[AWS][SOA -C02] aws-certified-sysops-administrator-associate 51~70

51. SysOps 관리자는 다음 AWS CloudFormation 템플릿을 검사하고 있습니다.

스택 생성이 실패하는 이유는 무엇입니까?

• A. CloudFormation 템플릿의 출력 섹션이 생략되었습니다.
• 나. CloudFormation 템플릿의 [Parameters] 섹션이 생략되었습니다.
• 다. PrivateDnsName은 CloudFormation 템플릿에서 설정할 수 없습니다.

--> 지정 불가, 입력 시 오류 발생 

• 라. VPC가 CloudFormation 템플릿에 지정되지 않았습니다.

--> VPC를 직접 지정할 필요 없이, 서브넷 id 만 있으면 됨. 

 

PrivateDnsName 속성은 CloudFront가 직접 지정할 수 없는 속성

EC2 인스턴스를 생성할 때 AWS가 자동으로 할당.

---

52. 새로운 애플리케이션은 Amazon EC2 인스턴스에서 실행되며 Amazon RDS 데이터베이스 인스턴스의 데이터에 액세스합니다. 프로덕션에 완전히 배포되면 응용 프로그램이 실패합니다. 데이터베이스는 배스천 호스트의 콘솔에서 쿼리할 수 있습니다. 웹 서버 로그를 보면 다음 오류가 여러 번 반복됩니다.
*** Error Establishing a Database Connection

다음 중 연결 문제의 원인은 무엇입니까? (두 가지를 선택합니다.)

• A. 데이터베이스의 보안 그룹에는 데이터베이스에서 웹 서버로의 적절한 송신 규칙이 없습니다.
• 나. 웹 서버에서 사용하는 인증서는 RDS 인스턴스에서 신뢰하지 않습니다.
• 다. 데이터베이스의 보안 그룹에는 웹 서버에서 데이터베이스로의 적절한 수신 규칙이 없습니다.
• 라. 애플리케이션 개발자가 사용하는 포트가 RDS 구성에 지정된 포트와 일치하지 않습니다.
• 마. 데이터베이스가 아직 생성 중이며 연결에 사용할 수 없습니다.

베스천 호스트에서는 쿼리가 가능하지만, 웹서버에서 DB 연결이 안되는 것은 웹서버 트래픽이 인바운드 허용x 

개발자가 사용하는 포트가 RDS가 리스닝한는 포트와 다르면 연결x 

 

MySQL RDS 3306 포트 

PostgreSQL RDS 5432 포트

보안을 위해 비표준 포트를 사용할 수도 있음. 

---

53.

규정 준수 팀은 Amazon RDS DB 인스턴스의 모든 관리자 암호를 최소한 매년 변경하도록 요구합니다.
가장 운영 효율적인 방식으로 이 요구 사항을 충족하는 솔루션은 무엇입니까?

• AWS Secrets Manager에 데이터베이스 자격 증명을 저장합니다. 365일마다 시크릿에 대한 자동 교체를 구성합니다.
• 나. 데이터베이스 자격 증명을 RDS 파라미터 그룹에 파라미터로 저장합니다. 365일마다 암호를 회전하는 데이터베이스 트리거를 만듭니다.
• 다. 데이터베이스 자격 증명을 프라이빗 Amazon S3 버킷에 저장합니다. 365일마다 새로운 자격 증명 세트를 생성하도록 AWS Lambda 함수를 예약합니다.
• 라. 데이터베이스 자격 증명을 AWS Systems Manager Parameter Store에 보안 문자열 파라미터로 저장합니다. 365일마다 매개변수에 대한 자동 회전을 구성합니다.

AWS Secrets Manager

데이터베이스 자격 증명(암호)같은 민감 정보를 저장, 관리, 자동 교체(회전) 기능 지원 

 

Systems Manager Parameter Store

암호(보안 문자열) 저장은 가능하지만, 자동 교체 기능 x 

---

54.

SysOps 관리자는 Amazon EC2 인스턴스 플릿을 관리할 책임이 있습니다. 이러한 EC2 인스턴스는 빌드 아티팩트를 타사 서비스에 업로드합니다. 타사 서비스는 최근에 모든 빌드 업로드가 단일 IP 주소에서 제공되도록 요구하는 엄격한 IP 허용 목록을 구현했습니다.
시스템 관리자는 이 새로운 요구 사항을 준수하기 위해 기존 빌드 플릿에 어떤 사항을 변경해야 합니까?

• A. 모든 EC2 인스턴스를 NAT 게이트웨이 뒤로 이동하고 게이트웨이 IP 주소를 서비스에 제공합니다.
• 나. 모든 EC2 인스턴스를 인터넷 게이트웨이 뒤로 이동하고 게이트웨이 IP 주소를 서비스에 제공합니다.

--> 각 인스턴스가 개별 퍼블릭 IP를 갖게됨. 

• 다. 모든 EC2 인스턴스를 단일 가용 영역으로 이동하고 서비스에 가용 영역 IP 주소를 제공합니다.
• 디. 모든 EC2 인스턴스를 피어링된 VPC로 이동하고 VPC IP 주소를 서비스에 제공합니다.

NAT 게이트웨이

프라이빗 서브넷의 여러 EC2 인스턴스가 인터넷으로 나갈 때 단일 고정 퍼블릭 ip주소로 트래픽이 나가도록 해줌.

---

55.

한 회사에서 Amazon CloudFront 배포를 사용하여 웹 사이트를 제공합니다. 웹 사이트의 트래픽 로그는 중앙에 저장되어야 하며 모든 데이터는 저장 시 암호화되어야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. 기본 AWS 관리형 고객 마스터 키(CMK)를 사용하는 인터넷 액세스 및 서버 측 암호화를 사용하여 Amazon OpenSearch Service(Amazon Elasticsearch Service) 도메인을 생성합니다. Amazon OpenSearch Service(Amazon Elasticsearch Service) 도메인을 로그 대상으로 사용하도록 CloudFront를 구성합니다.

--> OpenSearch 도메인은 일반적으로 로그 분석용

• 나. AES-256을 사용하는 VPC 액세스 및 서버 측 암호화를 사용하여 Amazon OpenSearch Service(Amazon Elasticsearch Service) 도메인을 생성합니다. Amazon OpenSearch Service(Amazon Elasticsearch Service) 도메인을 로그 대상으로 사용하도록 CloudFront를 구성합니다.
• 다. AES-256을 사용하는 기본 서버 측 암호화로 구성된 Amazon S3 버킷을 생성합니다. S3 버킷을 로그 대상으로 사용하도록 CloudFront를 구성합니다.
• 디. 기본 암호화 없이 구성된 Amazon S3 버킷을 생성합니다. CloudFront 배포에서 암호화를 활성화하고 S3 버킷을 로그 대상으로 사용합니다.

AES-256

데이터를 매우 강력하게 보호하는 표준 대칭형 암호화 방식

 

S3 서버측 암호화(Server-Side Encryption, SSE) 지원, AES-256(SSE-S3) 또는 고객 관리형 (SSE-KMS)로 암호화 가능

---

56. 

조직에서 파일 시스템 ID가 fs-85ba41fc인 Amazon Elastic File System(Amazon EFS) 볼륨을 생성했으며, 10개의 Amazon EC2 호스트에서 이 볼륨을 활발하게 사용하고 있습니다. 조직은 파일 시스템이 암호화되지 않은 것을 우려하게 되었습니다.
이 문제를 어떻게 해결할 수 있습니까?

• A. Amazon EFS 볼륨에 대한 각 호스트의 연결에서 암호화를 활성화합니다. 암호화를 적용하려면 각 연결을 다시 만들어야 합니다.
• 나. AWS Command Line Interface를 사용하여 기존 EFS 볼륨에서 암호화를 활성화합니다.
• 다. 각 호스트의 로컬 드라이브에서 암호화를 활성화합니다. 각 호스트를 다시 시작하여 드라이브를 암호화합니다.
• 라. 새로 생성된 볼륨에서 암호화를 활성화하고 원래 볼륨에서 모든 데이터를 복사합니다. 각 호스트를 새 볼륨에 다시 연결합니다.

-> EFS는 파일 시스템 생성 시점에만 암호화 옵션을 적용할 수 있음. 이미 생성된 EFS에는 추후 암호화 옵션을 켜거나 변경할 수 없음. 

---

57.

회사는 AWS Service Catalog 포트폴리오를 사용하여 리소스를 생성하고 관리합니다. SysOps 관리자는 새 AWS 계정에 회사의 기존 AWS 인프라에 대한 복제본을 생성해야 합니다.
이 요구 사항을 충족하는 가장 운영적으로 효율적인 방법은 무엇입니까?

• A. 새 AWS 계정에서 AWS Service Catalog 포트폴리오를 사용하려면 AWS CloudFormation 템플릿을 생성합니다.
• 나. 새 AWS 계정에서 원래 포트폴리오를 복제하는 AWS Service Catalog 포트폴리오를 수동으로 생성합니다.
• 다. AWS Lambda 함수를 실행하여 DescribePortfolio API 작업의 출력을 기반으로 새 AWS Service Catalog 포트폴리오를 생성합니다.
• 디. AWS Service Catalog 포트폴리오를 새 AWS 계정과 공유합니다. 포트폴리오를 새 AWS 계정으로 가져옵니다.

Service Catalog

조직 내에서 사용자가 쓸 수 있도록 미리 정해놓은 리소스 세트(템플릿 묶음)를 관리하는 서비스

허락된 CloudFormation 제품 모음집

 

포트폴리오(Portfolio)

Service Catalog에서 여러 개의 제품(Product)을 묶어서 관리하는 단위
→ 일종의 “템플릿 카탈로그 폴더” 같은 개념

 

구성요소                                               설명

포트폴리오 (Portfolio)	여러 제품(Product)들을 모아놓은 그룹
제품 (Product)	CloudFormation 템플릿 기반으로 만든 단일 리소스 세트
버전 (Version)	제품의 CloudFormation 템플릿 버전 관리
사용자/그룹	포트폴리오 단위로 접근 권한 제어 가능 (IAM 기반)

---

58. SysOps 관리자는 AWS 계정의 보안을 관리해야 합니다. 최근에 IAM 사용자의 액세스 키가 퍼블릭 코드 리포지토리에 실수로 업로드되었습니다.
SysOps 관리자는 이 액세스 키를 사용하여 변경된 모든 항목을 식별해야 합니다.
SysOps 관리자는 이러한 요구 사항을 어떻게 충족해야 합니까?

• 분석을 위해 모든 IAM 이벤트를 AWS Lambda 함수로 전송하는 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다.
• 나. Amazon CloudWatch Logs Insights를 사용하여 의심되는 기간 내에 손상된 액세스 키로 시작된 모든 이벤트에 대해 Amazon EC2 로그를 쿼리합니다.
• 다. AWS CloudTrail 이벤트 기록에서 의심되는 기간 내에 손상된 액세스 키로 시작된 모든 이벤트를 검색합니다.
• 라. VPC 흐름 로그에서 의심되는 기간 내에 손상된 액세스 키로 시작된 모든 이벤트를 검색합니다.

AWS CloudTrail: 모든 API 호출(누가, 언제, 어떤 리소스, 어떤 액세스 키로)에 대한 상세 로그를 저장

액세스 키 유출 → 누군가 이 키로 무언가 변경, 조회, 생성 등을 시도하면 CloudTrail에 모두 기록

특정 액세스 키(AccessKeyId) 기준으로 필터링해서, 해당 키로 이뤄진 모든 이벤트와 리소스 변경 사항 확인 가능. 

 

VPC 흐름 로그
→ 네트워크 트래픽(패킷 흐름)만 추적

---

59.

회사는 Application Load Balancer(ALB) 뒤에 있는 여러 Amazon EC2 인스턴스에서 소매 웹 사이트를 실행합니다. 회사는 HTTPS 연결을 통해 웹 사이트에 대한 트래픽을 보호해야 합니다.
이러한 요구 사항을 충족하기 위해 SysOps 관리자가 수행해야 하는 작업 조합은 무엇입니까? (두 가지를 선택합니다.)

• A. 인증서를 각 EC2 인스턴스에 연결합니다.
• 나. ALB에 인증서를 첨부합니다.
• 다. AWS Certificate Manager(ACM)에서 사설 인증서를 생성합니다.
• 라. AWS Certificate Manager(ACM)에서 공인 인증서를 생성합니다.
• 마. 인증서를 내보내고 웹 사이트에 첨부합니다.

---

61. 

회사가 단일 xlarge 범용 Amazon EC2 온디맨드 인스턴스 지표에 상태 저장 장기 실행 워크로드를 보유하고 있는 경우 서비스가 항상 사용 가능한 메모리의 80%와 사용 가능한 CPU의 40%를 사용하고 있음을 보여줍니다. SysOps 관리자는 성능에 부정적인 영향을 주지 않으면서 서비스 비용을 줄여야 합니다.
이러한 요구 사항을 충족하는 인스턴스 유형 변경은 무엇입니까?

= 메모리 중심 워크로드 --> 메모리 최적화 인스턴스를 선택하면, 같은 메모리를 더 저렴하게 확보 가능. 

• 하나의 대형 컴퓨팅 최적화 온디맨드 인스턴스로 변경합니다.
• 나. 하나의 대용량 메모리 최적화 온디맨드 인스턴스로 변경합니다.
• 다. 하나의 xlarge 범용 스팟 인스턴스로 변경합니다.
• 디. 두 개의 대형 범용 온디맨드 인스턴스로 변경합니다.

범용 인스턴스 : CPU/메모리 적절한 비율.

컴퓨팅 최적화 인스턴스: CPU 비율이 높고, 메모리는 상대적으로 적음 

메모리 최적화 인스턴스: vCPU 1개당 메모리 비율이 가장 높음

스팟 인스턴스: 저렴하지만 중단 위험 - 상태 저장 장기 실행 워크로드에서는 부적합 

 

• 범용: 약 1 vCPU : 4 GiB (m5.xlarge = 4 vCPU, 16 GiB)
• 컴퓨팅 최적화: 약 1 vCPU : 2 GiB (c5.xlarge = 4 vCPU, 8 GiB)
• 메모리 최적화: 약 1 vCPU : 8 GiB (r6g.xlarge = 4 vCPU, 32 GiB)

---

62.

회사에서 SysOps 관리자에게 AWS CloudTrail 파일이 생성된 후 변조되지 않도록 요청합니다. 현재 이 회사는 AWS
Identity and Access Management(IAM)를 사용하여 특정 추적에 대한 액세스를 제한합니다. 회사의 보안 팀은 각 파일의 무결성을 추적할 수 있는 기능이 필요합니다.
이러한 요구 사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

• 가. 새 파일이 전송될 때 AWS Lambda 함수를 호출하는 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다. 파일에 대한 MD5 해시 검사를 계산하고 결과를 Amazon DynamoDB 테이블에 저장하도록 Lambda 함수를 구성합니다. 보안 팀은 DynamoDB에 저장된 값을 사용하여 전달된 파일의 무결성을 확인할 수 있습니다.
• 나. 새 파일이 CloudTrail 버킷으로 전달될 때마다 호출되는 AWS Lambda 함수를 생성합니다. 파일에 대한 MD5 해시 검사를 계산하고 결과를 Amazon 53 객체에 태그로 저장하도록 Lambda 함수를 구성합니다. 보안 팀은 태그의 정보를 사용하여 전달된 파일의 무결성을 확인할 수 있습니다.
• 다. Amazon S3 버킷에서 CloudTrail 파일 무결성 기능을 활성화합니다. 보안 팀에 S3 버킷에 저장된 파일 무결성 로그에 대한 액세스 권한을 부여하는 IAM 정책을 생성합니다.
• 라. 추적에서 CloudTrail 파일 무결성 기능을 활성화합니다. 보안 팀은 CloudTrail에서 생성한 다이제스트 파일을 사용하여 제공된 파일의 무결성을 확인할 수 있습니다.

MD5 해시 검사 

파일의 무결성을 확인할 때 사용 

어떤 파일이나 데이터의 고유한 요약 값을 만들어내는 알고리즘 

 

CloudTrail

자체적으로 무결성 검증 기능을 제공

로그 파일 생성 시 다이제스트 파일 함께 생성 

 

다이제스트 파일(Digest File)

CloudTrail은 로그 파일이 조작되지 않았는지(무결성)보장을 위해 주기적으로 다이제스트 파일 생성 

이 파일에 로그 파일들의 해시값과 조합값(체인)을 저장 = 즉, 변조되지 않음을 증명해주는 서명된 해시 집합 파일 

---

 

63. 

AWS 클라우드 인프라에서 조직에 영향을 줄 수 있는 이벤트가 발생하면 어떤 AWS 서비스를 사용하여 조직의 리소스 중 어떤 리소스가 영향을 받는지 확인할 수 있습니까?

• 가. AWS Service Health Dashboard
• 나. AWS Trusted Advisor
• -->  “모범 사례” 준수 상태를 자동 진단하고 추천(Advice)을 주는 서비스
• 다. AWS Personal Health Dashboard
• 라. AWS Systems Manager

• Service Health Dashboard: 전체 AWS 서비스(공개적으로 운영 상태) 모니터링, 내 계정과 무관하게 전체 장애/점검 공지
• Personal Health Dashboard: 내 계정(내 리소스)에 직접 영향이 있는 이벤트만 보여줌, 비공개 맞춤형 대시보드

---

64.

회사에서 가져온 키 구성 요소와 함께 AWS KMS 고객 마스터 키(CMK)를 사용하고 있습니다. 이 회사는 데이터를 암호화하기 위해 Java 애플리케이션에서 별칭으로 CMK를 참조합니다. CMK는 6개월마다 교체해야 합니다.
키를 회전하는 프로세스는 무엇입니까?

• A. CMK에 대해 자동 키 교체를 활성화하고 기간을 6개월로 지정합니다.

--> 가져온 키 구성 요소를 사용하는 CMK는 자동 키 교체 지원x 

• 나. 새로 가져온 자료로 새 CMK를 생성하고 새 CMK를 가리키도록 키 별칭을 업데이트합니다.

--> Java 앱은 별칭(alias) 로 CMK를 참조하고 있으므로, 새 키로 별칭만 옮기면 앱 코드를 바꾸지 않아도 됨

 

• 다. 현재 키 구성 요소를 삭제하고 새 구성 요소를 기존 CMK로 가져옵니다.

--> 키 회전이 필요한 경우 새로운 CMK를 생성하고, 해당 키에 새로운 키 자료를 수동으로 가져와야함. 삭제 후 재가져오기 불가능. 

• 라. 기존 키 구성 요소의 복사본을 백업으로 새 CMK에 가져오고 6개월 동안의 교체 일정을 설정합니다.

AWS Key Management Service (KMS)

데이터를 암호화하고 복호화하는 데 사용하는 키를 중앙에서 안전하게 관리하는 서비스

 

KMS 고객 마스터 키(CMK) ※ 현재는 CMK는 더 이상 사용되지 않는 명칭

 

AWS KMS keys - AWS Key Management Service

AWS KMS keys - AWS Key Management Service

키 유형 

고객 관리형 키: 사용자가 직접 생성/관리. 키 정책, 별칭, 자동/수동 회전 등 모두 설정 가능/

AWS 관리형 키: 자동 생성 및 관리

외부 키: 사용자가 생성한 키 자료를 KMS에 가져오는 방식 

(가져온 키는 자동 회전x)  

 

• Key ID: 키의 고유 식별자
• ARN: Amazon Resource Name, KMS 키를 다른 서비스에서 참조할 때 사용
• 별칭(alias): 사람이 읽기 쉬운 키 이름 (예: alias/my-key)
• 키 정책 (Key Policy): 이 키를 누가 언제 어떤 방식으로 사용할 수 있는지를 정의

키 구성요소는 CMK 생성 시만 가져올 수 있음 -> 

기존 KMS 키의 ID는 그대로 유지하면서, 그 안의 암호화 구성 요소(=key material) 만 교체

 

회전 AWS KMS keys - AWS Key Management Service

회전 AWS KMS keys - AWS Key Management Service

 

[ Java 앱 ]
    |
    v
alias/my-key ───> OLD_KEY_ID  ❌  (6개월 지남)
                    │
                    └────> ❌ 암호화 중단 / 삭제 예약

alias/my-key ───> NEW_KEY_ID  ✅  (새 키로 변경됨)

 

키 회전하려면? 새 KMS 생성 + alias 변경 --> 현재 기존 KMS 키 유지 + 구성 요소만 교체 

그렇지만 외부키는 해당 x 

---

65. 보안 팀은 환경에서 사용되는 AWS Identity and Access Management(IAM) 정책의 수가 증가하고 있기 때문에 우려하고 있습니다. 팀은 SysOps 관리자에게 현재 사용 중인 IAM 정책의 수와 사용 가능한 총 IAM 정책에 대해 보고하도록 지시했습니다.
관리자는 현재 IAM 정책 사용량이 현재 서비스 제한과 어떻게 비교되는지 확인하기 위해 어떤 AWS 서비스를 사용해야 합니까?

 

A. AWS Trusted Advisor

--> IAM 정책이 얼마나 쓰이고 있고, 전체 한도의 몇 %인지 보여줌. 

 

B. Amazon Inspector

--> 보안 취약점 분석

 

C. AWS Config

-->  누가 언제 정책을 만들었는지

 

D. AWS Organizations

--> 여러 계정 통합 서비스 

 

A. AWS Trusted Advisor

 

AWS Trusted Advisor

AWS 리소스 건강검진 도우미

AWS 리소스에 대해 보안, 비용, 성능, 서비스 한도 초과 등 운영 상태를 모니터링하고 개선 제안을 해주는 자동화된 조언자 서비스

 

 AWS Trusted Advisor 점검 항목

Service Limits	IAM 정책, IAM 사용자 수, 역할 수 등 다양한 서비스별 현재 사용량과 최대 한도(쿼터) 비교 가능
Security	루트 계정 MFA 미사용 등 보안 관련 점검도 포함

 

---

66.

SysOps 관리자가 Amazon Route 53 도메인 이름을 설정하여 Amazon S3에서 호스팅되는 웹 사이트로 트래픽을 라우팅하려고 합니다. 웹 사이트의 도메인 이름은 www.example.com 이고 S3 버킷 이름은 DOC-EXAMPLE-BUCKET입니다. Route 53에서 레코드 세트를 설정한 후 도메인 이름 www.anycompany.com 작동하지 않는 것 같고 정적 웹 사이트가 브라우저에 표시되지 않습니다.
다음 중 어느 것이 원인입니까?

• A. 먼저 S3 버킷을 Amazon CloudFront로 구성해야 합니다.
• 나. Route 53 레코드 세트에는 S3 버킷에 대한 액세스를 허용하는 IAM 역할이 있어야 합니다.
• 다. Route 53 레코드 세트는 S3 버킷과 동일한 리전에 있어야 합니다.
• 디. S3 버킷 이름은 Route 53의 레코드 세트 이름과 일치해야 합니다.

D. S3 버킷 이름은 Route 53의 레코드 세트 이름과 일치해야 합니다.

---

S3 정적 웹 호스팅에 도메인 이름을 연결하려면, S3 버킷 이름이 정확히 해당 도메인 이름과 일치해야 함.

A,B,C -> DNS와 버킷 접근은 IAM 역할 없이도 작동하고, 리전도 관계 없음. CloudFront는 선택사항일 뿐 필수 아님

 

정적 웹 사이트 호스팅 (S3)
→ S3 버킷을 HTML/CSS/JS 파일로 정적 웹사이트처럼 공개할 수 있는 기능

 

요구사항 

정적 웹사이트 → S3 웹 호스팅 기능이 켜져 있어야 함

도메인 이름 → S3 버킷 이름과 정확히 일치해야 함

Route 53 → Alias 또는 CNAME으로 S3 웹 엔드포인트를 가리켜야 함

---

67. 

SysOps 관리자는 AWS CloudFormation을 사용하여 서버리스 애플리케이션을 프로덕션 VPC에 배포했습니다. 애플리케이션은 AWS Lambda 함수, Amazon DynamoDB 테이블 및 Amazon API Gateway API로 구성됩니다. SysOps 관리자는 DynamoDB 테이블을 삭제하지 않고 AWS CloudFormation 스택을 삭제해야 합니다.
SysOps 관리자가 AWS CloudFormation 스택을 삭제하기 전에 수행해야 하는 작업은 무엇입니까?

• A. AWS CloudFormation 스택의 DynamoDB 리소스에 보존 삭제 정책을 추가합니다.
• 나. AWS CloudFormation 스택의 DynamoDB 리소스에 스냅샷 삭제 정책을 추가합니다.
• 다. AWS CloudFormation 스택에서 종료 방지 기능을 활성화합니다.
• 라. dynamodb:DeleteTable 작업에 대한 Deny 문으로 애플리케이션의 IAM 정책을 업데이트합니다.

 A. AWS CloudFormation 스택의 DynamoDB 리소스에 보존 삭제 정책을 추가합니다.

---

CloudFormation에서는 리소스를 삭제할 때 리소스별로 “삭제 정책(DeletionPolicy)”을 정의할 수 있습니다.

DeletionPolicy: Retain

스택을 삭제하더라도 해당 리소스는 삭제하지 않고 보존(Retain)

 

DynamoDB는 스냅샷 삭제 정책을 지원x

---

68.

SysOps 관리자는 Amazon EC2 인스턴스가 응답을 중지했다는 알림을 받습니다. AWS Management Console에 시스템 검사가 실패하고 있다고 표시됩니다.
관리자는 이 문제를 해결하기 위해 먼저 무엇을 해야 합니까?

• A. 새 호스트에서 시작할 수 있도록 EC2 인스턴스를 재부팅합니다.--  Reboot
• 나. 새 호스트에서 시작할 수 있도록 EC2 인스턴스를 중지한 다음 시작합니다. --  Stop and then start
• 다.  EC2 인스턴스를 종료하고 다시 시작 -- Terminate 
• 라. AWS CloudTrail 로그를 보고 EC2 인스턴스에서 변경된 사항을 조사합니다.

시스템 상태 검사 실패

→ AWS의 물리 호스트에 문제가 있다는 뜻

EC2 인스턴스를 중지(stop) → AWS가 다른 정상적인 호스트로 재배치 → 다시 시작(start)

 

인스턴스 상태 검사 실패

Reboot → 호스트는 그대로 두고 OS만 재시작

 

Amazon EC2 인스턴스 상태 확인 - Amazon Elastic Compute Cloud

Amazon EC2 인스턴스 상태 확인 - Amazon Elastic Compute Cloud

---

69.

소프트웨어 개발 회사에는 동일한 제품에 대해 작업하는 여러 개발자가 있습니다. 각 개발자는 고유한 개발 환경을 가져야 하며 이러한 개발 환경은 동일해야 합니다. 각 개발 환경은 Amazon EC2 인스턴스와 Amazon RDS DB 인스턴스로 구성됩니다. 개발 환경은 필요한 경우에만 만들어야 하며 비용을 최소화하기 위해 매일 밤 종료해야 합니다.
이러한 요구 사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

• A. 개발자에게 동일한 AWS CloudFormation 템플릿에 대한 액세스 권한을 제공하여 필요할 때 개발 환경을 프로비저닝할 수 있도록 합니다. 각 개발 인스턴스에서 야간 cron 작업을 예약하여 실행 중인 모든 프로세스를 중지하여 CPU 사용률을 거의 0으로 줄입니다.
• 나. 개발자에게 동일한 AWS CloudFormation 템플릿에 대한 액세스 권한을 제공하여 필요할 때 개발 환경을 프로비저닝할 수 있도록 합니다. 야간 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 예약하여 AWS Lambda 함수를 호출하고 AWS CloudFormation 스택을 삭제합니다.
• 다. 필요한 경우 자체 개발 환경을 프로비저닝할 수 있도록 개발자에게 CLI 명령을 제공합니다. 야간 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 예약하여 AWS Lambda 함수를 호출하고 모든 EC2 인스턴스와 DB 인스턴스를 종료합니다.
• 라. 필요한 경우 자체 개발 환경을 프로비저닝할 수 있도록 개발자에게 CLI 명령을 제공합니다. AWS CloudFormation에서 모든 개발 환경 리소스를 삭제하도록 야간 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 예약합니다.

나. 개발자에게 동일한 AWS CloudFormation 템플릿에 대한 액세스 권한을 제공하여 필요할 때 개발 환경을 프로비저닝할 수 있도록 합니다. 야간 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 예약하여 AWS Lambda 함수를 호출하고 AWS CloudFormation 스택을 삭제합니다.

---

CloudFormation 템플릿을 활용하여 자신만의 스택 생성 

EventBridge + Lambda로 스택 자동 삭제

---

70. 

회사는 데이터 처리 서비스를 제공하기 위해 외부 공급업체와 파트너 관계를 맺고 있습니다. 이 통합을 위해 공급업체는 공급업체의 AWS 계정에 있는 Amazon S3 버킷에서 회사의 데이터를 호스팅해야 합니다. 공급업체는 회사가 회사의 데이터를 암호화하기 위해 AWS Key Management Service(AWS KMS) 키를 제공할 수 있도록 허용하고 있습니다. 공급업체는 이 통합을 위해 회사에 IAM 역할 Amazon 리소스 이름(ARN)을 제공했습니다.
SysOps 관리자는 이 통합을 구성하려면 어떻게 해야 합니까?

• A. 새 KMS 키를 생성합니다. 공급업체의 IAM 역할 ARN을 KMS 키 정책에 추가합니다. 공급업체에 새 KMS 키 ARN을 제공합니다.
• 나. 새 KMS 키를 생성합니다. 새 IAM 키를 만듭니다. 공급업체의 IAM 역할 ARN을 IAM 사용자에 연결된 인라인 정책에 추가합니다. 공급업체에 새 IAM 사용자 ARN을 제공합니다.
• 다. KMS 관리형 S3 키를 사용하여 암호화를 구성합니다. 공급업체의 IAM 역할 ARN을 KMS 키 정책에 추가합니다. KMS 관리형 S3 키 ARN을 공급업체에 제공합니다.
• 디. KMS 관리형 S3 키를 사용하여 암호화를 구성합니다. S3 버킷을 생성합니다. 공급업체의 IAM 역할 ARN을 S3 버킷 정책에 추가합니다. 공급업체에 S3 버킷 ARN을 제공합니다.

 A. 새 KMS 키를 생성합니다. 공급업체의 IAM 역할 ARN을 KMS 키 정책에 추가합니다. 공급업체에 새 KMS 키 ARN을 제공합니다.

---

공급 업체가 자신의 S3 버킷에서 데이터를 호스팅 -> 회사에서 생성한 KMS 키를 외부에서 사용 가능하게 열어줘야함. 

 

• 회사는 KMS 키 생성 → 해당 키의 Key Policy에 공급업체 IAM Role을 추가
• 공급업체는 회사가 제공한 키 ARN으로 S3 업로드 시 SSE-KMS 암호화 옵션 사용 가능

AWS 관리형 S3 키 사용 → ❌ 회사가 제어 불가

회사가 S3 버킷을 만든다 → ❌ 잘못된 방향

 

---

2025.07.16 - [클라우드/AWS] - [AWS][SOA -C02] aws-certified-sysops-administrator-associate 31 ~ 50

[AWS][SOA -C02] aws-certified-sysops-administrator-associate 31 ~ 50

<이전 글>