리스너 규칙을 만듭니다.
⇒ 공용 IP를 사용하고 있다면 문제가 될 수 있음 + 인스턴스가 교체되면 공용 IP 주소는 변경되므로 오버헤드 발생
모든 인스턴스를 동일한 대상 그룹에 배치하면 개발 인스턴스와 프로덕션 인스턴스를 구분할 수 없음
814
Kubernetes 클러스터에서 컨테이너 애플리케이션 실행 + Advanced Message Queuing Protocol (AMQP)를 사용하여 메시지 큐와 통신 → 데이터 센터는 회사의 확장되는 비즈니스 요구사항을 충족할 만큼 빠르게 확장 X + 마이그레이션 + 최소한의 운영 오버헤드
B. 컨테이너 애플리케이션을 Amazon Elastic Kubernetes Service(Amazon EKS)로 마이그레이션합니다. Amazon MQ를 사용하여 메시지를 검색합니다.
⇒ AMQP 는 SQS와 연동 X → Amazon MQ와 연동 ㅇ
⇒ 최소한의 운영 오버헤드이므로 EC2 실행 X
815
여러 리전의 NLB뒤에 있는 인스턴스에서 플랫폼 호스팅 + NLB는 인터넷을 통해 대상에 요청을 라우팅 + 고객 기반 엔드투엔드 로드 시간을 줄여 고객 플레이 경험을 개선
D. AWS Global Accelerator에서 표준 가속기를 만듭니다. 기존 NLB를 대상 엔드포인트로 구성합니다.
⇒ AWS Global Accelerator는 글로벌 네트워크를 통해 사용자와 애플리케이션 간의 지연 시간을 줄여 전 세계에서 더 빠르고 일관된 네트워크 성능을 제공 + 사용자와 가까운 엣지 로케이션에서 트래픽을 수집하여 백본 네트워크를 사용하여 전달
Amazon Route 53은 트래픽을 분산하지만, 네트워크 지연 시간을 줄이기 위한 최적의 솔루션은 x
816
SFTP를 사용하여 재무 데이터 수집 + AWS 클라우드로 마이그레이션 + Amazon S3 API를 사용하여 공급업체의 파일을 업로드 + 일부 공급업체는 S3 API를 지원하지 않는 레거시 애플리케이션에서 시스템을 실행 + 공급업체는 SFTP 기반 애플리케이션을 사용하여 데이터를 업로드+ 레거시 애플리케이션을 사용하는 공급업체의 요구 사항에 대해 관리형 서비스를 사용하려고 함 + 운영 오버헤드를 최소화
B. 레거시 애플리케이션을 사용하는 공급업체를 위한 AWS Transfer Family 엔드포인트를 생성합니다.
SFTP 프로토콜 ⇒ 관리형 서비스 사용
* AWS Transfer Family: SFTP, FTPS 및 FTP를 통하여 S3 또는 EFS에서 파일을 송수신할 수 있는 완전관리형 지원
817
스포츠 이벤트에 대한 캠페인 구축 + pdf 형식의 뉴스 기사 + 뉴스 내용과 감정에 대한 통찰력을 추출하는 솔루션 + Amazon Textract를 사용
* Amazon Textract: 스캔한 문서에서 텍스트, 필기 및 데이터를 자동으로 추출하는 기계 학습(ML) 서비스, 단순한 광학 문자 인식(OCR) 이상으로 양식 및 표의 데이터를 식별하고 이해하며 추출 + 감정 분석 수행
C. 추출된 인사이트를 분석을 위해 Amazon Comprehend에 제공합니다. 분석을 Amazon S3 버킷에 저장합니다.
* Amazon Comprehend: 번역된 텍스트에 대한 감정 분석을 수행하여 감정 분석 보고서를 생성
* Amazon SageMaker: 기계 학습(ML) 모델 구축, 학습, 배포, 확장 + 완전 관리형 서비스
818
여러 가용성 영역 + 애플리케이션은 타사 애플리케이션에서 실시간 데이터를 수집해야함 + 수집된 원시 데이터를 S3 버킷에 저장하는 데이터 솔루션 필요
A. 데이터 수집을 위해 Amazon Kinesis 데이터 스트림을 만듭니다. Kinesis 데이터 스트림을 소비하기 위해 Amazon Kinesis Data Firehose 전달 스트림을 만듭니다. 전달 스트림의 대상으로 S3 버킷을 지정합니다.
⇒ Kinesis Data Streams → Kinesis Data Firehose → S3
실시간 데이터 수집 + 자동 전송
* DataSync: 파일 기반 데이터 전송
819
데이터 크기는 다양하며 시간이 지남에 따라 데이터 볼륨, 데이터 크기 증가 + DynamoDB 사용 → 대용량 데이터 크기를 처리하는 솔루션 + 가장 운영 효율적인 방식
⇒ DynamoDB를 위한 대용량 객체 저장
B. Amazon S3 버킷에 대용량 데이터를 객체로 저장합니다. DynamoDB 테이블에서 데이터의 S3 URL을 가리키는 속성이 있는 항목을 만듭니다.
⇒ 대형 객체를 저장하기 위해 대체 스토리지 플랫폼을 사용하고 DynamoDB에서 객체에 대한 포인터를 사용하는 것
* Amazon S3: 내구성이 높고 비용이 저렴하기 때문에 대용량 데이터를 저장하는 데 적합
820
레거시 어플리케이션 마이그레이션 + 반복 일정으로 1~20분 사이에 실행되는 수백 개의 크론 작업에 의존 + 최소한의 리팩토링으로 AWS에서 크론 작업을 예약하고 실행할 수 있는 솔루션
C. Cron 작업에 대한 컨테이너 이미지를 만듭니다. Amazon EventBridge Scheduler를 사용하여 반복 일정을 만듭니다. AWS Fargate에서 Cron 작업 작업을 실행합니다.
⇒ EventBridge Scheduler + AWS Fargate
AWS Fargate는 컨테이너 실행을 위한 서버리스 서비스로, 크론 작업을 컨테이너 이미지로 실행.
EventBridge Scheduler를 사용해 반복 일정을 관리할 수 있으며, Fargate는 작업을 자동으로 스케일링
컨테이너 이미지 : 최소한의 리팩토링
⇒ Lambda : 최대 15분동안 실행이므로 해당 X
821
회사가 Salesforce 사용 → 분석을 위해 Salesforce에서 Redshift로 기존 데이터와 진행중인 데이터 변경 사항을 로드해야함 + 데이터가 공개 인터넷을 통해 이동하는 것을 원하지 않는다 + 최소한의 개발 노력
C. VPC에서 Salesforce로 AWS PrivateLink 연결을 만듭니다. Amazon AppFlow를 사용하여 데이터를 전송합니다.
⇒ PrivateLink 사용: 마치 VPC에 있는 것처럼 서비스에 비공개로 연결하는 데 사용할 수 있는 가용성과 확장성이 뛰어난 기술 + 인터넷 게이트웨이, NAT 디바이스, 퍼블릭 IP 주소, AWS Direct Connect 연결 또는 AWS Site-to-Site VPN 연결을 사용하지 않아도 프라이빗 서브넷에서 서비스와 통신 + Network Load Balancer는 PrivateLink의 필수요소(트래픽이 인터넷을 통해 전달되지 않고
AWS 네트워크 내부에서 유지)
822
애플리케이션은 여러 가용성 영역에 걸쳐 ASG의 EC2 Linux 인스턴스에서 실행 + EFS Standard-Infrequent Access 스토리지를 사용하는 EFS 파일시스템에 데이터 저장 → 인덱싱하여 RDS DB에 저장 + 스토리지 비용 최적화 + 가장 비용 효율적
A. Intelligent-Tiering 수명 주기 정책을 사용하는 Amazon S3 버킷을 만듭니다. 모든 파일을 S3 버킷에 복사합니다. Amazon S3 API를 사용하여 파일을 저장하고 검색하도록 애플리케이션을 업데이트합니다.
→ 지능형 계층화(Intelligent-Tiering)
823
의료 수술을 위한 솔루션 설계 + 백엔드 서비스와 원활하게 통신할 수 있는 퍼블릭 로드밸런서 필요 → 쿼리 문자열을 기반으로 트래픽을 다른 대상 그룹으로 라우팅 할 수 있어야함 + 트래픽도 암호화
C. AWS Certificate Manager(ACM)에서 인증서가 첨부된 Application Load Balancer를 사용합니다. 쿼리 매개변수 기반 라우팅을 사용합니다.
- 암호화된 트래픽 : ACM(AWS Certificate Manager)
- ALB: 쿼리 문자열을 기반으로 트래픽을 리디렉션/전달할 수 있는 로드밸런서
824
단일 EC2 인스턴스에서 실행되는 애플리케이션 + MYSQL 데이터베이스 사용 → 증가된 트래픽을 처리하기 위해 고가용성 및 자동 확장 가능한 솔루션 필요
C. Application Load Balancer 뒤의 Auto Scaling 그룹에서 실행되는 EC2 인스턴스에 애플리케이션을 배포합니다. 데이터베이스 계층에 대한 Amazon Aurora Serverless MySQL 클러스터를 만듭니다.
⇒ MYSQL 용 Aurora Serverless를 사용하면 애플리케이션의 요구사항에 따라 서비스가 자동으로 확장되거나 축소되므로 특정 인스턴스 유형을 선택할 필요가 없음
825
S3 버킷 내에서 휴면 상태로 암호화 + 암호화 키는 매년 자동으로 순환 + 가장 적은 운영 오버헤드
B. AWS Key Management Service(AWS KMS) 고객 관리 키를 만듭니다. 자동 키 로테이션을 활성화합니다. S3 버킷의 기본 암호화 동작을 고객 관리 KMS 키를 사용하도록 설정합니다. 데이터를 S3 버킷으로 마이그레이션합니다.
휴면 상태로 암호화 → 저장 상태에서 암호화(저장한 후에 누구든 접근 암호화)
⇒ KMS 자동 데이터 암호화 + 자동 키 로테이션 활성화해야 암호화 키가 매년 자동으로 순환
#826
회사에서 관리하는 온프레미스 Microsoft Active Directory에서 AWS로 애플리케이션을 마이그레이션 + Organizations 사용하여 계정을 중앙에서 관리 → 보안 팀에는 회사의 모든 AWS 계정에서 단일 로그인 솔루션이 필요 + 온프레미스 Active Directory에 있는 사용자와 그룹을 계속 관리해야함
⇒ 온프레미스 Active Directory와 연동하여 여러 AWS 계정에 대한 중앙 집중식 단일 로그인 솔루션(Single Sign-On, SSO)을 제공
B. AWS IAM Identity Center 활성화. Microsoft Active Directory용 AWS Directory Service를 사용하여 회사의 자체 관리 Active Directory를 IAM Identity Center에 연결하기 위한 양방향 포리스트 신뢰 관계를 구성합니다.
⇒ 온프레미스 Active Directory와 AWS IAM Identity Center(Successor to AWS Single Sign-On) 간의 양방향 포리스트 신뢰 관계를 설정하여, 온프레미스 Active Directory 사용자를 AWS IAM Identity Center에서 인증할 수 있게 함
이를 통해 기존 온프레미스 Active Directory 사용자와 그룹을 계속해서 관리
* IAM Identity Center: AWS Single Sign-On. 중앙 집중식 사용자 관리 및 Single Sign-On(sso) 솔루션
827
Aurora PostgreSQL Serverless v2의 클러스터에 애플리케이션 배포 계획 + 많은 양의 트래픽 수신 ⇒ 부하 증가함에 따라 스토리지 성능 최적화 + 가장 비용 효율적
D. Aurora I/O-Optimized 스토리지 구성을 사용하도록 클러스터를 구성합니다.
⇒ 일반 용도(SSD) 스토리지: 중소 규모 데이터베이스를 포함한 많은 워크로드에 적합하며 비용 효율적
⇒ 프로비저닝된 IOPS(PIOPS) 스토리지: RDS 인스턴스에 사용할 수 있는 가장 성능이 뛰어난 옵션입니다. 프로비저닝된 IOPS 스토리지를 사용하면 애플리케이션의 요구 사항에 따라 특정 양의 IOPS(초당 입출력 작업)를 프로비저닝할 수 있습니다.
⇒ Aurora I/O-Optimized: 비용이 Aurora 데이터베이스 총 비용의 25%를 초과하는 I/O 집약적 애플리케이션에 대해 최대 40%의 비용 절감 제공
828
금융 서비스 회사는 업계 표준을 충족하도록 보안 제어 설계 → 제 3자 감사자는 설계된 제어가 구현되었고 올바르게 작동하고 있다는 증거 필요 + 회사는 Organizations의 단일 조직에 수백개의 AWS 계정 보유 + 회사는 계정 전체에서 제어의 현재 상태를 모니터링해야함
D. Organizations 관리 계정에서 AWS Security Hub 위임 관리자 계정으로 한 계정을 지정합니다. 지정된 Security Hub 관리자 계정에서 모든 멤버 계정에 대해 Security Hub를 활성화합니다. NIST 및 PCI DSS에 대한 Security Hub 표준을 활성화합니다.
* AWS Security Hub: 통합 보안 관제 서비스. AWS 보안 상태를 중앙에서 모니터링하고 관리 + 특정 산업 표준에 대한 평가
* Amazon Inspector: 리소스의 보안 취약성을 평가
829
무작위로 액세스하는 방대한 양의 데이터 → S3 스토리지 비용 줄이고 자주 액세스하는 객체에 대한 즉각적인 가용성
A. 객체를 S3 Intelligent-Tiering 스토리지 클래스로 전환하기 위한 S3 수명 주기 규칙을 생성합니다.
830
5TB의 데이터 세트 + 100만 개의 사용자 프로필은 다대다 관계로 연결 + 최대 5단계까지 상호 연결 + 성능 효율적인 방법
B. Amazon Neptune을 사용하여 에지와 정점이 있는 데이터 세트를 저장합니다. 연결을 찾기 위해 데이터를 쿼리합니다.
* Amazon Neptune: 빠르고 안정적인 종합 관리형 그래프 데이터베이스 서비스로, 고도로 연결된 데이터 세트를 사용하는 애플리케이션을 쉽게 빌드하고 실행
⇒ 복잡한 데이터 간의 관계를 모델링하고 쿼리. 프로필과 연결을 그래프 형태로 표현하여 나타냄. 다대다 관계 처리
831
온프레미스 ↔ AWS 환경 보안 연결 필요 + 높은 대역폭 필요 X + 소량의 트래픽 처리 + 연결은 빠르게 설정 + 비용 효율적
⇒ Site-to-Site VPN 구축
온프레미스 데이터 센터와 AWS간 안전하게 데이터 전송 + 빠르게 설정
832
SFTP 파일 전용 솔루션, S3를 사용하여 비용 최적화 마이그레이션 + Microsoft Active Directory(AD)의 자격 증명을 사용 + 현재 인증 및 파일 액세스 매커니즘 유지 + 운영 오버헤드 최소화
C. SFTP 엔드포인트가 있는 AWS Transfer Family 서버를 만듭니다. AWS Directory Service 옵션을 ID 공급자로 선택합니다. AD Connector를 사용하여 온프레미스 Active Directory에 연결합니다.
* AD Connector: 클라우드에 정보를 Microsoft Active Directory 캐싱하지 않고도 디렉터리 요청을 온-프레미스로 리디렉션할 수 있는 디렉터리 게이트웨이 + SFTP 엔드포인트 + 기존 AD 사용자 인증을 그대로 사용
* AWS Transfer Family: SFTP(SSH File Transfer Protocol) 파일 전송을 지원하는 완전 관리형 서비스 + 기존 Active Directory와 통합하여 사용자가 자격 증명을 유지하고 파일에 액세스할 수 있도록 지원
833
멱등 AWS Lambda 함수가 각 검증 단계를 수행 + 각 검증 단계는 다른 검증 단계와 독립적 + 개별 검증 단계는 이벤트 정보의 하위 집합만 필요 + Lambda 함수가 함수에 필요한 주문 이벤트의 정보에만 액세스 + 느슨한 결합
C. Amazon EventBridge 이벤트 버스를 만듭니다. 각 검증 단계에 대한 이벤트 규칙을 만듭니다. 각 대상 검증 단계 Lambda 함수에 필요한 데이터만 보내도록 입력 변환기를 구성합니다.
⇒ EventBridge: 이벤트 중심 아키텍처. 느슨한 결합 + 입력 변환기를 설정해서 검증 단계에서 필요한 하위 집합의 주문 이벤트 정보만을 필터링하여 전달
* EventBridge 입력 변환기: 이벤트를 규칙 대상으로 보내기 전에 이벤트의 텍스트를 사용자 지정 가능
834
MYSQL 데이터베이스 필요 + 성능 문제 : 애플리케이션에서 다른 실시간 보고서 생성할때
→ 성능 개선 솔루션
C. 여러 개의 읽기 복제본이 있는 Amazon Aurora MySQL Multi-AZ DB 클러스터를 만듭니다.
보고서에 리더 엔드포인트( reader endpoint )를 사용하도록 애플리케이션을 구성합니다.
* 엔드포인트: DB 클러스터에 대한 읽기 전용 연결 시 로드밸런싱을 지원 + 기본 인스턴스에서 읽기 작업을 오프로드 가능
* 백업 인스턴스: 백업 및 복원을 위해 사용, 보고서와 같은 읽기 작업을 처리하기에는 부적합
* 리더 엔드포인트: 여러 개의 읽기 복제본(리더 노드) 중 하나에 연결 + 읽기 부하 분산 + 장애 조치
835
Direct Connect 연결 사용( 온프레미스 → AWS 클라우드 ) + 온프레미스 네트워크에는 직접 인터넷 엑세스 x + S3 버킷 사용
C. VPC와 Amazon S3 인터페이스 엔드포인트를 만듭니다. 온프레미스 네트워크에서 S3 인터페이스 엔드포인트로 AWS 트래픽을 라우팅합니다.
* Amazon S3 Interface Endpoint: AWS PrivateLink 엔드포인트의 일종. 인터넷 게이트웨이, NAT 장치, VPN 연결 또는 AWS Direct Connect 연결 없이 VPC와 비공식적으로 연결.
⇒ Private IP 사용하므로 트래픽이 AWS 네트워크를 사용 = 온프레미스 네트워크에는 직접 인터넷 액세스가 없으므로 적절
836
EC2 자동 확장 그룹 사용 + 데이터베이스는 필요 X + 웹 사이트를 두 번째 리전에 배포 + 재해 복구 목적으로 두 리전에 트래픽 분산 + 건강하지 않은 리전에서 트래픽 제공 X
B. Amazon Route 53 다중값 답변 라우팅 정책
* Route 53 다중 값 응답 라우팅: 여러 IP 주소를 반환하는 방식으로 트래픽을 분산하는 라우팅 정책 + 헬스 체크를 추가하여 비정상적인 리소스의 IP주소는 반환하지 않음.
837
Linux 릴리즈 실행 + 25GB 이상의 파일 저장, 검색시 가용성 문제 발생 → 인스턴스 간에 파일을 전송할 필요가 없는 솔루션 + 여러 인스턴스와 여러 가용성 영역
C. 모든 EC2 인스턴스에 Amazon Elastic File System(Amazon EFS) 파일 시스템을 마운트합니다. 직원들에게 EC2 인스턴스에서 파일에 액세스하도록 지시합니다.
⇒ EFS: 관리나 프로비저닝 필요없이 파일을 추가하거나 제거함에 따라 자동으로 확장, 축소 + 다중 액세스 가능 + Cross-AZ를 지원
838
RDS + 민감한 애플리케이션 + 개인식별번호(PII)는 휴면상태에서 암호화 + 인프라 최소한으로 변경
D. AWS Key Management Service(AWS KMS) 키를 사용하여 Amazon Elastic Block Store(Amazon EBS) 암호화 및 Amazon RDS 암호화를 구성하여 인스턴스 및 데이터베이스 볼륨을 암호화합니다.
* KMS: 관리형 암호화 키 서비스
* SSL: 전송 중 데이터 암호화
* AWS Certificate Manager(ACM): SSL/TLS 인증서 관리 서비스. 네트워크 통신 암호화
* AWS CloudHSM: 하드웨어 보안 모듈을 제공하여 암호화 키를 직접 관리
839
프라이빗 서브넷에서 Lambda 함수 실행 + NAT 인스턴스를 통한 인터넷 경로 + Lambda의 출력은 S3에 저장 + 업로드 시간 초과 발생 → 인터넷을 거치지 않고 S3에 액세스
C. VP에서 Amazon S3에 대한 게이트웨이 엔드포인트를 프로비저닝하고 그에 따라 서브넷의 경로 테이블을 업데이트합니다.
⇒ VPC Endpoint(Gateway Endpoint, Interface Endpoint)
- Gateway Endpoint: S3, DynamoDB만 지원
나머지는 Interface Endpoint 지원
- S3 Gateway VPC Endpoint ⇒ 트래픽이 인터넷을 통과하는 것을 방지(프라이빗 연결)
840
실시간 메시징 프로토콜(RTMP)을 통해 생방송 스트림 → 가속화된 TCP 연결
B. AWS 글로벌 엑셀러레이터
* Global Accelerator: 글로벌 사용자에게 제공하는 애플리케이션의 가용성과 성능을 향상하는데 도움이 되는 네트워킹 서비스
⇒ 가장 가까운 엔드포인트 접속을 자동으로 빠르게 라우팅을 도와줌, 최저 대기 시간 (TCP/UDP)
841
모든 EBS 볼륨에 분산된 350TB의 데이터를 보유 + 매일 EBS 스냅샷을 찍고 1개월 동안 스냅샷을 보관 + 일일 변경률은 EBS 볼륨의 5% + 규정에 따라 7년 동안의 월별 EBS 스냅샷 보관 + 최소한의 관리 작업 + 가장 비용 효율적
B. 현재 EBS 스냅샷 정책을 계속 진행합니다. 월별 스냅샷을 7년 보관 기간으로 Amazon EBS 스냅샷 보관소로 옮기는 새 정책을 추가합니다.
⇒ 비용만 생각하면 S3 Glacier Deep Archive지만 EBS에서 S3 Glacier로 복사하는 쉬운 방법 x (증분 스냅샷 이용, 월별 EBS 스냅샷을 S3로 복사하면 증분 스냅샷이 가득차게 되며 이를 먼저 전체 스냅샷으로 조립해야 사용 가능함)
* EBS 스냅샷 보관소: 장기 보존을 위해 최적화된 서비스이며, 비용면에서도 효율적
842
EFS 파일시스템에 영구 데이터 저장하는 인스턴스에서 애플리케이션 실행 + AWS 관리 서비스 솔루션을 사용하여 다른 리전으로 데이터 복제 + 가장 비용 효율적
D. AWS Backup을 사용하여 매일 백업을 수행하고 다른 리전에 복제하는 규칙이 있는 백업 계획을 만듭니다. EFS 파일 시스템 리소스를 백업 계획에 할당합니다.
* AWS Backup : aws 서비스 및 하이브리드 워크로드 전반의 데이터 보호를 중앙 집중화하고 자동화하는 완전관리형 서비스
* EFS-to-EFS 백업 솔루션: 동일한 리전 내 또는 리전 간에서 데이터를 복사하거나 백업하는 데 사용
843
마이그레이션 + 스토리지용 백엔드 Microsoft SQL 데이터베이스 + 인프라는 가용성이 높고 확장 가능 + 최소한의 관리 오버헤드
C. 웹 애플리케이션을 Application Load Balancer 뒤의 두 가용성 영역에 걸쳐 Auto Scaling 그룹에서 실행되는 Amazon EC2 인스턴스로 마이그레이션합니다. Multi-AZ 배포를 사용하여 데이터베이스를 Amazon RDS로 마이그레이션합니다.
⇒ 웹 애플리케이션의 가용성, 확장성을 높이기 위해 Auto Scaling을 사용 + 데이터베이스의 가용성을 높이기 위해 Multi-AZ 배포를 사용
RDS의 Multi-AZ 배포는 자동 장애 조치 및 높은 가용성을 제공.
읽기 복제본은 트래픽을 분산 처리. 장애 조치x
844
온프레미스 ↔ AWS SMB 파일 공유 + 저지연 연결 필요 + AWS에 대한 VPN 연결이 이미 있음 + 코드 수정할 시간이 없음 → 애플리케이션이 AWS에 파일을 복사할 수 있는 서비스
D. AWS 스토리지 게이트웨이
* AWS Storage Gateway: SMB 프로토콜 지원 + 기존 파일 공유 방식으로 저장(코드 수정 없이 파일 이동) + 저지연 연결
⇒ 온프레미스에서 사실상 무제한의 클라우드 스토리지에 액세스할 수 있는 하이브리드 클라우드 스토리지 서비스 세트를 제공, AWS Storage Gateway의 파일 게이트웨이 구성은 SMB 프로토콜(및 NFS)을 지원하여 온프레미스 애플리케이션이 기존 파일 시스템 프로토콜을 사용하여 Amazon S3에 파일을 원활하게 저장하고 검색
845
직원 15명의 시작날짜 DynamoDB에 저장 + 근무 기념일에 직원에게 이메일 메시지 + 가장 높은 운영 효율성
C. DynamoDB 테이블을 스캔하고 Amazon Simple Notification Service(Amazon SNS)를 사용하여 필요할 때 직원에게 이메일 메시지를 보내는 AWS Lambda 함수를 만듭니다. 이 Lambda 함수를 매일 실행되도록 예약합니다.
EC2 인스턴스 ⇒ 운영 오버헤드
SQS + Lambda 사용 필요 x ⇒ SNS만 사용해도 충분
846
회사는 “매년 휴일”동안 트래픽이 급증할 것으로 예상 → ASG 성능을 위해 용량을 사전에 늘리는 전략
B. 예상되는 최대 수요 기간 전에 자동 크기 조정 그룹을 확장하기 위한 반복적인 예약 작업을 만듭니다.
- 예약된 확장 정책 : 매일 동일한 시간에 발생
- 동적 확장 정책: 예측 불가능한 작업
847
RDS for PostgreSQL 데이터베이스 사용 + 비밀번호 로테이션 구현 + 가장 적은 운영 오버헤드
A. AWS Secrets Manager에 비밀번호를 저장합니다. 비밀에 자동 로테이션을 활성화합니다
⇒ Secrets Manager 사용: 자동 회전 기능
* AWS Secrets Manager: 데이터베이스 자격 증명, API 키, 인증서와 같은 비밀번호 저장 관리. 애플리케이션, 서비스 및 리소스에 대한 액세스를 보호하는데 도움이 되는 비밀 관리 서비스
* AWS KMS: 암호화 키 생성 관리, 데이터 암호화 및 복호화
848
마이그레이션하는 동안 BYOL 모델 사용 가능 + 권한 있는 액세스가 필요한 타사 DB 기능 사용 + 가장 비용 효율적
B. 네이티브 도구를 사용하여 데이터베이스를 Amazon RDS Custom for Oracle로 마이그레이션합니다. 타사 기능을 지원하도록 새 데이터베이스 설정을 사용자 지정합니다.
* RDS Custom for Oracle 사용: BYOL 모델을 지원 + 특별한 패치를 적용하고 데이터베이스 소프트웨어 설정을 변경함으로써 액세스에 권한이 필요한 타사 애플리케이션을 지원하는 등 데이터베이스 서버 호스트 및 운영 체제에 액세스하고 사용자 지정 가능 + License Included(LI) , Bring Your Own License(BYOL) 2가지의 라이선스 옵션 존재
849
현재 인프라를 백업하기 위해 많은 사용자 지정 스크립트 사용 ⇒ AWS 기본 옵션을 사용해 관리를 중앙 집중화 + 백업 과정을 최대한 자동화
B. AWS Backup을 사용하여 사용 중인 서비스에 대한 모든 백업을 구성하고 모니터링합니다.
* AWS Backup : aws 서비스 및 하이브리드 워크로드 전반의 데이터 보호를 중앙 집중화하고 자동화하는 완전관리형 서비스
850
보안 위험을 초래하는 리소스에 대한 정책을 식별하고 시행하기 위해 IT 인프라 맵을 구축 + 보안 팀 : IT 인프라 맵에서 데이터를 쿼리 + 보안 위험을 빠르게 식별 + 가장 적은 운영 오버헤드
B. Amazon Neptune을 사용하여 데이터를 저장합니다. SPARQL을 사용하여 데이터를 쿼리하여 보안 위험을 식별합니다.
* Neptune: 그래프 데이터를 저장하고 쿼리. IT 인프라 맵에 내재된 복잡한 관계를 표현하고 쿼리하는 데 적합
* SPARQL: 그래프 데이터베이스를 위한 강력하고 효율적인 쿼리 언어로, 보안 위험을 빠르게 식별하는 데 도움
'클라우드 > AWS' 카테고리의 다른 글
| [Associate SAA-C03] - dump 정리 901 ~ 950 (0) | 2024.10.19 |
|---|---|
| [Associate SAA-C03] - dump 정리 851 ~ 900 (0) | 2024.10.18 |
| [Associate SAA-C03] - dump 정리 771 ~ 799 (0) | 2024.10.16 |
| [Associate SAA-C03] - dump 정리 731 ~ 770 (0) | 2024.10.15 |
| [Associate SAA-C03] - dump 정리 701 ~ 730 (0) | 2024.10.13 |