[Associate SAA-C03] - dump 정리 851 ~ 900

---

851
PostgreSQL 데이터베이스, 볼륨이 적음 + 활발하게 작업할 때만 필요 + 가장 비용 효율적 

C. Amazon Aurora Serverless 클러스터를 만듭니다. 기본 용량 설정으로 클러스터에서 데이터베이스를 시작하기 위한 AWS Service Catalog 제품을 개발합니다. 개발자에게 제품에 대한 액세스 권한을 부여합니다. 

 

* Aurora serverless: Aurora를 위한 온디멘드 자동 확장구성(필요에 따라 자동으로 시작, 종료 및 용량을 늘리거나 줄임) + 소비된 용량에 대해서만 비용 지불

* AWS Service Catalog는 조직이 승인된 클라우드 리소스를 배포하고 관리하는 데 필요한 모든 도구를 제공 + 보안 규정 준수

---

852 
여러 가용성 영역에 걸쳐 자동 확장 그룹에서 실행 + 콘텐츠 지속적으로 추가 + 웹 사이트 인스턴스가 가능한 한 지연 시간을 최소화 

B. 웹사이트 자산을 Amazon Elastic File System(Amazon EFS) 파일 시스템에 복사합니다. 각 EC2 인스턴스를 구성하여 EFS 파일 시스템을 로컬로 마운트합니다. 웹사이트 호스팅 애플리케이션을 구성하여 EFS 파일 시스템에 저장된 웹사이트 자산을 참조합니다.

 

⇒ EFS: 다중 가용성 영역에 걸쳐 파일 자동 복제 + 인스턴스 간 공유 파일 시스템(마운트) + 지연 없는 동기화 보장, 자동 확장 

---

853
AWS 환경에서 의심스럽거나 예상치 못한 동작을 자동으로 감지하고 대응 + 이미 WAF는 존재 

A. Amazon GuardDuty를 사용하여 위협 탐지를 수행합니다. Amazon EventBridge를 구성하여 GuardDuty 결과를 필터링하고 AWS Lambda 함수를 호출하여 AWS WAF 규칙을 조정합니다.

 

⇒ Amazon GuardDuty: 악성 활동과 무단 동작을 지속적으로 모니터링하여 Amazon Web Services 계정, 워크로드 및 Amazon S3에 저장된 데이터를 보호하는 위협 탐지 서비스

⇒ Amazon EventBridge: GuardDuty 결과를 기반으로 자동화된 대응을 트리거. 위협이 탐지되면, AWS Lambda 함수를 호출하여 AWS WAF 규칙을 자동으로 조정 → 자동화된 위협 탐지 및 대응 

 

* Amazon Inspector: 애플리케이션 보안 취약성을 평가하는 데 사용

* Amazon Macie: 데이터 유출을 감지하고 민감한 데이터의 보호에 초점

* AWS Firewall Manager: WAF 규칙과 방화벽 관리를 위한 도구

---

854 
EC2 인스턴스와 Aurora DB 클러스터를 배포하기 위해 AWS CloudFormation 템플릿을 빌드 + 인스턴스가 안전한 방식으로 DB에 인증할 수 있도록 허용 + 정적 DB 자격 증명을 유지하고 싶지 않음 + 최소한의 운영 노력 

 

C. IAM 데이터베이스 인증을 사용하도록 DB 클러스터를 구성합니다. IAM 인증에 사용할 데이터베이스 사용자를 만듭니다. 인스턴스의 애플리케이션이 데이터베이스에 액세스할 수 있도록 EC2 인스턴스에 역할을 연결합니다. 

 

* 정적 자격증명: 한 번 설정되면 변경되지 않고 고정된 형태로 저장된 사용자 이름과 비밀번호 같은 인증 정보
* 동적 자격증명: IAM 인증과 같은 역할과 정책을 사용하여 접근할 때마다 임시 자격증명 생성

 

* IAM 데이터베이스 인증: IAM 역할을 사용하여 안전하게 데이터 베이스에 접근. 정적 자격 증명(이름, 비밀번호)를 사용x

 

EC2 인스턴스에 역할을 연결  → 임시 보안 자격 증명 

EC2 인스턴스에 IAM 사용자를 연결하는 것은 오버헤드가 높고 안전하지 않음.

---

855 
SSL/TLS 인증서를 이용한 CloudFront 배포 + 배포에 기본 도메인 이름이 아닌 다른 도메인 이름 사용 + 추가 비용 없이 인증서 배포 

 

C. us-east-1 지역의 AWS Certificate Manager(ACM)에서 Amazon이 발행한 공개 인증서를 요청합니다. 

 

⇒ Custom Domain 사용

: 개인 인증서는 비용 발생

 

⇒ 공개 인증서

AWS Certificate Manager (ACM)를 사용하여 무료로 SSL/TLS 인증서를 발급 가능
CloudFront 배포는 전역 서비스이지만, SSL/TLS 인증서를 사용할 때 ACM에서 발행된 공개 인증서를 사용하려면 해당 인증서를 us-east-1 (N. Virginia) 지역에서 발급받아야 함 (us-east-1 지역에서 요청된 인증서만 CloudFront에서 지원)

: 공개 인증서는 추가 비용 없이 제공

---

856

연간 감사를 위해 S3에 저장된 보고서에 액세스 + 7일동안 보고서에 액세스 + 외부인이 보고서에만 액세스 + 운영 효율성

D. S3 버킷에서 보고서 위치에 필요한 액세스 권한이 있는 미리 서명된 URL을 생성합니다. 미리 서명된 URL을 외부 컨설턴트와 공유합니다.

 

⇒사전 서명된 URL은 S3 버킷의 개인 객체에 대한 단기 액세스를 제공하는 데 사용
프라이빗 콘텐츠를 안전하게 제공하기 위해서 사용자가 오리진 서버(예: Amazon S3 또는 프라이빗 HTTP 서버)의 콘텐츠에 직접 액세스하는 URL이 아닌특수 CloudFront 서명 URL 또는 서명 쿠키를 사용하여 프라이빗 콘텐츠에 액세스하도록 요구

---

857

고성능 컴퓨팅(HPC) + 짧은 대기시간 + 긴밀하게 결합된 노드 간 통신을 통한 높은 네트워크 처리량 

A. EC2 인스턴스를 클러스터 배치 그룹의 일부로 구성합니다.

 

⇒ 클러스터 배치 그룹: 단일 AZ에 배포된 인스턴스에 대해 짧은 지연 시간과 높은 처리량 등 노드 간 성능 제공

 

* 전용 인스턴스 테넌시: 물리적 서버에서 다른 고객의 인스턴스와 물리적인 서버 자원을 공유 x + 비용 높음 + 보안 목적

---

858 
1차 및 2차 데이터 센서 + AWS와 VPC간에 고가용성 및 보안 네트워크 연결 + 최대의 복원력 제공

 

C. 기본 및 보조 데이터 센터 각각에서 두 개의 AWS Direct Connect 연결이 두 개의 별도 장치에 있는 두 개의 Direct Connect 위치에서 종료됩니다.

 

⇒ 여러 DX 위치에서 DX 연결 구성은 가장 높은 복권력을 제공

---

859

사용률이 높은 Amazon RDS for Oracle On-Demand DB 인스턴스 +  AWS Organizations의 조직에 있는 멤버 계정에서 실행 + 재무 팀은 조직의 관리 계정과 멤버 계정에 액세스 + Trusted Advisor 사용한 비용 최적화 방법 

 

A. 관리 계정에서 신뢰할 수 있는 자문가의 권장 사항을 활용하세요.

AWS Organizations의 관리 계정을 통한 전체 조직에 대한 Trusted Advisor 권장 사항을 확인
⇒ 이는 멤버 계정에서도 실행 중인 RDS 인스턴스에 대한 최적화 권장 사항을 포함 + 관리 계정에서 이러한 권장 사항을 활용하면, 조직 전체의 비용 최적화에 대한 포괄적인 접근이 가능

 

* AWS Trusted Advisor: Trusted Advisor는 AWS 환경을 검사한 후 수십만 명의 AWS 고객에게 서비스를 제공하면서 배운 모범 사례를 활용하여 비용 절감, 시스템 가용성 및 성능 개선, 보안 격차 해소에 도움이 되는 기회가 있을 때 권장 사항을 제시

C. Amazon RDS 예약 인스턴스 최적화에 대한 Trusted Advisor 검사를 검토합니다.

 

⇒ RDS 예약 인스턴스 최적화: 예약 인스턴스 사용하면 온디맨스 인스턴스보다 비용 절감 가능 + Trusted Advisor 예약 인스턴스 최적화 검사를 통해 비용 절감 확인 가능

 

⇒ Compute Optimizer: EC2 인스턴스에 대해 주로 최적화 권장 사항을 제공. RDS 인스턴스에 대한 최적화는 Trusted Advisor의 예약 인스턴스 검사를 통해 더 적합하게 수행

---

860
VPC의 여러 가용성 영역에 걸쳐 프라이빗 서브넷에 있는 EC2 인스턴스 + 기밀 정보가 포함된 대용량 파일에 자주 액세스 + 파일은 처리를 위해 S3에 저장 + 데이터 전송 비용 최소화 + 네트워크 아키텍처 최적화 

 

A. VPC에서 Amazon S3에 대한 게이트웨이 엔드포인트를 만듭니다. 프라이빗 서브넷의 경로 테이블에 게이트웨이 엔드포인트에 대한 항목을 추가합니다.

 

* S3 Gateway Endpoint: VPC와 Amazon S3 간의 데이터 전송을 인터넷 게이트웨이 또는 NAT 게이트웨이를 통하지 않고, 내부 네트워크에서 처리 + 비용 최소화 + S3와 같은 퍼블릭 서비스에 대한 프라이빗 액세스는 VPC에서 VPC 엔드포인트생성

 

+ NAT 게이트웨이는 인터넷 경유, PrivateLink는 비용 발생 

---

861
MYSQL DB → AWS로 마이그레이션 + 많은 양의 쓰기 작업 발생 + 성능 문제  

 

A. Provisioned IOPS SSD 스토리지로 Amazon RDS for MySQL DB 인스턴스를 프로비저닝합니다. Amazon CloudWatch를 사용하여 쓰기 작업 메트릭을 모니터링합니다. 필요한 경우 프로비저닝된 IOPS를 조정합니다.

 

* 프로비저닝된 IOPS SSD 스토리지: 고성능 스토리지, 대량의 읽기/쓰기 작업 처리 + 필요에 따라 IOPS를 조정 + 지속적인 고성능과 낮은 지연 시간

 

* ElastiCache: 읽기 성능을 개선

---

862
민감한 보관 데이터 파일 암호화 → AWS로 전송되기 전에는 제 3자가 데이터 액세스 X + 이미 S3 버킷 생성

 

D. AWS Key Management Service(AWS KMS)에 저장된 키로 클라이언트 측 암호화를 사용하도록 애플리케이션을 구성합니다. S3 버킷에 보관 파일을 저장하도록 애플리케이션을 구성합니다.

 

- 클라이언트 측 암호화: 데이터가 전송되기 전에 데이터 암호화 + 민감한 데이터

- 서버 측 암호화: 데이터가 서버로 전송된 후 저장 시 암호화, 읽을 때 복호화 

 

⇒ AWS KMS에서 키를 관리하여 보안을 강화 + S3 관리 암호화 키는 데이터가 AWS에 도달하기 전에 제 3자 접근 완전 차단 x 

---

863
RDS 매일 데이터베이스 백업 + 30일 동안 백업 보관 + 운영 오버헤드 최소화 

 

B. 자동 백업에 대한 보존 기간을 30일로 설정하여 RDS 데이터베이스를 수정합니다.

 

Amazon RDS: 사용자가 지정한 보관 기간 동안 Amazon S3에 DB 인스턴스의 자동 백업을 안전하게 생성하여 저장 + 백업 보관 기간은 1일에서 35일 사이로 설정할 수 있음. 

---

864
Aurora DB 클러스터 사용 + 피크 사용 시간동안 쓰기 쿼리에 대한 DB 성능 저하 → 확장성 + 비용 효율적 

C. 기존 Aurora DB 클러스터에서 Aurora 읽기 복제본을 만듭니다. 읽기 전용 쿼리에 복제본 엔드포인트를 사용하고 쓰기 쿼리에 클러스터 엔드포인트를 사용하도록 애플리케이션을 업데이트합니다.

 

⇒ 여러 사용자가 데이터에 액세스하고 읽을 수 있도록 읽기 복제본 생성 ( 읽기 쿼리가 쓰기 쿼리 속도를 늦춤 → 읽기 쿼리 최적화 → 읽기 복제본 추가 )

 

DynamoDB: 비관계형 ⇒ Aurora: 관계형 호환 x

---

865
실시간 스트리밍 애플리케이션 → 데이터 수집 + 작업 실행, 완료 30분 소요 + 대기시간 길어짐 → 성능 확장 + 서버리스 솔루션 

 

A. Amazon Kinesis Data Firehose를 사용하여 데이터를 수집합니다.

E. AWS Fargate를 Amazon Elastic Container Service(Amazon ECS)와 함께 사용하여 데이터를 처리합니다.

 

실시간 데이터 수집 : Kinesis Data Firehose
서버리스: ECS + Fargate

 

⇒ 30분이 걸리므로 Lambda 사용 불가

---

866

S3 버킷에 민감한 데이터 + 퍼블릭 인터넷을 통해 전송 x 

 

A. Amazon S3에 대한 게이트웨이 VPC 엔드포인트를 만듭니다. 엔드포인트로 가는 VPC 경로 테이블에 경로를 만듭니다.

 

* VPC Endpoint(Gateway Endpoint, Interface Endpoint)
- Gateway Endpoint: S3, DynamoDB만 지원
→ 나머지는 Interface Endpoint 지원
- S3 Gateway VPC Endpoint ⇒ 트래픽이 인터넷을 통과하는 것을 방지(프라이빗 연결)

---

867 
EBS 볼륨 사용하여 EC2 인스턴스에서 프로덕션 워크로드 실행 + EBS 볼륨 비용 분석 + 최적화 권장 + 추정 월별 절감 기회가 포함

D. AWS Compute Optimizer를 사용하여 최적화를 위한 EBS 볼륨 권장 사항을 생성합니다.

 

* AWS Compute Optimizer: 기계 학습을 사용하여 사용률 기록 지표 분석 + AWS 워크로드에 최적의 AWS 리소스를 추천하여 비용 절감 워크로드 성능을 높이는 API 및 콘솔 환경 제공

---

868
민감한 데이터 저장 및 분석을 위해 S3 버킷 사용 + 수백만 개 객체 저장 + S3 버전관리가 활성화되지 않은 모든 S3 버킷 식별 

 

B. Amazon S3 Storage Lens를 사용하여 여러 지역에서 버전 관리가 활성화되지 않은 모든 S3 버킷을 식별합니다.

 

* S3 Storage Lens: 29개 이상의 사용 및 활동 지표와 대화형 대시보드를 통해 스토리지를 이해, 분석 및 최적화하여 데이터 집계 가능 + 완전 관리형 S3 스토리지 분석 솔루션

 

* IAM Access Analyzer: IAM 리소스에 대한 액세스 권한을 분석하는 도구로, 버전 관리 상태x 

* 다중 지역 액세스 포인트는 여러 지역에 걸쳐 S3 리소스에 대한 액세스를 관리하는 도구로, 버전 관리 상태 x 

---

869
주문 처리 애플리케이션 + 예측할 수 없는 트래픽 급증 + 각 주문을 정확히 한 번 처리 

 

A. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 만듭니다. 모든 주문을 SQS 대기열에 넣습니다. AWS Lambda 함수를 대상으로 구성하여 주문을 처리합니다.

 

적어도 한 번 ⇒ SQS Standard

정확히 한 번 ⇒ SQS FIFO 

---

870 

개발 계정의 코드 변경 사항 프로덕션 계정으로 푸시 

- 알파 단계: 개발팀의 2명의 개발자만 프로덕션 계정에 액세스

- 베타 단계: 더 많은 개발자가 테스트를 수행하기 위해 액세스

 

C. 프로덕션 계정에서 IAM 역할을 만듭니다. 개발 계정을 지정하는 신뢰 정책을 정의합니다. 개발자가 역할을 맡도록 허용합니다.

 

* 신뢰정책: IAM 역할을 사용하여 AWS 계정 간 액세스 권한 위임 기능

 

⇒ 신뢰 정책을 통해 명확하게 어떤 계정이 이 역할을 맡을 수 있는지 정의. 

신뢰 정책을 통해 회사의 AWS 계정은 고객의 IAM 역할을 일시적으로 가정하여 고객 계정 내의 지정된 리소스(EC2 인스턴스 및 CloudWatch 메트릭)에 대한 액세스를 허용

 

+ 신뢰 정책에서 주체로 추가는 할 수 없음. 

---

871

콘텐츠에 대한 액세스 + 권한 부여 기술 + 로그인 지연 시간이 짧은 권한 부여 및 인증 + 서버리스 + 웹 콘텐츠를 전 세계적으로 제공 

A. 인증을 위해 Amazon Cognito를 구성합니다. 권한 부여를 위해 Lambda@Edge를 구현합니다. 웹 애플리케이션을 전 세계적으로 제공하도록 Amazon CloudFront를 구성합니다.

* CloudFront: AWS의 CDN 서비스
⇒ 웹사이트의 컨텐츠를 서로 다른 엣지 로케이션에 미리 캐싱하여 읽기 성능 높임

 

* AWS Cognito: 자격 증명 플랫폼. 사용자 인증 및 관리
* Lambda@Edge: Lambda 함수를 실행하여 CloudFront가 제공하는 콘텐츠를 사용자 지정하고 최종 사용자에게 더 가까운 AWS 위치에서 함수를 실행할 수 있음. 엣지 로케이션에 도착하면 함수를 실행해 사용자 인증 및 권한 부여 

---

872
활용도가 낮은 대규모 인스턴스 + 여러 AWS 계정 → 모든 계정에서 대규모 인스턴스가 시작되는 것 방지 + 최소한의 운영 오버헤드

D. 기본 정책으로 관리 계정의 AWS Organizations에서 조직을 만듭니다. 대규모 EC2 인스턴스의 시작을 거부하는 서비스 제어 정책(SCP)을 만들고 AWS 계정에 적용합니다.

 

⇒ Organizations: 여러 계정을 관리 + SCP(서비스 제어 정책)을 사용하여 특정 서비스의 제한 사용 가능

---

873
수백 대의 가상 머신(VM)을 마이그레이션 + 여러 Linux 배포판과 함께 다양한 Windows Server 버전을 실행 + 운영 체제의 인벤토리와 업데이트를 자동화하는 솔루션 + 월별 검토를 위한 인스턴스의 일반적인 취약성 요약 

B. 모든 EC2 인스턴스를 관리하기 위해 AWS Systems Manager Patch Manager를 설정합니다. Amazon Inspector를 배포하고 월별 보고서를 구성합니다.

 

* Systems Manager Patch Manager: 정기적으로 EC2 인스턴스에 패치 적용 가능 + 보고서 제공 가능
* Amazon Inspector: 소프트웨어 취약성 및 의도하지 않은 네트워크 노출에 대해 AWS 워크로드를 지속적으로 스캔하는 자동화된 취약성 관리 서비스

---

874
ELB 뒤의 Auto Scailing Group의 EC2 인스턴스에서 실행 + DynamoDB 연결 재해 복구(DR) 목적 + 최소한의 다운타임으로 다른 리전에서 사용 

A. DR 지역에서 자동 확장 그룹과 ELB를 만듭니다. DynamoDB 테이블을 글로벌 테이블로 구성합니다. DNS 장애 조치를 구성하여 새 DR 지역의 ELB를 가리킵니다.

→ 인프라가 이미 구축되어 있고 트래픽을 리디렉션하기 위해 DNS만 업데이트하면 되므로 빠른 장애 조치가 가능

 

* DynamoDB 글로벌 테이블: 자동 다중 지역, 다중 마스터 복제를 제공해 DR 지역 모두에서 데이터 사용 가능 + 빠른 로컬 읽기 및 쓰기 성능을 지원

---

875
프라이빗 서브넷 + S3 버킷에 데이터 저장 + 퍼블릭 인터넷을 통과x 

 

D. S3 버킷에 액세스하기 위해 S3 게이트웨이 엔드포인트를 배포합니다.

 

VPC Endpoint(Gateway Endpoint, Interface Endpoint)
- Gateway Endpoint: S3, DynamoDB만 지원 나머지는 Interface Endpoint 지원
- S3 Gateway VPC Endpoint ⇒ 트래픽이 인터넷을 통과하는 것을 방지(프라이빗 연결)

---

876
OSI 모델의 전송 계층을 사용하여 액세스 + 고가용성 + 비용 효율적 

B. EC2 인스턴스 앞에 네트워크 로드 밸런서를 구성합니다.

D. EC2 인스턴스에 대한 자동 확장 그룹을 만듭니다. 자동 확장 그룹을 구성하여 여러 가용성 영역을 사용합니다. 자동 확장 그룹을 구성하여 인스턴스에서 애플리케이션 상태 검사를 실행합니다.

 

전송 계층: TCP/UDP ⇒ Network Load Balancer 사용
고가용성 : Auto Scailing Group 사용

---

877
S3 정적 웹사이트 호스팅, 웹 페이지에 연락처 양식 추가 + 양식은 동적 서버 측 구성 요소+ 매달 100건 미만의 사이트 방문 예상 + 고객이 양식을 작성하면 이메일로 회사에 알려야함 + 가장 비용 효율적 

 

B. AWS Lambda 함수에서 연락처 양식을 반환하는 Amazon API Gateway 엔드포인트를 만듭니다. API Gateway에서 다른 Lambda 함수를 구성하여 Amazon Simple Notification Service(Amazon SNS) 토픽에 메시지를 게시합니다.

 

⇒ 동적 요소: 백엔드 로직을 처리하여 결과를 생성 후 사용자에게 응답하는 방식

API Gateway + Lambda 서버리스 솔루션: 사용한 만큼만 비용을 지불하는 모델 + SNS를 통해 이메일 알람 쉽게 설정 가능

---

878 
Organizations에 AWS 전담 계정 + 중요한 알림이 계정 소유자 대신 사업부 계정의 루트 사용자 이메일 주소로 전송 ⇒ 모든 향후 알림을 알림 범주에 따라 다른 직원에게 보낼 수 있도록 + 안전하게 충족하는 솔루션

D. 각 AWS 계정 루트 사용자를 구성하여 중앙 사서함으로 이동하는 이메일 별칭을 사용합니다. 청구 팀, 보안 팀 및 운영 팀 각각에 대해 단일 비즈니스 관리 이메일 배포 목록을 사용하여 각 계정에 대한 대체 연락처를 구성합니다.

 

⇒ 각 AWS 계정의 루트 사용자를 중앙 사서함으로 이동하는 이메일 별칭을 사용하도록 구성하면 중요한 알림이 개별 이메일 주소로 직접 전송되지 않음 + 대신, 중앙 사서함으로전송되므로 중요한 정보에 대한 무단 액세스 위험이 줄어듬

 

⇒ 단일 이메일 주소 사용 (모든 알림이 한 곳으로 모임) ⇒ X

---

879 
Aurora PostgreSQL DB클러스터에 구매 세부 정보 저장 + EC2 인스턴스는 구매 처리 + 고객: 최대 사용 시간에 시간 초과 경험, 최대 사용 수요를 충족하도록 확장 + 가장 비용 효율적 

A. 처리가 완료될 때까지 구매를 다시 시도하도록 새 EC2 인스턴스의 자동 확장 그룹을 구성합니다. Amazon RDS Proxy를 사용하여 DB 클러스터에 연결하도록 애플리케이션을 업데이트합니다.

 

C. 구매 요청을 Amazon Simple Queue Service(Amazon SQS) 대기열로 보내도록 애플리케이션을 업데이트합니다. SQS 대기열에서 읽는 새로운 EC2 인스턴스의 자동 확장 그룹을 구성합니다. 

 

* RDS Proxy: 확장성을 개선하기 위해 데이터베이스 연결을 풀링하고 공유하는 프록시 계층 제공
* ElastiCache: 읽기 문제를 해결하도록 설계된 캐싱
* SQS: 요청을 비동기적으로 처리 + 대기열에서 자동 확장 가능

---

880
AWS Organizations를 사용 + Cost and Usage Report를 사용하여 관리 계정에서 새 보고서 생성 + S3 버킷으로 전달 + 데이터 수집 계정의 버킷에 복제 + 월 초부터 매일 NAT 게이트웨이 비용을 제공하는 사용자 지정 대시보드 생성 

B. 요청된 테이블 비주얼을 포함하는 Amazon QuickSight 대시보드를 공유합니다. Amazon Athena를 사용하여 새 보고서를 쿼리하도록 QuickSight를 구성합니다.

 

시각화 대시보드 ⇒ QuickSight 생성 

※ QuickSight는 Athena없이 생성 불가

---

881 
TTL=0 초인 CloudFront 배포판 + S3에서 트래픽이 많은 정적 웹사이트 호스팅 + 성능 개선을 위해 캐싱 구현 + 배포 후 몇 분 이상 오래된 콘텐츠는 제공 X

 

A. CloudFront 기본 TTL을 2분으로 설정합니다.

⇒ 2분 동안 캐시된 후 자동으로 무효화. 콘텐츠가 자주 갱신되는 경우에도 최신 버전의 콘텐츠 제공 가능

C. Amazon S3의 객체에 Cache-Control 개인 지침을 추가합니다.

 

* Cache-Control: HTTP 헤더 중 하나 + 서버가 클라이언트에게 특정 리소스를 어떻게 캐싱할지 알려주는 역할. 

---

E. S3 객체에 Cache-Control max-age 지시문 추가 후 배포 시 CloudFront 무효화 생성

⇒ Cache-Control max-age: 캐시가 데이터를 유지하는 최대 기간. CloudFront가 오리진 서버에서 객체를 다시 가져오기 전에 객체를 캐시에 유지하려는 기간(초)을 지정

---

882

EC2 인스턴스 + Lambda 함수 사용하여 애플리케이션 실행 + EC2는 프라이빗 서브넷에 존재 + Lambda 함수는 애플리케이션이 작동하려면 EC2 인스턴스에 대한 직접 네트워크 액세스가 필요 + 애플리케이션은 1년 동안 실행 + Lambda 함수의 수는 1년 동안 증가 + 비용 최적화 

 

C. Compute Savings Plan을 구매합니다. Lambda 함수를 EC2 인스턴스를 포함하는 프라이빗 서브넷에 연결합니다. 

 

- Compute Savings Plan 구매: Lambda에 적용 가능

- EC2 인스턴스 절약 플랜 : Lambda에 적용 불가능

---

883
Control Tower 사용하여 다중 계정 전략 구축 + 개발자가 부담하는 AWS 리소스 비용을 제한하기 위한 제어 구현 + 최소한의 운영 오버헤드 

B. AWS Budgets를 사용하여 각 개발자 계정에 대한 예산을 설정합니다. 실제 및 예측 값에 대한 예산 알림을 설정하여 개발자가 할당된 예산을 초과하거나 초과할 것으로 예상될 때 개발자에게 알립니다. AWS Budgets 작업을 사용하여 개발자의 IAM 역할에 DenyAll 정책을 적용하여 할당된 예산에 도달했을 때 추가 리소스가 시작되지 않도록 합니다.

 

* AWS Budgets: AWS 비용과 사용량을 모니터링하고 예산 설정을 도와주는 서비스 기간에 대한 예산을 설정하고 실제 사용량이나 비용이 초과하거나 절감하고자 하는 목표를 달성 할 경우 알람을 받을 수 있음, 추가적인 리소스 필요 없으므로 비용 효율적

---

884 
3-Tier 보안그룹 설정

 

A. ALB의 보안 그룹에서 인바운드 HTTPS 트래픽을 허용하도록 웹 계층의 보안 그룹을 구성합니다.

C. 애플리케이션 계층의 보안 그룹에서 들어오는 Microsoft SQL Server 트래픽을 허용하도록 데이터베이스 계층의 보안 그룹을 구성합니다.

E. 웹 계층의 보안 그룹에서 인바운드 HTTPS 트래픽을 허용하도록 애플리케이션 계층의 보안 그룹을 구성합니다.

 

보안그룹은 기본적으로 인스턴스를 보호, 상태 저장형 + 나가는 트래픽은 허용하지만 들어오는 트래픽은 허용 x

결론은 인바운드만 설정하면 됨. 

 

- 인바운드 규칙: AWS 리소스에 들어오는 트래픽 허용. ex. ssh, http 접속 

- 아웃바운드 규칙: AWS 리소스에서 나가는 트래픽. ex. 외부 서버에 대한 http 요청 

ALB → HTTPS → 웹 계층 → HTTPS → 애플리케이션 → SQL 트래픽 → SQL DB

---

885
Amazon EC2, AWS Lambda, AWS Fargate, Amazon SageMaker를 사용 + 사용량 안정 → 워크로드 비용 최적화 + 가장 적은 절감 플랜으로 가장 많은 서비스 제공

 

C. SageMaker 저축 플랜을 구매하세요. 

D. Lambda, Fargate 및 Amazon EC2에 대한 컴퓨팅 절감 플랜을 구매하세요.

 

* 컴퓨팅 절감 플랜: 요금 할인 프로그램. 사용자가 일정 기간 동안 AWS 서비스 사용을 약속하여 비용 절감. 예측 가능한 사용량이 있는 서비스에 유리.

Computing 워크로드 ⇒ EC2, Lambda, Fargate 포함

 

* Amazon SageMaker Savings Plans: 1년 또는 3년 기간에 일정 사용량 약정(시간당 USD 요금으로 측정)을 조건으로 하는 Amazon SageMaker의 유연한 요금 모델

---

886 
Microsoft SQL Server DB 사용 + 애플리케이션의 코드를 최소한 변경하여 Amazon Aurora PostgreSQL DB로 마이그레이션 

 

B. Aurora PostgreSQL에서 Babelfish를 활성화하여 애플리케이션에서 SQL 쿼리를 실행합니다. 

C. AWS Schema Conversion Tool(AWS SCT) 및 AWS Database Migration Service(AWS DMS)를 사용하여 데이터베이스 스키마 및 데이터를 마이그레이션합니다. 

 

* Babelfish for Aurora PostgreSQL: Microsoft SQL Server의 T-SQL(T-SQL) 쿼리를 Aurora PostgreSQL에서 사용할 수 있도록 지원 + AWS SCT 스키마 변환 필요 ( SQL Server에서 Aurora PostgreSQL로의 전환을 고려하는 기업들에게 유용한 도구 ) 

---

#887 
EBS 볼륨이 기본적으로 암호화되도록 + 암호화되지 않은 EBS 볼륨 생성 방지 

 

A. EC2 계정 속성을 구성하여 항상 새로운 EBS 볼륨을 암호화합니다.

 

⇒ EC2 계정 속성 구성: 새 볼륨 생성 시 기본적으로 암호화되게 설정해놓으면 실수로 암호화되지 않은 볼륨을 생성하는 일을 방지 가능

 

* AWS Config: 리소스 구성을 추적하는 도구

---

888
클릭 스트림 데이터 수집 + 분석 + 하루종일 트래픽 패턴 변동 + 확장 가능한 솔루션 

 

A. Amazon Kinesis Data Streams에서 온디맨드 모드로 데이터 스트림을 사용하여 클릭스트림 데이터를 캡처합니다. AWS Lambda를 사용하여 실시간으로 데이터를 처리합니다.

 

* Amazon Kinesis Data Streams: 실시간 데이터 스트리밍 처리, 분석. 대규모 데이터 레코드 스트림을 실시간으로 수집하고 처리. ex ) IT 인프라 로그 데이터, 애플리케이션 로그, 소셜 미디어, 시장 데이터 피드 및 웹 클릭스트림 데이터

 

⇒ AWS Lambda를 통해 서버리스 방식으로 실시간 데이터 처리 가능. 클릭할 때마다 즉각적인 반응이 가능

 

* AWS Glue: 데이터 변환 및 로드 작업을 수행하는 ETL 도구. 배치 작업에 적합. 실시간 데이터 처리 x

---

889
민감한 데이터 저장 및 분석 + 수백만 개의 객체를 저장 + S3 버전 관리가 활성화되지 않은 모든 S3 버킷 식별 
⇒ S3 Storage Lens 사용

B. Amazon S3 Storage Lens를 사용하여 여러 지역에서 버전 관리가 활성화되지 않은 모든 S3 버킷을 식별합니다.

 

* S3 Storage Lens: 29개 이상의 사용 및 활동 지표와 대화형 대시보드를 통해 스토리지를 이해, 분석 및 최적화하여 데이터 집계 가능 + 완전 관리형 S3 스토리지 분석 솔루션

---

890
S3 스토리지 비용 최적화 + 4년 동안 파일 저장 + 즉시 액세스 + 객체 생성 후 30일동안 자주 액세스, 30일 이후에는 거의 액세스 X 

A. S3 Lifecycle 정책을 만들어 객체 생성 후 30일 후에 파일을 S3 Glacier Instant Retrieval로 옮깁니다. 객체 생성 후 4년 후에 파일을 삭제합니다

 

* S3 Glacier Instant Retrieval: 데이터 요청 후 몇 초 이내에 복원. S3 Standard 및 S3 Standard-IA 스토리지 클래스보다 저렴. 

---

891 
두 개의 지역에서 S3 사용 + 퍼블릭 네트워크 혼잡 없이 가장 가까운 S3 버킷으로 원격 사용자 데이터 전송 + S3의 관리가 최소화된 애플리케이션이 페일오버되기를 원함 

 

D. 단일 글로벌 엔드포인트를 사용하여 활성-활성 구성에서 다중 지역 액세스 포인트를 사용하도록 Amazon S3를 설정합니다. S3 크로스 지역 복제를 구성합니다.

 

* 페일 오버: 두 개의 데이터 센터가 있을 때 하나의 데이터 센터에 문제가 발생하면, 시스템이 자동으로 다른 데이터 센터로 전환하여 서비스가 중단되지 않도록 하는 것

 

* Multi-Region Access Points:단일 글로벌 엔드포인트를 사용하여 여러 리전의 S3 버킷에 접근. 사용자에게 가장 가까운 리전으로 라우팅.

* S3 크로스 리전 복제: 데이터가 여러 리전에 복제되어 항상 최신 상태를 유지합니다. 이로 인해 데이터 손실을 방지

 

- 액티브-액티브: 두 리전에서 동시에 작동. 자동으로 페일오버 처리 

- 액티브-패시브: 한 지역이 비활성화되었을 때 다른 지역으로 페일오버하는 것. 하나의 리전만 활성 상태.

→ Multi-Region Access Points는 자동으로 이 작업을 처리가능

---

 892 
온프레미스 → AWS 마이그레이션 + 자체 EC2 존재 + 마이그레이션 후 애플리케이션이 안정적이고 내결함성이 있는지 확인  

A. 최소 1개, 최대 1개의 Auto Scaling 그룹을 만듭니다. 각 애플리케이션 인스턴스의 Amazon Machine Image(AMI)를 만듭니다. AMI를 사용하여 Auto Scaling 그룹에서 EC2 인스턴스를 만듭니다. Auto Scaling 그룹 앞에 Application Load Balancer를 구성합니다.

 

* Auto Scaling 그룹: 자동으로 EC2 인스턴스를 관리. 필요할 때 인스턴스를 추가하거나 제거하여 안정성과 내결함성을 제공
* Application Load Balancer (ALB): 단일 인스턴스 장애 시 다른 인스턴스로 트래픽을 자동으로 전환하여 고가용성을 보장

 

⇒ 최대 값 = 1은 한 번에 하나의 인스턴스 유지. 실패하더라도 정확히 하나의 인스턴스가 새로 생성 됨.

---

893

각 워크로드에 대한 AWS 계정 생성 → 워크로드에 대한 네트워킹 구성 요소를 중앙에서 관리하는 솔루션 + 자동 보안 제어(가드레일)이 있는 계정 생성 +가장 적은 운영 오버헤드 

 

A. AWS Control Tower를 사용하여 계정을 배포합니다. 프라이빗 서브넷과 퍼블릭 서브넷이 있는 VPC가 있는 네트워킹 계정을 만듭니다. AWS Resource Access Manager(AWS RAM)를 사용하여 워크로드 계정과 서브넷을 공유합니다.

 

AWS RAM을 사용하여 네트워킹 계정의 서브넷을 다른 계정과 공유 가능 → 중앙에서 네트워킹 구성 요소를 관리할 수 있게 해줌

---

* AWS Control Tower: AWS 계정을 자동으로 구성하고 관리하는 서비스. 기본적으로 AWS Organizations, AWS Single Sign-On(SSO), AWS Service Catalog, AWS Config 등의 서비스를 통합하여 제공 → 여러 계정을 관리하고 일관된 보안 및 네트워킹 구성을 적용 가능 + 자동화된 가드레일 기능

 

* AWS Resource Access Manager (AWS RAM): AWS 리소스를 다른 AWS 계정이나 조직과 공유

* AWS Transit Gateway: AWS의 네트워크 서비스로, 여러 VPC(가상 사설 클라우드)와 온프레미스 네트워크를 중앙에서 연결하고 관리할 수 있도록 해주는 서비스

---

894
웹 사이트 호스팅(정적 콘텐츠) + 트래픽 증가 + 웹 사이트 호스팅 비용 최소화 

 

A. 웹사이트를 Amazon S3 버킷으로 이동합니다. S3 버킷에 대한 Amazon CloudFront 배포를 구성합니다.

 

⇒ S3 내구성 있는 스토리지 사용 + 정적 웹 사이트 콘텐츠를 호스팅 하기 위해 S3 버킷 생성 + CloudFront으로 트래픽 성능 저하 방지 

 

* AWS Amplify : 자동화된 배포 프로세스로 웹 애플리케이션 호스팅 프로세스를 간소화 

* ElastiCache: 동적 콘텐츠 캐싱에 사용

---

895 
공유 스토리지 솔루션 + SMB 클라이언트 사용하여 저장된 데이터에 액세스 + 가장 적은 관리 오버헤드 

 

D. Amazon FSx for Windows File Server 파일 시스템을 만듭니다. 애플리케이션 서버를 파일 시스템에 연결합니다.

 

⇒ SMB: Storage Volume Gateway 또는 FSx for Windows File server

---

896
재해 복구(DR) 전략 설계 + Aurora 클러스터의 MYSQL DB로 백업, DR 지역으로 us-west-1 선택, 복구 지점 목표(RPO): 5분, 목표 복구 시간 목표(RTO): 20분 ⇒ 가장 높은 운영 효율성으로 구성 변경 최소화

 

B. Aurora 클러스터를 Aurora 글로벌 데이터베이스로 변환합니다. 관리형 장애 조치를 구성합니다.

 

⇒ Aurora Global Database: 전세계에 분산된 애플리케이션을 위해 설계되어 여러 AWS 리전으로 확장하여 DB성능에 영향을 주지 않고 데이터 복제 및 각 지역에 짧은 대기 시간으로 빠른 로컬 읽기 가능, 재해 복구 제공

---

897
데이터 분석 작업: 최소 1시간 필요 + 상태가 있으며 중단 허용 X  

A. 작업에 대한 컨테이너를 만듭니다. Amazon EventBridge Scheduler를 사용하여 Amazon Elastic Container Service(Amazon ECS) 클러스터에서 AWS Fargate 작업으로 실행되도록 작업을 예약합니다.

 

⇒ 1시간이므로 Lambda 사용, 중단 허용X 이므로 Spot Instance 사용 X

---

898

전체 회사의 보안을 평가하고 워크로드 보호 개선 + 보안 데이터 중앙에서 수집 + 가장 적은 개발 노력 

 

C. Amazon Security Lake에서 보안 데이터를 수집하기 위한 데이터 레이크를 구성합니다. Amazon S3 버킷에 데이터를 업로드합니다.

 

* 데이터 레이크: 다양한 소스에서 수집된 대량의 데이터를 저장, 처리, 분석하는 중앙 저장소.구조적, 반구조적, 비구조적 

* AWS Lake Formation: 데이터 레이크를 쉽게 구축, 관리. 

 

* Amazon Security Lake: AWS 환경의 보안 데이터를 자동으로 중앙 집중화하여 전체 조직에서 보안 데이터를 보다 완벽하게 이해

---

899
온프레미스 5개 애플리케이션 마이그레이션 + 격리된 가상 네트워크에 배포 + 공유 서비스 vpc에 도달 + 서로 통신 가능 + 100개가 넘는 마이그레이션 프로세스 반복 + 가장 적은 관리 오버헤드 

D. 트랜짓 게이트웨이와 애플리케이션 VPC 및 공유 서비스 VPC 간의 연결을 사용하여 트랜짓 게이트웨이를 배포합니다. 서브넷의 애플리케이션 VPC와 애플리케이션 VPC 간의 경로를 트랜짓 게이트웨이를 통해 공유 서비스 VPC에 추가합니다.

 

* AWS Transit Gateway ⇒ 여러 VPC를 연결하기 위한 허브 앤 스포크 모델을 제공하여 모든 VPC에 대한 단일 연결 지점을 제공하여 네트워크 관리를 간소화 + 확장성: 여러 VPC를 처리하도록 설계되어 초기 5개 애플리케이션을 넘어 100개 이상의 애플리케이션으로 확장하는 데 적합 

---

900 
하이브리드 환경 ECS 사용(온프레미스 컨테이너에서 실행) + 하이브리드 또는 클라우드 환경에서 확장할 수 있는 단일 컨테이너 솔루션 필요 + AWS 클라우드에 새로운 애플리케이션 컨테이너 실행 + HTTP 트래픽 + 로드밸런서 사용 

A. 클라우드 애플리케이션 컨테이너에 AWS Fargate 시작 유형을 사용하는 ECS 클러스터를 설정합니다. 온프레미스 애플리케이션 컨테이너에 Amazon ECS Anywhere 외부 시작 유형을 사용합니다.

 

B. 클라우드 ECS 서비스를 위한 애플리케이션 로드 밸런서를 설정합니다.

⇒ HTTP 트래픽이므로 Application Load Balancer 사용

AWS 클라우드에 새로운 컨테이너가 필요 → ECS + Fargate + 온프레미스 애플리케이션(EC2 Anywhere)

 

* Amazon ECS Anywhere: ECS를 통해 AWS 클라우드 외부에서도 컨테이너화된 애플리케이션을 쉽게 배포하고 관리

---