901
워크로드 마이그레이션 + SQL Server 인스턴스에서 실행되는 온프레미스 관계형 DB + 민감하고 중요한 데이터 → 보안 강화 + 운영 오버헤드
B. 데이터베이스를 SQL Server DB 인스턴스용 Multi-AZ Amazon RDS로 마이그레이션합니다. 암호화를 위해 AWS Key Management Service(AWS KMS) AWS 관리 키를 사용합니다.
* Amazon Macie: AWS에서 제공하는 데이터 보안 및 개인정보 보호 서비스. 머신 러닝 및 자연어 처리를 사용하여 Amazon S3에 저장된 데이터의 민감한 정보를 자동으로 식별하고 분류. 데이터 보호 및 규정 준수 강화
902
AWS로 마이그레이션 + 가용성 + WAF
A. 두 개의 가용성 영역에 걸쳐 애플리케이션을 호스팅하는 여러 Amazon EC2 인스턴스가 포함된 자동 확장 그룹을 만듭니다. 애플리케이션 로드 밸런서(ALB)를 구성하고 자동 확장 그룹을 대상으로 설정합니다. WAF를 ALB에 연결합니다.
⇒ Auto Scailing Group + ALB + WAF를 ALB에 연결
903
S3 버킷에서 데이터 레이크 관리, S3 버킷에는 각 애플리케이션에 대한 고유한 접두사 포함
→ 각 애플리케이션을 특정 접두사로 제한하고 각 접두사 아래의 객체를 세부적으로 제어 + 가장 적은 운영 오버헤드
A. 각 애플리케이션에 대한 전용 S3 액세스 포인트와 액세스 포인트 정책을 생성합니다.
* S3 액세스 포인트: Amazon S3에서 공유 데이터 세트에 대한 액세스를 관리하는 방법을 제공, 각 액세스 포인트에는 고유한 호스트 이름과 사용 사례에 맞는 정책이 있어 데이터에 대한 액세스를 세부적으로 제어
904
S3 버킷에 이미지 업로드하는 애플리케이션 + 매일 밤, 수신한 모든 이미지를 처리하는 EC2 SPOT Fleet 시작 + 이미지 처리에는 2분 소요, 512MB 메모리
A. S3 Event Notifications를 사용하여 이미지 세부 정보가 포함된 메시지를 Amazon Simple Queue Service(Amazon SQS) 대기열에 씁니다. AWS Lambda 함수를 구성하여 대기열에서 메시지를 읽고 이미지를 처리합니다
⇒ SQS + Lambda : SQS 사용하면 모든 이미지 처리 가능
* Lambda: 최대 15분과 최대 10,000MB를 허용 + 비용 효율적
A. AWS Global Accelerator를 사용하여 가속기를 만듭니다. 로드 밸런서를 엔드포인트로 추가합니다.
D. 각 리전에서 EC2 엔드포인트를 처리하기 위해 네트워크 로드 밸런서를 구성합니다. 온프레미스 엔드포인트로 라우팅하는 각 리전에서 네트워크 로드 밸런서를 구성합니다.
* AWS Global Accelerator: 여러 AWS 리전과 온프레미스 리소스를 가속화하여 최적의 경로를 제공하고 장애 발생 시 빠르게 대체 경로로 전환
906
만료된 EBS 스냅샷 정리 스크립트 실행 + 실수로 스냅샷 삭제 + 무기한 보관하지 않고도 데이터 손실을 방지하는 아키텍처 + 최소한의 개발 노력
C.휴지통에 7일간의 EBS 스냅샷 보관 규칙을 만들고 모든 스냅샷에 규칙을 적용합니다.
→ AWS 휴지통을 사용하면 실수로 삭제된 EBS 스냅샷과 같은 리소스들을 복구 가능. 영구 삭제 방지 + 설정된 보존 기간 동안 삭제된 스냅샷 복원 가능.
907
AWS CloudFormation 템플릿을 퍼블릭 액세스를 차단하는 S3 버킷에 저장 + 테스트 환경을 만들기 위한 특정 사용자 요청에 따라 S3 버킷의 템플릿에 대한 CloudFormation 액세스를 부여 + 보안 모범 사례 솔루션
C. 템플릿 객체에 대한 사전 서명된 URL을 만듭니다. 사전 서명된 URL을 사용하도록 CloudFormation 스택을 구성합니다.
* 사전 서명된 URL: S3에 대한 공개 엑세스를 허용하지 않고도 임시 액세스 권한을 부여. 특정 기간 동안만 접근 권한 부여 가능.
* 게이트웨이 VPC 엔드포인트: 프라이빗 네트워크 내 S3 안전하게 접근. 임시적 접근x
908
AWS Organizations의 조직에서 실행되는 애플리케이션 + 운영 지원을 아웃소싱 + 보안을 손상시키지 않고 외부 지원 엔지니어에게 액세스 제공 + 외부 지원 엔지니어는 AWS Management Console에 액세스 + 프라이빗 서브넷에서 Amazon Linux를 실행 + Amazon EC2 인스턴스 플릿에 대한 운영 체제 액세스가 필요 + 가장 안전하게 충족
A. 모든 인스턴스에 AWS Systems Manager Agent(SSM Agent)가 설치되어 있는지 확인합니다. Systems Manager에 연결하는 데 필요한 정책이 있는 인스턴스 프로필을 할당합니다. AWS IAM Identity Center를 사용하여 외부 지원 엔지니어 콘솔 액세스를 제공합니다. Systems Manager Session Manager를 사용하여 필요한 권한을 할당합니다.
⇒ SSH 키나 베스천 호스트 없이도 인스턴스에 안전하게 접근
* AWS Systems Manager: 인스턴스에 대한 원격 액세스를 제공하면서도 SSH 키 관리가 필요 없고 세션이 암호화
* IAM Identity Center(Single Sign-On)를 사용하여 AWS Management Console 액세스를 제공하면 중앙에서 관리되는 인증을 통해 외부 엔지니어에게 안전하게 액세스
909
기계 학습(ML) 모델을 사용하여 거의 실시간 보고서를 기반으로 연간 수익을 예측 + 데이터베이스 성능은 영업 시간 동안 느려짐. → 데이터베이스 성능 개선 + 비용 효율적
D. us-east-1에 읽기 복제본을 만듭니다. 읽기 복제본에서 생성될 보고서를 구성합니다.
→ 읽기 복제본은 지역 간 복제본, 다중 AZ 배포 보다 훨씬 저렴.
910
휴일 주말에 매출이 크게 증가 예상 + 2분을 넘지 않는 세부성으로 성능 분석 솔루션
B. 모든 EC2 인스턴스에서 자세한 모니터링을 활성화합니다. Amazon CloudWatch 메트릭을 사용하여 추가 분석을 수행합니다.
* CloudWatch의 세부 모니터링: 1분 단위. EC2 인스턴스의 성능 데이터를 실시간으로 수집하고 분석
911
사진 저장, 공유 + 사진을 S3 버킷에 업로드 + 매일 약 150장 업로드 + 각 새 사진의 썸네일을 만들고 두 번째 S3 버킷에 썸네일을 저장하는 솔루션 + 가장 비용 효율적
C. 사용자가 애플리케이션에 새 사진을 업로드할 때마다 AWS Lambda 함수를 호출하도록 S3 이벤트 알림을 구성합니다. Lambda 함수를 구성하여 섬네일을 생성하고 두 번째 S3 버킷에 섬네일을 업로드합니다.
⇒ Lambda는 사용자가 새 사진을 업로드할 때마다 자동으로 실행되며, 추가적인 설정 없이 자동으로 확장 + 사진이 업로드될 때마다 이벤트 알림이 Lambda 함수를 트리거하여 즉시 섬네일을 생성하고 저장할 수 있어 처리 지연이 최소화
+ EC2나 EMR 같은 상시 실행 인프라는 불필요한 비용을 초래
912
Amazon S3 Glacier Deep Archive 스토리지 클래스+ Amazon S3 버킷에 여러 접두사에 걸쳐 수백만 개의 객체를 저장 + 보관해야 하는 데이터 하위 집합을 제외하고 3년 이상 된 모든 데이터를 삭제 +보관해야 하는 데이터를 식별했고 서버리스 솔루션을 구현
D. S3 인벤토리를 활성화합니다. 객체를 필터링하고 삭제하는 AWS Lambda 함수를 만듭니다. 인벤토리 보고서를 사용하여 객체를 삭제하려면 S3 배치 작업으로 Lambda 함수를 호출합니다.
913
AWS Lambda 함수를 사용 + 단일 Amazon S3 버킷에서 민감한 데이터를 검색하여 처리 + 권한이 있는 Lambda 함수만 데이터에 액세스 + 최소 권한 원칙을 준수
C. 각 Lambda 함수에 대해 개별 IAM 역할을 만듭니다. IAM 역할에 S3 버킷에 대한 액세스 권한을 부여합니다. 각 IAM 역할을 해당 Lambda 함수에 대한 Lambda 실행 역할로 지정합니다.
각 Lambda 함수에 대해 개별 IAM 역할을 만들음 → 필요한 최소 권한만 부여 + 각 Lambda 함수에 대해 권한을 독립적으로 설정하고 관리할 수 있습니다. 필요 시 특정 Lambda 함수의 권한을 조정 용이
914
각 사업부를 위한 마이크로서비스로 구성된 비생산 애플리케이션 + 단일 개발팀이 모든 마이크로서비스 유지 관리 + 정적 웹 프런트엔드와 애플리케이션 로직을 포함하는 Java 기반 백엔드를 사용 + 안전하고 전 세계적으로 사용 가능한지 확인
B. Amazon CloudFront와 Amazon S3를 사용하여 정적 웹 프런트엔드를 호스팅합니다. 마이크로서비스가 Amazon API Gateway를 사용하여 액세스하는 AWS Lambda 함수를 사용하도록 마이크로서비스를 리팩토링합니다. MySQL 데이터베이스를 Amazon RDS for MySQL로 마이그레이션합니다.
* AWS Amplify: 풀스택 서버리스 애플리케이션을 위한 서비스
915
비디오 게임 회사 + 글로벌 사용자에게 배포 + 실시간 리뷰와 순위 제공 + 데이터에 빠르게 액세스하는 솔루션 + 다시 시작할 경우 데이터가 디스크에 유지되도록 + 최소한의 운영 오버헤드
C. Redis Duster용 Amazon ElastiCache를 배포합니다. 플레이어 데이터를 ElastiCache 클러스터에 저장합니다.
* Redis: 인메모리 데이터베이스 + 실시간 데이터 처리 → 실시간 리뷰와 순위에 적합
* ElastiCache for Redis: 데이터 영속성을 위한 RDB 스냅샷과 AOF(Append-Only File) 방식을 지원. 재시작되더라도 데이터를 디스크에 유지 + 관리형 서비스
916
민감한 데이터 처리 + 여러 고객의 재무 데이터를 저장하고 처리 + 규정 준수 요구 사항 충족 → 고객의 데이터를 안전한 중앙 집중식 키 관리 솔루션을 사용하여 별도로 암호화해야 함 + AWS Key Management Service(AWS KMS)를 사용+ 가장 적은 운영 오버헤드
D. 세부적인 액세스 제어 및 로깅이 활성화된 각 고객 데이터에 대해 별도의 AWS KMS 키를 생성합니다.
⇒ 각 고객에 대해 별도의 KMS 키를 생성하면 고객 데이터가 분리되고 각 고객의 데이터에 대한 개별적인 액세스 제어 및 로깅이 가능
규정 준수 요구 사항 충족 + 독립적으로 암호화 + 관리형 서비스
단일 AWS KMS 키를 생성 → 모든 고객의 데이터를 동일한 키로 암호화하는 것은 보안상 위험이 큼
S3 서버측 암호화 → 운영 오버헤드 증가
917
고객 주문 처리를 위한 회복성 있는 웹 애플리케이션 설계 + 고객 경험에 영향 x + 고객 주문을 잃으면 x + 웹 트래픽과 애플리케이션 사용량의 증가를 자동으로 처리
D. Application Load Balancer를 사용하여 웹 트래픽을 관리합니다. Amazon EC2 Auto Scaling 그룹을 사용하여 고객 주문을 수신하고 처리합니다. Amazon Simple Queue Service(Amazon SQS)를 사용하여 처리되지 않은 주문을 저장합니다. Multi-AZ 배포가 있는 Amazon RDS를 사용하여 처리된 고객 주문을 저장합니다.
918
AWS DataSync를 사용하여 수백만 개의 파일을 마이그레이션 + 파일 크기 평균 10KB + 파일 스토리지에 S3 사용 + 마이그레이션 후 첫 1년동안은 파일에 한두 번 액세스 + 즉시 사용 가능 + 1년 후 최소 7년 보관 + 가장 비용 효율적
D. DataSync 작업을 구성하여 파일을 S3 Standard-Infrequent Access(S3 Standard-IA)로 전송합니다. 라이프사이클 구성을 사용하여 1년 후 7년의 보존 기간으로 파일을 S3 Deep Archive로 전환합니다.
* S3 Standard-IA: 첫해 동안 파일에 한두 번 액세스할 예정이므로, 드물게 액세스하지만 즉시 사용 가능해야 하는 파일에 적합합니다. 저장 비용은 저렴하면서 액세스 비용이 발생하지만, 액세스 빈도가 낮기 때문에 이 옵션이 비용 효율적
* Amazon S3 Glacier Instant Retrieval: 거의 액세스되지 않고 밀리초 단위로 검색해야 하는 장기 데이터에 대한 최저 비용 스토리지를 제공하는 아카이브 스토리지 클래스
⇒ S3 Glacier Instant Retrieval은 즉시 액세스가 필요할 때 적합하지만, 첫해에는 파일을 자주 액세스하지 않으므로 S3 Standard-IA가 더 적합
919
리프트 앤 시프트 마이그레이션 수행 + EC2 Linux 인스턴스는 64,000 IOPS의 1TB Provisioned IOPS SSD(io1) EBS 볼륨을 사용 + 마이그레이션 후 데이터베이스 스토리지 성능은 온프레미스 데이터베이스 성능보다 느림 + 스토리지 성능 개선
A. Provisioned IOPS SSD(io1) EBS 볼륨을 더 추가합니다. OS 명령을 사용하여 LVM(Logical Volume Management) 스트라이프를 만듭니다.
* 스트라이프 구성: 여러 개의 EBS 볼륨을 추가하고 LVM을 사용하여 스트라이프를 구성하면 읽기 및 쓰기 작업이 여러 볼륨에 분산되어 IOPS와 스루풋이 향상. 동시에 더 많은 I/O 작업을 수행할 수 있어 성능이 개선
⇒ io1에 대해 프로비저닝된 최대 IOPS는 64000이므로 더 많은 io1 볼륨을 추가하여 더 높은 집계 성능
920
모놀리식 아키텍처 → 서버리스 마이크로서비스 아키텍처로 마이그레이션 + 이벤트 중심의 느슨한 결합 + 게시/구독(pub/sub) 패턴을 사용 + 가장 비용 효율적
* 모놀리식 아키텍처: 단일 애플리케이션으로 개발 +배포. 모든 기능이 하나의 코드베이스와 하나의 실행 파일안에 포함
B. Amazon Simple Notification Service(Amazon SNS) 토픽에 이벤트를 게시하는 AWS Lambda 함수를 호출하도록 Amazon API Gateway REST API를 구성합니다. 하나 이상의 구독자가 SNS 토픽에서 이벤트를 수신하도록 구성합니다.
게시/구독 패턴 → SNS : 여러 구독자가 동일한 이벤트 수신 + 느슨한 결합 + 사용한 만큼 비용 지불
* REST API: 더 많은 기능을 제공, AWS Lambda와의 통합, API 키 관리, 사용량 계획 등의 고급 기능을 지원.
* HTTP API: 비용이 저렴하고 간단한 설정으로 빠른 성능을 제공합니다. 일부 기능이 제한적.
921
밀접하게 결합된 모듈 + 피크 사용 시간 동안 높은 CPU 사용률 발견 + 읽기 요청에 대한 RDS 성능 저하
A. EC2 인스턴스를 CPU 용량이 더 많은 EC2 인스턴스 유형으로 크기 조정합니다. 최소 및 최대 크기가 1인 자동 확장 그룹을 구성합니다. 읽기 요청에 대한 RDS 읽기 복제본을 구성합니다.
RDS 읽기 복제본은 쓰기 작업이 아닌 읽기 작업만 처리. 쓰기 트래픽은 데이터베이스 인스턴스에서 처리 됨.
RDS DB 인스턴스를 CPU 용량이 더 많은 인스턴스 유형으로 크기 조정 → 용량은 커졌지만 성능 개선은 x
922
개발자 팀에게 회사의 AWS리소스에 대한 액세스 권한 부여 + 리소스에 대한 높은 수준의 보안 유지 + 민감한 데이터에 대한 무단 액세스 방지하는 액세스 제어 솔루션
B. 최소 권한 원칙에 따라 세분화된 권한을 갖는 IAM 역할을 정의합니다. 각 개발자에게 IAM 역할을 할당합니다.
* AWS Cognito 사용자 풀은 주로 모바일 및 웹 애플리케이션에 대한 사용자 인증 및 관리를 위한 서비스
923
모놀리식 웹 애플리케이션 호스팅 + Amazon CloudWatch 메트릭을 분석한 결과 성능이 좋지 않은 기간 동안 CPU 사용률이 100% + 가용성 개선 + 가장 비용 효율적
B. 웹 서버에서 Amazon Machine Image(AMI)를 만듭니다. 새 시작 템플릿에서 AMI를 참조합니다.
E. 수평적 확장을 위해 자동 확장 그룹과 애플리케이션 부하 분산 장치를 만듭니다.
924
AWS Organizations를 사용하여 여러 AWS 계정 관리 + IAM 사용자에게 부여된 모든 권한을 검토하여 더 많은 권한이 있는 IAM 사용자를 확인 + 가장 적은 관리 오버헤드
C. AWS Identity and Access Management(IAM) Access Analyzer를 사용하여 회사의 모든 리소스와 계정을 검토합니다.
* IAM Access Analyzer는 리소스에 대한 액세스 권한을 분석하고, 정책에 의해 허용되는 액세스를 검토하여 불필요한 권한을 식별 + 자동화된 검토
925
데이터 보존 정책 구현 + S3 버킷에 저장된 민감한 문서는 일정 기간 동안 삭제 또는 수정으로부터 보호
B. 필요한 객체에 대해 S3 객체 잠금을 활성화하고 규정 준수 모드를 활성화합니다.
* S3 객체 잠금: 객체를 삭제 또는 수정으로부터 보호
- 규정 준수 모드: 잠금 상태에서 보존 기간이 만료 될 때까지 삭제 x - 누구도 삭제 x
- 거버넌스 모드: 특정 사용자는 삭제 가능
926
컨테이너 고객 대상 웹 애플리케이션 실행 + 워크로드는 AWS Fargate에서 ECS 사용 + 리소스 집약적 + 주 7일 24시간 이용 가능해야함 + 짧은 시간 동안 트래픽이 급증하는 것을 예상 + 고가용성 + 가장 비용 효율적
B. 안정 상태의 경우 Fargate를 사용하고 버스트 트래픽의 경우 Fargate Spot을 사용하여 ECS 용량 공급자를 구성합니다.
* 버스트 트래픽: 특정 시간 동안 급격하게 증가하는 사용자 요청이나 데이터 전송
* Fargate Spot: 비정기적, 일시적인 작업 + 비용 절감 + 작업이 긴급하지 않은 경우에 유용 + 언제든지 중단 위험
* AWS Compute Optimizer: AWS 리소스의 사용량 및 성능을 분석하여 최적의 인스턴스 유형을 추천해주는 서비스
⇒ Compute Optimizer는 주로 EC2 인스턴스 및 Lambda 함수의 리소스를 최적화 Fargate의 리소스는 사용량에 따라 자동으로 조정. 개별 작업의 리소스를 자동으로 조절하는데에 Compute Optimizer 사용 불가능.
927
ALB 뒤의 EC2 인스턴스에서 호스팅 + DNS에 Amazon Route 53을 사용 + DDOS 공격 감지 사전 대응 + 관리형 솔루션
D. AWS Shield Advanced를 구독합니다. Route 53에서 호스팅된 영역을 구성합니다. ALB 리소스를 보호된 리소스로 추가합니다.
* AWS Shield Advanced는 DDoS 공격을 감지하고 방어하는 데 필요한 관리형 솔루션
DDoS = Shield, SQL 주입 = WAF
⇒ DDoS 공격은 일반적으로 대량의 트래픽으로 이루어지며, WAF는 이러한 대량 트래픽에 대한 방어x
928
VPC에서 비디오 스트리밍 웹 애플리케이션을 호스팅 + NLB + 실시간 데이터 처리를 위한 TCP 트래픽 처리 + 무단 액세스 시도 방지를 위해 최소한의 아키텍처 변경으로 보안 개선
B. 신뢰할 수 있는 IP 주소만 허용하는 보안 그룹으로 NLB를 다시 만듭니다.
※ NLB: 보안 그룹 지원. NLB가 신뢰할 수 있는 IP 주소에서만 트래픽을 허용하도록 하는 규칙을 구성 + 액세스 제어 정책을 중앙에서 시행
#929
의료 회사 암호화된 Amazon SNS 토픽에 알림을 게시하는 AWS Lambda 함수를 개발 + 보호된 건강 정보(PHI)가 포함 + AWS KMS 고객 관리 키를 사용 + SNS 토픽에 메시지를 안전하게 게시하는 데 필요한 권한이 있는지 확인
A. Lambda 함수가 주제에 메시지를 게시할 수 있도록 허용하는 SNS 주제에 대한 리소스 정책을 만듭니다.
C. SNS 주제가 사용하는 암호화 키에 대한 리소스 정책을 생성하며, 이 정책에는 필요한 AWS KMS 권한이 있습니다.
⇒ SNS 주제를 암호화하는 데 사용되는 AWS KMS 키에 대한 접근을 제어하며, Lambda 함수가 해당 키를 사용
F. AWS KMS에서 고객 관리 키를 사용하는 데 필요한 IAM 권한이 있는 Lambda 실행 역할을 구성합니다.
⇒ Lambda 함수가 KMS 키를 사용하여 메시지를 암호화 및 복호화할 수 있도록 필요한 IAM 권한을 부여
930
텍스트 기반 데이터를 추출 + 첨부 + 100% 가동 시간이 필요 + 문서 추출 프로그램은 주문형 방식 + 하루 종일 가끔 실행 → 최소한으로 변경 + 확장 가능하고 비용 효율적인 새로운 시스템을 구축 + 회사는 코드를 변경x + 최소한의 구현 노력
A. 웹 포털에 대한 자동 확장 그룹에서 Amazon EC2 온디맨드 인스턴스를 실행합니다. AWS Lambda 함수를 사용하여 문서 추출 프로그램을 실행합니다. 직원이 새 상환 문서를 업로드할 때 Lambda 함수를 호출합니다.
100% 가동 시간→ 온디맨드 인스턴스
Lambda → 문서 추출 프로그램을 온디맨드 방식으로 쉽게 실행할 수 있으며, 코드 변경 없이 기존 시스템에 통합
931
다중 계정 AWS 환경 보유 + 성과 지표 게시하는 프로덕션 계정에 SNS 토픽 보유 + 로그 데이터 처리 분석 관리자 계정에 AWS Lambda 함수 보유 + Lambda는 중요한 지표가 보고될 때 SNS 토픽 메세지에 의해 호출
A. Amazon SNS가 Lambda 함수를 호출할 수 있도록 허용하는 IAM 리소스 정책을 생성합니다.
C. Lambda 함수가 주제를 구독할 수 있도록 허용하는 SNS 주제에 대한 IAM 정책을 생성합니다.
EventBridge는 SNS와 Lambda 간의 직접적인 메시지 전달을 위한 적절한 선택x
SNS에서 직접 Lambda를 호출하거나 구독하는 방식이 적합함.
932
EKS + 회사 VPC에 있는 pod에 대해 사용자 지정 서브넷 사용 + pod가 pod의 VPC내에서 안전하게 통신
C. Kubernetes용 Amazon VPC CNI 플러그인을 사용합니다. 포드가 사용할 VPC 클러스터에서 사용자 지정 서브넷을 정의합니다.
포드가 VPC 서브넷 내에서 고유한 IP 주소를 할당받음 → 사용자 지정 서브넷 설정
* VPC CNI 플러그인: Kubernetes 클러스터와 Amazon VPC 간 네트워크 통합을 제공하는 네트워크 플러그. Kubernetes 포드가 VPC의 IP 주소를 사용하여 다른 리소스(다른 포드, 서비스, 온프레미스 네트워크 등)와 통신
이 플러그인을 통해 포드가 VPC 내에서 안전하게 IP 주소를 할당
933
모든 데이터를 AWS에서 완전히 관리하는 단일 Amazon RDS for MySQL DB 인스턴스에 저장하는 전자상거래 애플리케이션 + 단일 장애 지점의 위험을 완화 + 최소한의 구현 노력
A. RDS DB 인스턴스를 수정하여 Multi-AZ 배포를 사용합니다. 다음 유지 관리 기간 동안 변경 사항을 적용합니다.
934
파일 서버 통합 + NFS와 SMB 액세스를 모두 지원하는 관리형 AWS 스토리지 서비스 + 프로토콜 간 공유 + 가용성 영역 수준에서 중복성이 있어야함
A. Amazon FSx for NetApp ONTAP을 스토리지에 사용합니다. 다중 프로토콜 액세스를 구성합니다.
Amazon FSx for NetApp ONTAP : 하이브리드 클라우드 지원. NFS, SMB, iSCSI와 같은 다양한 스토리지 프로토콜을 지원 + 데이터 중복 제거 + 데이터 전송 시 TLS 사용
다중 프로토콜 액세스: 동일한 파일 시스템에 대해 NFS와 SMB를 동시에 사용
935
퍼블릭 서브넷에서 호스팅하는 단일 Amazon EC2 인스턴스에서 실행 + DNS 레코드는 Amazon Route 53 영역에 게시 + 확장 가능하고 고가용성으로 재구성 + MySQL 읽기 지연 시간을 줄여야 함.
B. 여러 가용성 영역에서 개인 EC2 인스턴스를 시작하기 위해 자동 확장 그룹을 만들고 구성합니다. 새 애플리케이션 로드 밸런서 뒤에 있는 대상 그룹에 인스턴스를 추가합니다.
C. 데이터베이스를 Amazon Aurora MySQL 클러스터로 마이그레이션합니다. 별도의 가용성 영역에 기본 DB 인스턴스와 리더 DB 인스턴스를 만듭니다
936
수천 개의 AWS Lambda 함수 실행 + 민감한 정보를 안전하게 저장 + 자동 로테이션 + 최소한의 운영 오버헤드
B. 민감한 정보를 검색하는 Lambda 계층을 만듭니다.
C. AWS Secrets Manager에 민감한 정보 저장
⇒ AWS Secrets Manager는 민감한 정보를 안전하게 저장하고 자동 순환을 제공하여 수동 관리의 필요성을 줄임.
⇒ Lambda 계층: 여러 Lambda 함수가 각 함수에서 검색 논리를 복제할 필요 없이 Secrets Manager에 저장된 민감한 정보에 액세스. 검색 프로세스를 중앙 집중화하고 운영 복잡성을 줄임.
Parameter Store: 민감한 정보를 저장, Secrets Manager처럼 자동 로테이션 x
937
Auto Scaling 그룹의 Amazon EC2 인스턴스에서 실행되는 내부 애플리케이션+ 컴퓨팅 최적화 + Amazon EBS 볼륨을 사용 + 비용 최적화를 식별 + 가장 높은 운영 효율성
C. EC2 인스턴스, 자동 확장 그룹 및 EBS 볼륨에 대한 비용 권장 사항을 위해 AWS Compute Optimizer를 구성합니다.
* AWS Compute Optimizer: 머신 러닝 알고리즘으로 리소스 사용 패턴 분석, 비용 효율성과 성능을 높이는 최적의 리소스 구성 추천 + EC2 인스턴스, Amazon EBS 볼륨, Amazon ECS 서비스에 대한 리소스 구성을 최적화
938
단일 VPC의 여러 가용성 영역에 분산된 여러 Amazon EC2 인스턴스 + 미디어 스토어를 실행 → 모든 EC2 인스턴스 간 데이터 공유 + 고성능 솔루션 + VPC 내에서만 데이터를 보관
D. Amazon Elastic File System(Amazon EFS) 파일 시스템을 구성하고 모든 인스턴스에 마운트합니다.
* EFS: 완전 관리형 공유 파일 시스템
* S3: 객체 기반 스토리지
* EBS 볼륨: 여러 인스턴스 동시 공유x
939 Amazon RDS for MySQL 인스턴스 + 읽기 복제본 CPU 사용량은 60% + 기본 인스턴스 CPU 사용량은 60% → 활동이 완료된 후 읽기 복제본의 CPU 사용량은 25%로 일정 +기본 인스턴스의 CPU 사용량은 여전히 60%로 일정 → 데이터베이스 크기를 조정하고 향후 성장에 필요한 충분한 성능 제공
B. 읽기 복제본을 더 작은 인스턴스 크기로 조정합니다. 기본 인스턴스를 변경하지 마십시오.
940
데이터베이스를 PostgreSQL용 Amazon RDS로 마이그레이션 + 장기 실행 워크로드에 대한 비용 최적화
D. Amazon RDS for PostgreSQL 워크로드에 대한 All Upfront 옵션으로 3년 기간의 Reserved Instances를 구매합니다. EC2 인스턴스에 대한 All Upfront 옵션으로 3년 EC2 Instance Savings Plan을 구매합니다.
* All Upfront 옵션: 예약 인스턴스 및 절약 플랜 구매 방식 + 전체 비용을 한 번에 선불로 지불
#941
EKS 클러스터 사용 + 서비스 계정에 대한 IAM역할(IRSA) 사용 + EKS 클러스터의 Kubernetes 서비스 계정이 특정 AWS 리소스에 안전하고 세부적으로 액세스
D. 필요한 권한을 포함하는 IAM 역할을 정의합니다. Kubernetes 서비스 계정에 IAM 역할의 Amazon ResourceName(ARN)을 주석으로 지정합니다.
E. 서비스 계정의 IAM 역할과 OpenID Connect(OIDC) ID 공급자 간에 신뢰 관계를 설정합니다.
* IRSA 통합: EKS에서 Kubernetes 서비스 계정과 AWS IAM 역할을 연결 → EKS 클러스터를 OpenID Connect(OIDC) ID 공급자와 연결
* Amazon Resource Name (ARN): 리소스를 고유하게 식별하는 문자열. arn:aws:iam::
942
분석을 위해 Amazon S3 버킷에 기밀 데이터를 정기적으로 업로드 + 보안 정책에 따라 객체는 휴면 상태에서 암호화 + 매년 암호화 키를 자동으로 회전 + AWS CloudTrail을 사용하여 키 회전을 추적 + 암호화 키 비용을 최소화
C. AWS KMS 키(SSE-KMS)를 사용하여 서버 측 암호화 사용
* AWS KMS 키(SSE-KMS): 휴면 상태에서 암호화 + 자동 키 회전
* SSE-S3: AWS가 관리하는 암호화 키를 사용하므로 자동 회전되지만, 고객이 키 회전을 직접 제어x. 또한, 개인 회전 이벤트를 CloudTrail을 통해 키 회전을 추적x
943
지난 3개월 동안 여러 애플리케이션을 AWS로 마이그레이션 + 비용 내역 + 정기 보고서를 받고 싶음 + 가장 비용 효율적
C. 모든 AWS 리소스에 비용 키와 애플리케이션 이름 값을 태그합니다. 비용 할당 태그를 활성화합니다. Cost Explorer를 사용하여 원하는 정보를 얻습니다.
AWS Billing and Cost Management → 전체 비용 및 청구 관리 서비스
- Cost Explorer → 비용 및 사용량 분석 도구
- AWS Budgets → 예산 설정 및 관리 도구
* Cost Explorer: 비용 및 사용량을 시각적으로 분석하고 이해 + 서비스, 태그, 계정 등을 기준으로 분석
* AWS Budgets: AWS 리소스에 대한 예산을 설정, 관리 + 임계값 초과 시 알림 + 과거 사용량과 비용 분석하여 향후 비용 예측
* AWS Billing and Cost Management: AWS 리소스의 사용량과 비용 관리, 모니터링 + 상세 보고서
944
AWS에 웹 애플리케이션을 배포할 준비 → Amazon EC2 인스턴스에서 호스팅하는 웹 애플리케이션, Amazon RDS의 관계형 데이터베이스, 회사가 Amazon S3에 저장하는 정적 자산 + 견고하고 회복성 있는 아키텍처
B. 여러 가용성 영역에 걸쳐 Auto Scaling 그룹에서 Amazon EC2 인스턴스를 배포합니다. Multi-AZ RDS DB 인스턴스를 배포합니다. Amazon CloudFront를 사용하여 정적 자산을 배포합니다.
945 여러 AWS 계정에서 여러 내부 애플리케이션을 실행 + AWS Organizations를 사용하여 AWS 계정을 관리 + 네트워킹 계정의 보안 어플라이언스는 AWS 계정에서 애플리케이션 간 상호 작용을 검사
⇒ 내부 애플리케이션 트래픽을 보안 어플라이언스에서 검사
C. 네트워킹 계정에서 게이트웨이 로드 밸런서(GWLB)를 배포하여 보안 어플라이언스로 트래픽을 전송합니다. 애플리케이션 계정에서 인터페이스 GWLB 엔드포인트를 사용하여 GWLB로 트래픽을 전송하도록 애플리케이션 계정을 구성합니다.
* 게이트웨이 로드 밸런서(GWLB): 트래픽을 가로채고 검사할 수 있는 보안 어플라이언스를로 전달, 분석 + 여러 보안 장치의 트래픽을 중앙에서 처리하고 관리
* 인터페이스 GWLB 엔드포인트: 애플리케이션 계정에서 트래픽을 안전하게 GWLB로 전송. 이를 통해 여러 계정 간의 보안 검사가 가능
946
6개의 Aurora Replicas를 포함하는 Amazon Aurora MySQL DB 클러스터에서 프로덕션 워크로드를 실행 → 부서 중 하나의 실시간 보고 쿼리를 Aurora Replicas 3개에 자동으로 분산 + 이 3개의 복제본은 나머지 DB 클러스터와 다른 컴퓨팅 및 메모리 사양
A. 워크로드에 대한 사용자 정의 엔드포인트를 생성하고 사용합니다.
* 사용자 정의 엔드포인트: 사용자 지정 엔드포인트를 생성하면 세 개의 특정 Aurora 복제본을 포함하여 거의 실시간 보고 쿼리가 이러한 복제본에 자동으로 분산.
Amazon Aurora의 사용자 지정 엔드포인트를 사용하면 특정 복제본을 그룹화하고 해당 복제본으로만 트래픽을 라우팅. 컴퓨팅 및 메모리 사양이 다른 복제본이 있고 보고 쿼리와 같은 특정 워크로드를 해당 복제본으로 지정하려는 경우에 유용.
947
서버의 환경 변수에 있는 연결 문자열에 자격 증명을 저장 → AWS로 마이그레이션하고 Node.js 애플리케이션 서버를 AWS Lambda로 교체 + Amazon RDS for PostgreSQL로 마이그레이션하고 데이터베이스 자격 증명이 안전하게 관리 + 최소한의 운영 오버헤드
B. AWS Secrets Manager에서 데이터베이스 자격 증명을 비밀로 저장합니다. Secrets Manager를 구성하여 30일마다 자격 증명을 자동으로 순환합니다. Lambda 함수를 업데이트하여 비밀에서 자격 증명을 검색합니다.
* Secrets Manager: 데이터베이스 자격 증명과 같은 민감한 정보를 안전하게 저장, 검색 및 자동으로 회전
→ Lambda와 통합: Lambda 함수는 Secrets Manager API를 호출하여 Secrets Manager에 저장된 자격 증명을 쉽게 검색할 수 있으므로 애플리케이션 코드가 간소화되고 보안이 강화
948
온프레미스 Oracle 데이터베이스에서 Amazon RDS for Oracle로 기존 및 진행 중인 데이터 변경 사항을 복제 + 복제할 데이터 양은 매일 다름 + 복제에 AWS Database Migration Service(AWS DMS)를 사용 + 복제 인스턴스에 필요한 용량만 할당
B. 필요한 용량을 프로비저닝하는 동안 데이터를 분석하고 복제하기 위한 AWS DMS Serverless 복제 작업을 생성합니다.
* AWS DMS Serverless: 데이터 복제 워크로드의 수요에 따라 필요한 컴퓨팅 및 메모리 리소스를 자동으로 할당하고 관리 + 자동으로 데이터 복제 요구 사항에 따라 용량을 늘리거나 줄임.
949 다중 계층 웹 애플리케이션 + 내부 서비스 구성 요소는 Amazon EC2 인스턴스에 배포 + AWS에서 호스팅되는 타사 소프트웨어 서비스(SaaS) API에 액세스 + 내부 서비스에서 타사 SaaS 애플리케이션으로 안전하고 비공개적인 연결을 제공 + 최소한의 공개 인터넷 노출이 있는지 확인
D. AWS PrivateLink를 사용하여 애플리케이션의 VPC와 타사 SaaS 공급자 간에 개인 연결을 생성합니다.
→ 양방향 통신
* PrivateLink: VPC와 AWS 서비스 또는 타사 서비스 간의 데이터 전송이 인터넷을 거치지 않고 이루어져, 보안이 강화
950
기업 네트워크를 VPC에 연결하여 온프레미스에서 AWS 리소스에 액세스 + 네트워크 계층과 세션 계층에서 기업 네트워크와 VPC 간의 모든 트래픽을 암호화 + AWS와 온프레미스 시스템 간의 무제한 액세스를 방지하기 위한 보안 제어를 제공
C. AWS 사이트 간 VPN을 구성하여 VPC에 연결합니다. 온프레미스에서 VPC로 트래픽을 전달하기 위한 라우팅 테이블 항목을 구성합니다. 온프레미스에서 필요한 트래픽만 허용하도록 인스턴스 보안 그룹과 네트워크 ACL을 구성합니다.
Site-to-Site VPN: 네트워크와 세션 계층에서 모두 작동
Transit Gateway: 네트워크 계층에서만 작동
'클라우드 > AWS' 카테고리의 다른 글
| [Associate SAA-C03] - dump 정리 1000~ 1019 💢 (3) | 2024.10.21 |
|---|---|
| [Associate SAA-C03] - dump 정리 951 ~ 1000✨ (3) | 2024.10.20 |
| [Associate SAA-C03] - dump 정리 851 ~ 900 (0) | 2024.10.18 |
| [Associate SAA-C03] - dump 정리 800 ~ 850 (0) | 2024.10.17 |
| [Associate SAA-C03] - dump 정리 771 ~ 799 (0) | 2024.10.16 |