[Associate SAA-C03] - dump 정리 471~500
471
VPC 컨테이너 + S3 버킷 1TB 데이터 저장 액세스 + 비용 최소화 + 트래픽이 인터넷 통과 방지
C. Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 만듭니다. 이 엔드포인트를 VPC의 모든 경로 테이블과 연결합니다.
S3 Gateway VPC Endpoint ⇒ 라우팅 테이블을 통해 VPC와 S3 간의 트래픽을 인터넷을 거치지 않고 프라이빗 네트워크 내에서 처리. 대규모 데이터 처리. 엔드포인트는 요금x 데이터 전송 비용만 발생.
인터페이스 VPC 엔드포인트: PrivateLink를 통해 트래픽을 처리. 인터넷 없이 S3에 접근. 세밀한 보안 제어. 요금 발생.
472
DynamoDB에 기반한 데이터 저장소가 있는 모바일 채팅 애플리케이션 + 가능한 한 지연시간이 짧은 새 메시지를 읽고 싶어함 + 최소한의 애플리케이션 변경으로 최적의 솔루션
A. 새로운 메시지 테이블에 대해 Amazon DynamoDB Accelerator(DAX)를 구성합니다. DAX 엔드포인트를 사용하도록 코드를 업데이트합니다.
DynamoDB ⇒ 읽기 복제본 지원 X
DAX(DynamoDB Accelerator): 테이블에 대한 읽기 성능을 크게 향상시키는 인메모리 캐시 + 지연시간이 짧음
473
ALB 뒤의 인스턴스에서 웹 사이트 호스팅 + 정적 콘텐츠 제공 → 웹 사이트 트래픽이 증가 + 잠재적인 비용 증가 우려
A. 에지 위치에서 상태 파일을 캐시하기 위한 Amazon CloudFront 배포를 생성합니다.
* CloudFront: CDN 서비스( 더 가까운 위치에서 컨텐츠를 제공함으로써 지연 시간을 줄이고 성능 향상 가능 + EC2 인스턴스에서 직접 제공되는 트래픽 감소 → 인스턴스 부하와 관련된 비용 감소)
* Amazon ElastiCache는: 완전 관리형 인메모리 캐시 서비스. 자주 조회되는 데이터를 메모리에 저장
474
회사는 다른 지역의 워크로드와 격리된 워크로드를 지원하고 실행하기 위해 여러 개의 VPC 를 두고 있음 → 애플리케이션 출시 요구 사항으로 인해 회사의 VPC는 모든 지역의 다른 모든 VPC와 통신해야함
C. AWS Transit Gateway를 사용하여 단일 지역의 VPC 통신을 관리하고, Transit Gateway를 여러 지역 간 피어링하여 VPC 통신을 관리합니다.
여러 지역 + 여러 VPC → Transit Gateway
* Transit Gateway: VPC Peering처럼 서로 다른 VPC 간에 통신(여러 VPC 간 연결 정책 중앙에서 관리 가능)
475
ECS를 사용할 컨테이너화된 애플리케이션 설계 + 내구성이 뛰어나고 8시간의 복구 지점 목표(RPO)로 다른 AWS 지역으로 데이터를 복구할 수 있는 공유 파일 시스템에 액세스 → 파일 시스템은 지역 내의 각 가용성 영역에 마운트 대상을 제공해야함
C. 표준 스토리지 클래스를 갖춘 Amazon Elastic File System(Amazon EFS)
⇒ AWS Backup을 통해 EFS 데이터를 다른 지역으로 복제할 수 있으며, 이를 통해 8시간의 복구 지점 목표(RPO)를 충족. 여러 가용성 영역에 걸쳐 자동으로 데이터를 분산 저장
476
회사가 급속한 성장을 기대 + AWS에서 기존 사용자를 구성하고 새 사용자에게 권한을 부여해야함 → 아키텍트는 IAM 그룹을 만들기로 결정 + 부서에 따라 새 사용자를 IAM 그룹에 추가 → 새 사용자에게 권한을 부여하는 가장 안전한 추가 작업
C. 최소 권한 권한을 부여하는 IAM 정책을 만듭니다. 정책을 IAM 그룹에 연결합니다.
⇒ IAM 역할은 IAM 그룹에 연결X
IAM 정책은 IAM 역할, IAM 그룹 또는 IAM 사용자에 연결ㅇ
IAM 역할은 서비스에서 사용.
SCP: Organizations에서 사용. 여러 AWS 계정을 그룹화하여 중앙에서 관리
477
최소 권한 액세스 규칙 + 객체를 삭제할 권한 필요
arn:aws:s3:::bucket-name/* ⇒ bucket-name이라는 특정 버킷 내의 모든 객체를 대상으로 합니다. bucket-name 버킷의 모든 객체에 대해 삭제 권한을 부여합니다
arn:aws:s3:::bucket-name* ⇒ 버킷 이름이 bucket-name으로 시작하는 모든 버킷을 대상 bucket-name1, bucket-name2 등과 같은 버킷을 모두 포함 가능
478
대중과 정보 공유 + 공개적으로 읽을 수 있어야하는 수백 개의 파일 → 지정된 미래 날짜 전에 누구든지 파일을 수정하거나 삭제 금지
B. S3 버전 관리가 활성화된 새 Amazon S3 버킷을 만듭니다. 지정된 날짜에 따라 보관 기간이 있는 S3 객체 잠금을 사용합니다. 정적 웹사이트 호스팅을 위해 S3 버킷을 구성합니다. 객체에 대한 읽기 전용 액세스를 허용하도록 S3 버킷 정책을 설정합니다.
파일을 수정하거나 삭제하는 것은 금지 ⇒ 버전 관리 + 객체 잠금 활성화
→ 객체 잠금은 버전 관리가 활성화된 S3 버킷에서만 작동
* S3 버전 관리: 여러 버전을 저장하여 수정되거나 삭제되어도 이전 버전 복원
* 객체 잠금: 특정 객체에 대한 삭제 또는 변경을 방지 → 규정 준수모드, 거버넌스 모드
* S3 Object Lock: 특정 개체 잠금 설정하여 지정 기간동안 보호.
479
자동화된 방식으로 두 개의 가용성 영역에서 개발 및 프로덕션 사용을 위해 인프라를 즉시 배포할 수 있는 기능을 원함
B. 프로토타입 인프라를 가이드로 사용하여 인프라를 템플릿으로 정의합니다. AWS CloudFormation으로 인프라를 배포합니다.
* AWS Systems Manager: 인스턴스 수와 인스턴스에 설치된 sw에 대한 정보 수집
* AWS CloudFormation: 코드로 인프라를 정의하고 프로비저닝할 수 있는 서비스
* Elastic Beanstalk ⇒ PaaS(서비스로서의 플랫폼)
* CloudFormation ⇒ IaC(코드로서의 인프라)
480
암호화된 객체 스토리지에 S3 사용 → 두 서비스 간의 애플리케이션 트래픽이 퍼블릭 인터넷을 통과x
B. VPC 엔드포인트
트래픽이 퍼블릭 인터넷 통과 X ⇒ VPC Endpoint 사용
* VPC 엔드포인트: 인터넷 게이트웨이, NAT 게이트웨이, VPN 연결 또는 AWS Direct Connect 연결이 필요 없이 AWS 서비스에 비공개로 액세스
481
3계층 웹 애플리케이션을 호스팅 + Multi-AZ RDS for MYSQL 서버는 데이터베이스 계층 형성 + ElastiCache는 캐시 계층 형성
→ 고객이 데이터베이스에 항목을 추가할 때 캐시에 데이터를 추가하거나 업데이트하는 캐싱 전략 + 캐시의 데이터는 항상 데이터베이스의 데이터와 일치 해야함
B. Implement the write-through caching strategy
* 지연 로딩: 필요할 때만 캐시에 데이터를 로드하는 캐싱 전략
* 쓰기-통과: 데이터가 데이터베이스에 쓰여질 때마다 캐시에 데이터를 추가하거나 업데이트
* TTL 캐싱전략: 캐시된 데이터의 만료시간 설정 → 항상 동기화를 보장하지 않음
* AWS AppConfig 캐싱전략: 애플리케이션의 구성을 배포하고 관리하는데 도움이 되는 서비스
482
온프레미스 위치에서 100GB의 과거 데이터를 S3 버킷으로 마이그레이션 + 초당 100메가비트의 인터넷 연결 사용 + S3 버킷으로 전송되는 데이터를 암호화 + 새로운 데이터를 S3에 직접 저장 → 운영 오버헤드 최소화
B. AWS DataSync를 사용하여 온프레미스 위치에서 S3 버킷으로 데이터를 마이그레이션합니다.
* AWS DataSync: 온프레미스 스토리지와 Amazon S3 간의 대규모 데이터 전송. 실시간 동기화. 자동화하는 완전 관리형 데이터 전송 서비스 + 데이터 전송 시 TLS, KMS를 사용하여 데이터가 전송 중에 암호화되도록 보장
483
Windows 컨테이너에서 .NET 6 Framework에서 실행되는 Windows 작업을 컨테이너화 + AWS 클라우드에서 작업을 실행하려고 함 → 작업은 10분마다 실행되고 작업의 런타임은 1분에서 3분 → 가장 비용 효율적
C. AWS Fargate에서 Amazon Elastic Container Service(Amazon ECS)를 사용하여 작업을 실행합니다. 작업의 컨테이너 이미지를 기반으로 10분마다 실행되도록 예약된 작업을 만듭니다.
* AWS Fargate에서 Amazon ECS를 사용하면 컨테이너화된 환경에서 작업을 실행하면서 Fargate의 서버리스 특성을 활용 가능 + 작업 실행 중에 사용된 리소스에 대해서만 비용을 지불
* Windows 작업 스케줄러 사용 : AWS의 서버리스 환경과 맞지 않음
484
여러 독립형 AWS 계정에서 통합된 다중 계정 아키텍처로 전환하려고함 + 여러 개의 새로운 AWS 계정을 만들 계획 → 중앙 집중식 기업 디렉토리 서비스를 사용하여 AWS 계정에 대한 액세스 인증 독립형 AWS 계정 → 통합된 다중 계정 아키텍처
A. AWS Organizations에서 모든 기능을 켜고 새 조직을 만듭니다. 조직에서 새 AWS 계정을 만듭니다.
* AWS Organizations: 중앙 집중식 기업 디렉토리 서비스 → AWS 계정에 대한 액세스 인증
E. 조직에 AWS IAM Identity Center(AWS Single Sign-On)를 설정합니다. IAM Identity Center를 구성하고 회사의 기업 디렉토리 서비스와 통합합니다.
AWS IAM Identity Center(AWS Single Sign-On): 하나의 계정을 통해 여러 aws 계정을 관리하고 User를 생성하고 각 aws 계정에 대한 권한을 쉽게 설정할 수 있는 서비스 + 기존 기업 디렉토리 서비스와 통합 가능
485
오래된 뉴스 영상에서 AWS에 비디오 아카이브를 저장할 수 있는 솔루션 + 비용 최소화 + 파일을 복원할 필요가 거의 없음 → 파일이 필요할 때 최대 5분 내에 사용할 수 있어야함 + 가장 비용 효율적
A. Amazon S3 Glacier에 비디오 아카이브를 저장하고 긴급 검색을 사용합니다.
S3 Glacier 긴급 검색: 자주 액세스하지 않는 데이터를 수밀리초 이내에 검색할 수 있도록 함
표준 검색 : 몇 시간 내로 데이터 검색.
486
3계층 애플리케이션 구축 + 프레젠테이션 계층은 정적 웹 사이트 제공 + 로직 계층은 컨테이너화된 애플리케이션 + 애플리케이션은 관계형 데이터베이스에 데이터 저장 → 배포를 간소화하고 운영 비용을 절감
A. 정적 콘텐츠를 호스팅하려면 Amazon S3를 사용합니다. 컴퓨팅 파워를 위해 AWS Fargate와 함께 Amazon Elastic Container Service(Amazon ECS)를 사용합니다. 데이터베이스에는 관리형 Amazon RDS 클러스터를 사용합니다.
S3, CloudFront ⇒ 정적 컨텐츠 호스팅
ECS + Fargate ⇒ 로직 계층 + ECS가 EKS보다 약간 저렴하고 더 간단함.
관리형 RDS 클러스터: 백업, 패치, 모니터링 같은 관리작업을 AWS로 오프로드 → 운영 부담 감소, DB 고가용성과 내구성 보장
487
애플리케이션을 위한 스토리지 솔루션 + 고가용성과 확장성 + 솔루션은 파일 시스템으로 작동해야함 + 네이티브 프로토콜을 통해 여러 Linux 인스턴스에서 마운트할 수 있어야하며 최소 크기 요구 사항이 없어야함
C. 여러 마운트 대상이 있는 Amazon Elastic File System(Amazon EFS)
* Amazon FSx: NFS와 같은 기본 프로토콜 지원 X → SMB 지원
* Amazon EFS: 확장 가능한 공유 스토리지를 제공하는 완전 관리형 파일 시스템 서비스
Linux → (여러 마운트 대상) / Linux 기반 시스템의 기본 프로토콜인 NFS 프로토콜을 지원 + 고가용성, 내구성 및 확장성
488
회사가 AWS Organizations 모든 기능 세트를 사용하여 AWS 계정을 구성 → 재무팀에 따르면 멤버 계정의 청구 정보는 멤버 계정의 루트 사용자를 포함하여 누구에게도 접근할 수 없어야함
C. 청구 정보에 대한 액세스를 거부하기 위한 서비스 제어 정책(SCP)을 만듭니다. SCP를 루트 조직 단위(OU)에 연결합니다.
AWS Organizations 관련 ⇒ 서비스 제어 정책인 SCP 사용
* 서비스 제어 정책(SCP): SCP는 AWS 조직의 필수적인 부분이며 AWS 조직 내의 조직 단위(OU)에 대한 세분화된 권한 설정
489
회사는 SNS를 사용하여 온프레미스 HTTPS 엔드포인트로 주문 메시지를 보내 창고 애플리케이션이 주문을 처리할 수 있도록 함 + 일부 주문 메시지를 수신하지 못했음을 감지 → 전달되지 않은 메시지를 보관하고 최대 14일 동안 메시지를 분석
C. 보관 기간이 14일인 Amazon Simple Queue Service(Amazon SQS) 대상이 있는 Amazon SNS 배달 못한 편지 대기열을 구성합니다.
⇒ Dead-Letter-Queue(배달 못한 편지 대기열): Amazon SNS 구독이 구독자에게 성공적으로 전달되지 못한 메시지를 대상으로 할 수 있는 Amazon SQS 대기열 + B”: 로직 변경 SQS 추가이므로 최소한의 개발노력 X
490
DynamoDB를 사용하여 사용자 정보 저장 + 최소한의 코딩으로 S3 버킷에 대한 지속적인 백업 구성 → 백업은 가용성에 영향을 미치지 않아야하며 테이블에 정의된 읽기 용량 단위(RCU)에 영향을 미치지 않아야함
B. DynamoDB에서 Amazon S3로 직접 데이터를 내보내고 ( continuous)지속적으로 백업합니다. 테이블에 대한 point-in-time 복구를 켭니다.
⇒ 최소한의 코딩이므로 Lambda 사용 불가능
* continuous backups :연속 백업은 DynamoDB의 기본 기능으로, 서버나 클러스터를 관리할 필요 없이 모든 규모에서 작동. 읽기 용량이나 가용성에 영향을 미치지 않음.
* point-in-time 복구: 지정돈 시점으로 데이터를 복원하는 기능. 최대 35일 이전 + 읽기 용량, 쓰기 용량 단위에 영향x
491
비동기 애플리케이션 + 최소한 한 번은 처리
적어도 한 번 ⇒ SQS Standard
정확히 한 번 ⇒ SQS FIFO
A. AWS Lambda 이벤트 소스 매핑을 사용합니다. Amazon Simple Queue Service(Amazon SQS) 표준 큐를 이벤트 소스로 설정합니다. 암호화에는 AWS Key Management Service(SSE-KMS)를 사용합니다. Lambda 실행 역할에 kms:Decrypt 권한을 추가합니다.
Lambda 함수가 암호화된 SQS 메시지를 처리할 수 있도록 kms:Decrypt 권한을 추가 이를 통해 Lambda 함수가 KMS 키를 사용하여 메시지를 해독 가능
* kms:Decrypt 권한: KMS 암호화된 데이터를 복호화하는데 필요한 IAM 권한
492
개발 작업을 위해 여러 개의 AWS 계정을 가지고 있음 + 일부 직원은 지속적으로 대형 EC2 인스턴스를 사용하여 회사 개발 계정의 연간 예산 초과 → 회사는 이러한 계정에서 AWS 리소스 생성을 중앙에서 제한
B. AWS Organizations를 사용하여 계정을 조직 단위(OU)로 구성합니다. 서비스 제어 정책(SCP)을 정의하고 연결하여 EC2 인스턴스 유형의 사용을 제어합니다.
⇒ 여러 AWS 계정이 있고 통합해야 할 때는 AWS 조직. 조직에서 무엇이든 제한해야 할 때는 SCP 정책 사용
493
인공지능을 사용하여 고객 서비스 통화의 품질 판단 + 현재 영어를 포함한 4개 언어로 통화를 관리 + 앞으로 새로운 언어를 제공 → 기계 학습 모델을 정기적으로 유지할 리소스 X → 고객 서비스 통화 녹음에서 서면 감정 분석 보고서 작성 + 통화 녹음 텍스트는 영어로 번역
D. Amazon Transcribe를 사용하여 모든 언어의 오디오 녹음을 텍스트로 변환합니다.
E. Amazon Translate를 사용하면 모든 언어의 텍스트를 영어로 번역할 수 있습니다.
F. Amazon Comprehend를 사용하여 감정 분석 보고서를 만듭니다.
* Amazon Transcribe는 오디오 녹음을 텍스트로 변환
* Amazon Translate는 텍스트를 영어로 번역
* Amazon Comprehend는 번역된 텍스트에 대한 감정 분석을 수행하여 감정 분석 보고서를 생성
* Amazon Lex는 대화형 인터페이스(챗봇 등)를 구축하는 데 사용되는 서비스
* Amazon Polly는 텍스트를 자연스러운 음성으로 변환하는 서비스
494
CLI를 사용하여 EC2 인스턴스를 종료 → 403 액세스 거부 오류 메세지
1. 모든 사용자가 ec2:TerminateInstances 작업을 수행할 수 있도록 허용
2. 192.0.2.0/24와 203.0.113.0/24 네트워크 대역 외부의 IP 주소에서 ec2:TerminateInstances 작업을 수행하는 것을 거부
495
회사의 내부 감사 실시 + Lake Formation 데이터 레이크와 연결된 S3 버킷의 데이터에 민감한 고객 또는 직원 데이터가 포함되지 않았는지 확인 → 여권 번호와 신용 카드 번호를 포함한 개인 식별 번호(PII) 또는 재무 정보를 발견
C. 필요한 데이터 유형에 대한 관리형 식별자를 사용하는 데이터 검색 작업을 실행하도록 Amazon Macie를 구성합니다.
* Amazon Macie: AWS에 저장된 민감한 데이터를 검색, 분류 및 보호하는 데 도움이 되는 서비스 + 머신 러닝 알고리즘과 관리 식별자를 사용하여 개인 식별 정보(PII) 및 금융 정보를 포함한 다양한 유형의 민감한 정보를 감지
496
회사의 스토리지 용량이 부족 + 블록 스토리지와 NFS 스토리지 모두 사용 → 기존 애플리케이션을 다시 설계하지 않고도 로컬 캐싱을 지원하는 고성능 솔루션
B. NFS 스토리지를 대체하기 위해 AWS Storage Gateway 파일 게이트웨이를 배포합니다.
D. 블록 스토리지를 대체하기 위해 AWS Storage Gateway 볼륨 게이트웨이를 배포합니다.
로컬 캐싱 ⇒ AWS Storage Gateway의 핵심기능
AWS Storage Gateway의 파일 게이트웨이 구성은 SMB 프로토콜(및 NFS)을 지원
AWS Storage Gateway 볼륨 게이트웨이 : 블록 스토리지 지원.
* 로컬 캐싱: 자주 사용되는 데이터를 로컬 장치에 임시 저장하여 더 빠르게 액세스
497
동일한 AWS 리전의 Amazon S3 버킷에서 대량의 데이터를 읽고 쓰는 서비스 + 서비스는 VPC 의 프라이빗 서브넷 내의 EC2 인스턴스에 배포 + 서비스는 퍼블릭 서브넷의 NAT Gateway를 통해 S3와 통신 → 데이터 출력 비용을 줄이는 솔루션
C. VPC 게이트웨이 엔드포인트를 프로비저닝합니다. 모든 S3 트래픽의 경로로 게이트웨이 엔드포인트를 사용하도록 프라이빗 서브넷의 경로 테이블을 구성합니다.
* VPC 게이트웨이 엔드포인트: NAT 게이트웨이나 NAT 인스턴스를 사용하지 않고도 VPC 내에서 Amazon S3에 비공개로 액세스
S3에 대한 VPC 게이트웨이 엔드포인트를 프로비저닝하면 프라이빗 서브넷의 서비스가 NAT 게이트웨이를 통과하는 트래픽에 대한 데이터 전송 비용을 들이지 않고도 S3와 직접 통신
498
S3를 사용하여 고해상도 사진 저장 + 애플리케이션 변경을 최소화하기 위해 회사는 사진을 S3 객체의 최신 버전으로 저장 → 가장 최근의 두 사진 버전만 보관 + 비용을 줄이고자함 + 운영 오버헤드 최소화
A. S3 Lifecycle을 사용하여 만료된 객체 버전을 삭제하고 가장 최신 버전 두 개를 보관합니다.
⇒ S3 LifeCycle 정책을 사용하면 개체의 나이 또는 기타 기준에 따라 개체를 자동으로 전환하거나 만료시키는 규칙을 정의 가능 + 만료된 개체 버전을 삭제하고 가장 최근 버전 두 개만 보관하도록 S3 라이프사이클 정책을 구성
499
회사는 1Gbps Direct Connect 연결 비용을 최소화 + 평균 연결 사용률은 10% 미만 → 보안을 손상시키지 않고 비용을 절감
D. AWS Direct Connect 파트너에게 연락하여 기존 AWS 계정에 대한 200Mbps 호스팅 연결을 주문하세요.
⇒이미 1Gbps로 구성된 기존 AWS Direct Connect 연결이 있고, 비용을 최소화하기 위해 연결 대역폭을 200Mbps로 줄이려면 AWS Direct Connect 파트너에 문의하여 연결 속도를 200Mbps로 낮추도록 요청
500
온프레미스에 여러개의 Windows 파일 서버 존재 + FSx for Windows File Server 파일 시스템으로 파일을 마이그레이션하고 통합 → 액세스 권한이 변경되지 않도록 파일 권한을 보존
A. 온프레미스에 AWS DataSync 에이전트를 배포합니다. DataSync 작업을 예약하여 데이터를 FSx for Windows File Server 파일 시스템으로 전송합니다.
D. AWS Snowcone 디바이스를 주문합니다. 온프레미스 네트워크에 디바이스를 연결합니다. 디바이스에서 AWS DataSync 에이전트를 시작합니다. DataSync 작업을 예약하여 데이터를 FSx for Windows File Server 파일 시스템으로 전송합니다.
* AWS DataSync: AWS로의 데이터 마이그레이션을 간소화 및 가속화하고 온프레미스 스토리지와 AWS 스토리지 간 데이터를 빠르고 안전하게 이동하는 서비스 (마이그레이션 프로세스 동안 파일 권한 보존 가능)
마이그레이션 프로세스 동안 파일 권한이 보존됨 → Datasync만이 이를 지원 AWS CLI 사용하여 데이터 복사 → 모든 메타데이터 보존 못할 수도 있음
* AWS Snowcone: 경량화된 데이터 전송 장치. 파일 권한을 유지하면서 안전하게 전송 가능.
+ CLI를 사용하면 파일권한을 유지하지 않음.