[Associate SAA-C03] - dump 정리 951 ~ 1000✨
951
Amazon RDS for MySQL DB 클러스터의 데이터베이스에서 정보를 검색하는 임베디드 자격 증명이 있는 사용자 지정 애플리케이션 + 최소한의 프로그래밍 노력으로 더 안전하게 만들어야 함 + 사용자를 위해 RDS for MySQL 데이터베이스에 자격 증명을 만듦.
C. AWS Secrets Manager에 자격 증명을 저장합니다. Secrets Manager에서 데이터베이스 자격 증명을 로드하도록 애플리케이션을 구성합니다. Secrets Manager에 대한 AWS Lambda 함수를 생성하여 자격 증명 로테이션 일정을 설정합니다.
* AWS Secrets Manager: 데이터베이스 자격 증명, API 키 및 기타 비밀을 포함한 자격 증명을 관리하고 자동으로 회전
952
서버리스 솔루션 + SQL을 사용하여 기존 데이터와 새 데이터를 분석 + Amazon S3 버킷에 데이터를 저장 + 데이터는 저장 시 암호화 + 다른 AWS 리전에 복제 + 가장 적은 운영 오버헤드
A. AWS KMS 다중 지역 키(SSE-KMS)를 사용하여 서버 측 암호화를 사용하는 새 S3 버킷을 만듭니다. 교차 지역 복제(CRR)를 구성합니다. 새 S3 버킷에 데이터를 로드합니다. Amazon Athena를 사용하여 데이터를 쿼리합니다.
* 다중 지역 키(SSE-KMS): 데이터 암호화 및 키 관리 + 여저 리전에 걸쳐서 안전하게 복제
* 교차 지역 복제(CRR): S3 버킷 간 데이터가 자동으로 AWS리전에 복제
* Athena: 서버리스로 쿼리, SQL을 사용한 분석
953
수천 명 사용자가 업로드한 8~10개의 이미지를 사용하여 AI 이미지를 생성 + 사용자는 6시간마다 생성된 AI 이미지를 다운로드+ 언제든지 다운로드할 수 있는 프리미엄 사용자 옵션이 있음 + 업로드한 이미지를 사용하여 1년에 두 번 AI 모델 교육을 실행 → 이미지를 저장할 스토리지 솔루션 + 가장 비용 효율적
A. 업로드된 이미지를 Amazon S3 Glacier Deep Archive로 이동합니다. 프리미엄 사용자가 생성한 AI 이미지를 S3 Standard로 이동합니다. 프리미엄이 아닌 사용자가 생성한 AI 이미지를 S3 Standard-Infrequent Access(S3 Standard-IA)로 이동합니다.
954
머신 러닝 ML 모델 + 독립적인 마이크로서비스로 개발 + 사용자는 비동기 API를 통해 ML 모델에 액세스 + 수백 명의 사용자에게 ML 모델을 제공 + 사용 패턴은 불규칙 + 일부 모델은 며칠 또는 몇 주 동안 사용되지 x + 다른 모델은 한 번에 수천 개의 요청을 일괄적으로 수신
D. API에서 Amazon Simple Queue Service(Amazon SQS) 대기열로 요청을 보냅니다. ML 모델을 대기열에서 읽는 Amazon Elastic Container Service(Amazon ECS) 서비스로 배포합니다. Amazon ECS에 자동 스케일링을 사용하여 SQS 대기열의 크기에 따라 클러스터 용량과 서비스 수를 모두 확장합니다.
- SQS 대기열: 비동기 작업 + 불규칙한 요청이 들어오면 SQS 대기열에 요청이 쌓이고, 이를 처리하는 ECS 서비스가 자동으로 확장
- Amazon ECS: SQS 대기열의 크기에 따라 클러스터의 용량을 자동으로 조정
955
Application Load Balancer(ALB) 뒤의 Auto Scaling 그룹에서 Amazon EC2 인스턴스에서 웹 애플리케이션을 실행 + Amazon Aurora MySQL DB 클러스터에 데이터를 저장 + 재해 복구(DR) 솔루션 + DR 솔루션의 허용 복구 시간은 최대 30분 + DR 솔루션은 기본 인프라가 정상일 때 고객 사용을 지원할 필요 x
A. ALB와 Auto Scaling 그룹이 있는 두 번째 AWS 지역에 DR 인프라를 배포합니다. Auto Scaling 그룹의 원하는 용량과 최대 용량을 최소값으로 설정합니다. Aurora MySQL DB 클러스터를 Aurora 글로벌 데이터베이스로 변환합니다. ALB 엔드포인트를 사용하여 활성-수동 (active-passive)장애 조치를 위해 Amazon Route 53을 구성합니다.
* 액티브-패시브 DR 솔루션: 패시브 리전은 장애시에만 활성화
* Aurora 글로벌 데이터베이스를 사용하면 두 번째 AWS 리전에 읽기 복제본을 유지 + 장애 발생 시 승격 + RTO 30분 이내의 복구
인프라가 정상일 때 고객 사용 지원 필요x → 재해 복구 솔루션이 활성화 된 경우 고객 사용 지원 x + 재해 발생 시에만 패시브 인프라 활성화
956
한 회사가 데이터 처리 애플리케이션을 AWS 클라우드로 마이그레이션 + 중단될 수 없는 여러 개의 단기 일괄 작업을 처리 + 각 일괄 작업이 완료된 후 데이터가 생성 + 30일 동안 액세스되고 2년 동안 보관 + 비용을 최대한 낮추는 솔루션
D. Amazon EC2 On-Demand 인스턴스를 배포하여 배치 작업을 실행합니다. Amazon S3 Standard에 데이터를 저장합니다. 30일 후에 Amazon S3 Glacier Deep Archive로 데이터를 이동합니다. 2년 후에 데이터를 삭제하도록 만료일을 설정합니다.
957
하이브리드 네트워크 아키텍처를 설계 + 워크로드는 현재 AWS 클라우드와 온프레미스 데이터 센터에 저장 + 워크로드는 통신하는 데 단일 자릿수 대기 시간이 필요 + AWS Transit Gateway 전송 게이트웨이를 사용하여 여러 VPC를 연결 + 가장 비용 효율적
B. VPC에 연결된 전송 게이트웨이와 AWS Direct Connect 게이트웨이를 연결합니다.
D. AWS Direct Connect 연결을 설정합니다. Direct Connect 게이트웨이에 대한 전송 가상 인터페이스(VIF)를 만듭니다.
* AWS Direct Connect: 온프레미스 데이터 센터와 AWS 간에 고속 및 안정적인 전용 연결을 제공
* VIF: AWS Direct Connect와 AWS Transit Gateway 간의 통신을 가능
958
워크로드는 Multi-AZ 배포를 위해 구성된 Amazon RDS for PostgreSQL DB 인스턴스를 사용 + 데이터베이스 장애 조치를 겪을 때 애플리케이션 시간 초과가 발생한다고 보고 + 장애 조치 시간을 줄이기 위한 복원력 있는 솔루션
A. Amazon RDS 프록시를 만듭니다. 프록시를 DB 인스턴스에 할당합니다
읽기 복제본: 읽기 전용 트래픽 분산
RDS 프록시: 장애 조치 + 중단 시간 최소화
959
개발 AWS 계정에서 실행되는 여러 Amazon RDS DB 인스턴스에는 개발 리소스로 식별하는 태그가 있음 + 개발 DB 인스턴스가 영업 시간 동안만 일정에 따라 실행되기를 원함 + 가장 적은 운영 오버헤드
C. AWS Systems Manager State Manager 연결을 생성하여 RDS 인스턴스를 시작 및 중지합니다.
⇒ AWS Systems Manager의 State Manager가 RDS 인스턴스의 상태를 관리하고 자동으로 시작 및 중지를 수행
D. RDS 인스턴스를 시작 및 중지하기 위해 AWS Lambda 함수를 호출하는 Amazon EventBridge 규칙을 만듭니다.
⇒ EventBridge는 특정 이벤트에 따라 Lambda 함수를 자동으로 호출할 수 있습니다. 이 방법은 RDS 인스턴스를 정기적으로 시작하고 중지하는 데 필요한 작업을 자동화
960
소비자 조사 회사가 특정 지역에서 수년간 데이터를 수집 + AWS 지역의 Amazon S3 버킷에 저장 + 새로운 지역의 마케팅 회사와 공유 + AWS 계정에 S3 버킷에 대한 액세스 권한을 부여 + 마케팅 회사가 S3 버킷에서 데이터를 요청할 때 데이터 전송 비용을 최소화
A. 회사의 S3 버킷에서 요청자 지불 기능을 구성합니다.
요청자 지불 기능을 사용하면 S3 버킷의 데이터를 요청하는 소비자가 데이터 전송 비용을 부담
⇒ S3 교차 지역 복제(CRR)는 오히려 비용 부담
961
인터넷 트래픽에 AWS Global Accelerator 가속기 + 트래픽을 Auto Scaling 그룹의 진입점인 Application Load Balancer(ALB)로 전달 + DDoS 공격 완화 솔루션
C. 속도 기반 규칙을 사용하여 트래픽을 차단하기 위해 ALB에 AWS WAF 웹 ACL을 구성합니다.
* 속도 기반 규칙: 요청 수 기반 트래픽을 모니터링하고 제어 + DDoS 공격이나 비정상적인 트래픽 급증을 완화
962
Amazon DynamoDB 테이블은 고객 대면 웹사이트에서 고객 기기의 최근 활동을 표시하는 것을 지원 + 쓰기 및 읽기에 대한 프로비저닝된 처리량으로 테이블을 구성 + 매일 고객 기기 데이터에 대한 성능 지표를 계산 + 테이블의 프로비저닝된 읽기 및 쓰기 용량에 최소한의 영향
B. AWS Glue DynamoDB 내보내기 커넥터와 함께 AWS Glue 작업을 사용하여 반복적인 일정에 따라 성능 지표를 계산합니다.
* DynamoDB 내보내기 커넥터: 테이블의 프로비저닝된 읽기 용량을 소모하지 않고 DynamoDB에서 Amazon S3와 같은 다른 스토리지 솔루션으로 데이터를 내보낼 수 있으므로 테이블 성능에 미치는 영향을 최소화
* Glue: 서버리스 ETL(Extract, Transform, Load) 서비스로, 데이터 변환 작업을 자동으로 관리
963 AWS에 배포될 새로운 상태 없는 애플리케이션에 대한 클라우드 아키텍처를 설계 + Amazon Machine Image(AMI)와 실행 템플릿 + 처리해야 하는 작업 수에 따라 필요에 따라 애플리케이션 Amazon EC2 인스턴스를 추가 + 제거하는 동안 처리를 병렬로 실행 + 느슨하게 결합 + 작업 항목은 내구성 있게 저장
C. 처리해야 할 작업을 보관할 Amazon Simple Queue Service(Amazon SQS) 대기열을 만듭니다. SQS 대기열의 항목 수에 따라 EC2 인스턴스를 추가 및 제거하도록 스케일링 정책이 설정된 시작 템플릿을 사용하여 자동 스케일링 그룹을 만듭니다.
964
증가하는 제품 데이터 양을 관리할 솔루션 + 확장 가능 + 모듈식 서비스 아키텍처 + 구조화된 데이터베이스 스키마를 유지 + 제품 데이터와 제품 이미지를 저장할 스토리지 솔루션 + 최소한의 운영 오버헤드
D. AWS Fargate와 함께 Amazon Elastic Container Service(Amazon ECS)를 사용하여 컨테이너화된 애플리케이션을 배포합니다. Multi-AZ 배포와 함께 Amazon RDS를 사용하여 제품 데이터를 저장합니다. Amazon S3 버킷에 제품 이미지를 저장합니다
965
온프레미스 환경에서 AWS로 애플리케이션을 마이그레이션 + Amazon S3에 민감한 데이터를 저장 + 저장하기 전에 데이터를 암호화
A. 고객 관리 키를 사용하여 클라이언트 측 암호화를 사용하여 데이터를 암호화합니다.
- 클라이언트 측 암호화: 전송 전에 암호화 + 저장하기 전에 암호화
- 서버 측 암호화: 스토리지에 도착한 후 서버에서 암호화 + 저장할 때 암호화
#966
여러 팀이 사용할 Amazon EMR 클러스터 + 이 회사는 각 팀의 빅 데이터 워크로드가 각 팀이 상호 작용해야 하는 AWS 서비스에만 액세스 + 워크로드가 클러스터의 기본 EC2 인스턴스에서 Instance Metadata Service Version 2(IMDSv2)에 액세스하는 것을 원하지 않음.
B. EMR 런타임 역할을 만듭니다. 클러스터를 구성하여 런타임 역할을 사용합니다. 런타임 역할을 사용하여 빅데이터 워크로드를 제출합니다.
EMR 런타임 역할: 클러스터에서 실행되는 작업이나 애플리케이션에 대한 세부적인 권한을 설정
→ 빅 데이터 워크로드에 특정 권한을 부여하여 각 팀의 워크로드가 필요한 AWS 서비스에만 액세스: IMDSv2에 대한 액세스를 비활성화
967
사용자가 등록 양식을 작성하고 제출 + 웹 애플리케이션 서버 계층과 작업자 계층을 포함하는 2계층 아키텍처 + 제출된 양식을 빠르게 처리 + 정확히 한 번만 처리 + 데이터가 손실 x
A. 웹 애플리케이션 서버 계층과 작업자 계층 사이에 Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 사용하여 양식 데이터를 저장하고 전달합니다.
968
금융 회사는 온프레미스 검색 애플리케이션을 사용하여 다양한 생산자로부터 스트리밍 데이터를 수집 + 검색 및 시각화 기능에 대한 실시간 업데이트를 제공 + AWS로 마이그레이션할 계획 + AWS 네이티브 솔루션 사용
D. Amazon Kinesis Data Streams를 사용하여 Amazon OpenSearch Service로 데이터 스트림을 수집하고 처리합니다. OpenSearch Service를 사용하여 데이터를 검색합니다. Amazon QuickSight를 사용하여 시각화를 만듭니다
969
Linux 머신에서 ASP.NET을 사용하는 온프레미스 애플리케이션을 실행 + 리소스를 많이 사용하고 고객에게 직접 서비스를 제공 + .NET으로 현대화하려고 함 + 컨테이너에서 애플리케이션을 실행하고 Amazon CloudWatch 메트릭에 따라 확장 + 운영 유지 관리 활동에 소요되는 시간 감소 + 가장 적은 운영 오버헤드
A. AWS App2Container를 사용하여 애플리케이션을 컨테이너화합니다. AWS CloudFormation 템플릿을 사용하여 애플리케이션을 AWS Fargate의 Amazon Elastic Container Service(Amazon ECS)에 배포합니다.
* AWS App2Container: ASP.NET 애플리케이션과 같은 기존 애플리케이션을 쉽게 컨테이너화 + 프로세스의 복잡성을 줄임
* AWS App Runner: 서버리스 컨테이너 애플리케이션을 쉽게 배포하고 운영할 수 있게 해주는 서비스
970
AWS 관리 서비스에서 여러 직원의 사용자 이름과 비밀번호를 안전하게 검색하고 저장 + 최소한의 운영 오버헤드
D. AWS Secrets Manager에 직원 자격 증명을 저장합니다. AWS CloudFormation과 BatchGetSecretValue API를 사용하여 Secrets Manager에서 사용자 이름과 비밀번호를 검색합니다.
* AWS Secrets Manager: 비밀번호 및 자격 증명을 안전하게 저장하고 관리하는 데 최적화된 서비스
* BatchGetSecretValue API: 여러 비밀 값을 한 번에 검색 + 필요할 때 쉽게 자격 증명을 가져올 수 있음
971
ap-northeast-1 지역에 있는 한 회사는 수천 대의 AWS Outposts 서버를 보유 + 전 세계의 원격 위치에 서버를 배포 + 모든 서버는 100개의 파일로 구성된 새로운 소프트웨어 버전을 정기적으로 다운로드 + 모든 서버가 새로운 소프트웨어 버전을 실행하기 전에 상당한 지연이 발생 + 새로운 소프트웨어 버전의 배포 지연을 줄여야 함 + 최소한의 운영 오버헤드
D. ap-northeast-1에 Amazon S3 버킷을 만듭니다. Amazon CloudFront 배포를 설정합니다. S3 버킷을 원본으로 구성합니다. 서명된 URL을 사용하여 소프트웨어를 다운로드합니다.
* CloudFront 배포: 전 세계 엣지 위치에 캐시를 분산시켜 파일 다운로드 속도를 크게 향상
소프트웨어 버전을 원격 AWS Outposts 서버에 가까운 에지 위치에 캐싱 → ap-northeast-1 지역의 S3 버킷에서 직접 다운로드하는 대신 가장 가까운 CloudFront 에지 위치에서 콘텐츠에 액세스 다운로드하는 데 걸리는 대기 시간이 줄어 듦
* S3 Transfer Acceleration: 최적화된 네트워크 경로를 통해 라우팅하여 S3에 대한 파일의 업로드 및 다운로드를 최적화합니다. 주로 장거리에서 S3(업로드)으로 데이터를 전송할 때 성능을 개선하도록 설계
972
Microsoft Windows Server를 사용 + AWS 클라우드로 마이그레이션 + 여러 가용성 영역에 걸쳐 블록 스토리지에 대한 저지연 액세스를 제공하는 고가용성 솔루션을 설계 + 최소한의 구현 노력
A. Amazon EC2 인스턴스에서 두 개의 가용성 영역에 걸쳐 있는 Windows Server 클러스터를 구성합니다. 두 클러스터 노드에 애플리케이션을 설치합니다. 두 클러스터 노드 간의 공유 스토리지로 Amazon FSx for Windows File Server를 사용합니다.
* FSx for NetApp ONTAP: 저지연 블록 스토리지, 다중 AZ 고가용성, 복제 및 장애 조치 기능이 내장된 완전 관리형 서비스
973
ALB가 공개 인터넷에서 HTTPS 웹 트래픽을 수신 + ALB는 포트 443에서 Amazon EC2 인스턴스에 호스팅된 웹 애플리케이션 서버로 HTTPS 트래픽만 보내야 함 + ALB는 포트 8443에서 HTTPS를 통해 웹 애플리케이션 서버의 상태 검사를 수행 + ALB와 연관된 보안 그룹의 어떤 구성 조합이 이러한 요구 사항을 충족
A. 포트 443에 대해 0.0.0.0/0에서 들어오는 HTTPS 트래픽을 허용합니다.
→ ALB는 공개 인터넷에서 HTTPS 트래픽 수신
C. 웹 애플리케이션 인스턴스에 대한 포트 443의 HTTPS 아웃바운드 트래픽을 허용합니다.
→ ALB는 HTTPS 트래픽을 웹 애플리케이션 서버로 보낼 수 있음
E. 포트 8443에서 상태 점검을 위해 웹 애플리케이션 인스턴스에 대한 HTTPS 아웃바운드 트래픽을 허용합니다.
→ ALB는 포트 8443에서 HTTPS를 통해 웹 애플리케이션 서버에서 상태 검사를 수행
974
사용자가 사진을 업로드하고 Amazon S3 버킷에 사진을 저장 + Amazon CloudFront와 사용자 지정 도메인 이름을 사용하여 eu-west-1 지역의 S3 버킷에 사진 파일을 업로드
A. AWS Certificate Manager(ACM)를 사용하여 us-east-1 Region에서 퍼블릭 인증서를 만듭니다. CloudFront에서 인증서를 사용합니다.
→ CloudFront는 사용자 지정 도메인 이름으로 HTTPS를 사용하려면 SSL/TLS 인증서가 필요합니다. 이 인증서는 콘텐츠가 호스팅되는 위치에 관계없이 us-east-1(버지니아) 지역에서 프로비저닝
D. CloudFront 원본 액세스 제어(OAC)에서 업로드를 허용하도록 Amazon S3를 구성합니다.
→ CloudFront만 S3 버킷과 상호 작용할 수 있으므로 퍼블릭 인터넷에서 버킷에 직접 액세스하는 것을 방지하여 보안을 개선
* Origin Access Control(OAC): CloudFront를 통해서만 S3 버킷에 접근 허용 + 콘텐츠를 안전하게 업로드할 수 있는 기능
975
기존 데이터 수집 프로세스는 판독값을 수집하여 더 큰 Apache Parquet 파일에 집계 + KMS 관리 키(CSE-KMS)를 사용하여 클라이언트 측 암호화 + 각 달력 날짜에 대한 별도의 접두사가 있는 Amazon S3 버킷에 파일을 씀 + 평균을 얻기 위해 데이터에 대한 가끔씩 SQL 쿼리를 실행 + 가장 비용 효율적
A. Amazon Athena를 구성하여 암호화된 파일을 읽습니다. Amazon S3에서 직접 데이터에 대한 SQL 쿼리를 실행합니다.
* Athena: 서버리스 + S3에 저장된 데이터를 직접 쿼리 + SQL 기반 쿼리 서비스 + Parquet 파일을 효율적으로 쿼리, 사용한 만큼만 비용을 지불
* Apache SparkSQL: 분산 데이터 처리 시스템인 Spark에서 SQL 쿼리를 실행하고 구조화된 데이터를 처리
976
여러 AWS 지역 내의 여러 가용성 영역에 걸쳐 여러 Amazon EC2 인스턴스에서 애플리케이션을 실행 + 인터넷을 통해 사용 + 사용자는 전 세계에서 애플리케이션에 액세스 + 액세스하는 각 사용자가 사용자 위치에 가장 가까운 EC2 인스턴스로 전송
A. Amazon Route 53 지리적 위치 라우팅 정책을 구현합니다. 인터넷 연결 애플리케이션 로드 밸런서를 사용하여 동일한 지역 내의 모든 가용성 영역에 트래픽을 분산합니다.
* 지리적 위치 라우팅: 사용자의 물리적 위치에 기반하여 트래픽 라우팅 + 가장 가까운 인스턴스 + 사용자가 접속한 국가에 따라
* 지리적 근접성 라우팅: 사용자와 리전 간의 물리적 거리에 따라 트래픽을 라우팅 + 특정 지역에 편향 + 사용자의 실제 위치와 가장 가까운 리전이나 엔드포인트로 트래픽을 보냄
* 다중값 응답 라우팅: 여러 IP주소를 반환하여 가용성을 높임 + 상태검사 수행하여 활성 상태 인스턴스만 반환
* 가중 라우팅 정책: 트래픽을 설정된 비율에 따라 분산
977
금융 서비스 회사가 민감한 금융 거래를 처리하기 위해 AWS에서 새로운 애플리케이션을 출시 + 이 회사는 Amazon EC2 인스턴스에 애플리케이션을 배포 + Amazon RDS for MySQL을 사용 + 보안 정책에 따라 데이터는 저장 시와 전송 시 암호화 + 최소한의 운영 오버헤드
A. AWS KMS 관리 키를 사용하여 Amazon RDS for MySQL에 대한 휴면 암호화를 구성합니다. 전송 중 암호화를 위해 AWS Certificate Manager(ACM) SSL/TLS 인증서를 구성합니다.
* AWS KMS: 암호화 키를 관리 + 완전 관리형 솔루션 + 로테이션
* AWS Certificate Manager(ACM): 전송 중 데이터를 암호화하는 데 필요한 SSL/TLS 인증서를 제공
978
온프레미스 Oracle 데이터베이스 → Amazon RDS for Oracle 데이터베이스 마이그레이션 + 90일 동안 데이터를 보관+ 최대 14일 동안 특정 시점으로 데이터베이스를 복원 + 가장 적은 운영 오버헤드
D. Amazon RDS용 AWS Backup을 사용하여 90일의 보존 기간을 갖는 백업 계획을 만듭니다.
Amazon RDS 자동 백업: 최대 35일의 보존 기간을 지원
Aurora Clone: Amazon Aurora에만 적용 Amazon RDS for Oracle x
AWS Backup: 백업 보존 기간을 설정 + 특정 시점으로 복원 + 자동화된 백업 관리 및 복원 기능
979
사용자 데이터와 애플리케이션 구성을 저장 + 꾸준히 사용자를 늘릴 것으로 예상 + 데이터베이스 사용이 가변적 + 읽기가 많으며 가끔 쓰기가 있을 것으로 예상 + AWS 관리형 데이터베이스 솔루션 + 가장 비용 효율적
B. Amazon Aurora Serverless에 데이터베이스를 배포하여 실제 사용량에 따라 데이터베이스 용량을 자동으로 확장하여 작업 부하를 수용합니다.
Amazon Aurora Serverless에 데이터베이스를 배포: 실제 사용량에 따라 데이터베이스 용량을 자동으로 확장하고, 사용하지 않을 때는 비용이 발생하지 않으므로 매우 효율적입니다. 가변적인 트래픽과 읽기 중심의 워크로드에 적합
Amazon DynamoDB에 데이터베이스를 배포: 필요에 따라 처리량을 자동으로 확장 + 읽기 및 쓰기 트래픽이 가변적인 경우 좋은 선택 + 대규모 트랜잭션이 필요할 경우 추가 비용이 발생
980
각 고객을 위해 전용 Amazon S3에 관련 정보를 저장 + VPC 내부의 여러 EC2 인스턴스에서 실행되는 애플리케이션이 회사의 AWS 계정에 속한 S3 버킷에만 안전하게 액세스 + 최소한의 운영 오버헤드
C. Deny 작업과 다음 조건 키를 사용하여 VPC Update IAM 인스턴스 프로필 정책에 연결된 Amazon S3에 대한 게이트웨이 엔드포인트를 만듭니다.
Deny: 특정 조건이 충족될 때 AWS 리소스에 대한 액세스 거부 (거부 > 허용)
S3 리소스의 소유자 계정 확인을 통해 특정 계정 소유자인지 확인 → S3 리소스의 소유자 계정이 CompanyAwsAcctNumber와 일치하지 않으면 요청을 거부
인스턴스 프로필: IAM 역할을 EC2 인스턴스에 연결하기 위한 컨테이너
981
AWS IAM Identity Center를 사용하여 사용자 자격 증명을 관리 + 개발, 테스트 및 운영 팀은 민감한 고객 데이터의 기밀성을 보장하는 동시에 Amazon RDS 및 Amazon S3에 안전하게 액세스 + 최소 권한 원칙을 준수 + 가장 적은 운영 오버헤드
B. Identity Center 디렉토리로 IAM Identity Center를 활성화합니다. Amazon RDS 및 Amazon S3에 대한 세부적인 액세스 권한이 있는 권한 세트를 만들고 구성합니다. 모든 팀을 권한 세트로 특정 액세스 권한이 있는 그룹에 할당합니다.
* IAM Identity Center: 자격 증명과 액세스 제어를 중앙 집중화하여 사용자 관리를 간소화합니다.
* 권한 집합: 최소 권한 원칙에 맞춰 세분화된 권한 집합을 만들어 각 팀이 필요한 액세스 권한만 가질 수 있도록 할 수 있음.
* 그룹 할당: 팀을 특정 권한 집합이 있는 그룹에 할당하면 액세스 관리를 간소화하고 개별 사용자 권한의 복잡성을 줄일 수 있음
⇒ 중앙 집중 관리 + 세부 액세스 제어 → 민감한 고객 데이터에 대한 안전하고 규정을 준수하는 액세스를 유지하면서 운영 오버헤드를 최소화
982
민감한 데이터 파일 + Amazon S3 버킷 + 온프레미스 데이터 센터의 가상 머신 + AWS IAM Identity Center를 사용 + S3 버킷의 파일에 대한 임시 액세스가 필요 + S3 버킷의 파일에 대한 보안 액세스 권한을 부여
B. IAM Roles Anywhere를 사용하여 S3 버킷에 대한 액세스를 부여하는 IAM Identity Center에서 보안 자격 증명을 얻습니다. AWS CLI를 사용하여 가상 머신이 역할을 맡도록 구성합니다.
* IAM Roles Anywhere: 외부에서 실행되는 서비스가 AWS 리소스에 안전하게 접근할 수 있도록 IAM 역할을 사용할 수 있게 해줌 + AWS 리소스에 접근할 때 임시 보안 자격 증명을 생성하여 제공
983
디렉토리 서비스와 DNS를 포함한 핵심 네트워크 서비스를 온프레미스 데이터 센터에서 호스팅 + 데이터 센터는 AWS Direct Connect(DX)를 사용하여 AWS 클라우드에 연결 + 네트워크 서비스에 대한 빠르고 비용 효율적이며 일관된 액세스가 필요한 추가 AWS 계정이 계획 + 최소한의 운영 오버헤드
D. 계정 간에 AWS Transit Gateway를 구성합니다. DX를 Transit Gateway에 할당하고 네트워크 트래픽을 온프레미스 서버로 라우팅합니다.
* AWS Transit Gateway: 중앙 집중식 라우팅 + 비용 효율적 ( Transit Gateway > Direct Connect > VPN ) + 모든 계정에서 온프레미스 서비스에 대한 일관된 접근을 보장
984
여러 가용성 영역에 걸쳐 하나의 AWS 지역에서 주요 퍼블릭 웹 애플리케이션을 호스팅 + Amazon EC2 자동 확장 그룹과 애플리케이션 로드 밸런서(ALB)를 사용 + 수백만 명의 고객에게 동적 콘텐츠를 전 세계적으로 제공 + 비용 최적화된 컴퓨팅 솔루션
A. Amazon CloudFront 배포를 만듭니다. 기존 ALB를 원본으로 구성합니다.
985
AWS에 사용자 데이터를 저장 + 업무 시간 동안 피크 사용량으로 지속적으로 사용 + 액세스 패턴은 다양하며, 일부 데이터는 한 번에 몇 달 동안 사용되지 않음 + 높은 가용성 + 최고 수준의 내구성을 유지 + 비용 효율적인 솔루션
B. Amazon S3 지능형 계층화 (Amazon S3 Intelligent-Tiering)
986
Amazon EC2 Linux 인스턴스에서 실행되는 애플리케이션을 테스트 + 단일 500GB Amazon Elastic Block Store(Amazon EBS) General Purpose SSO(gp2) 볼륨이 EC2 인스턴스에 연결 + Auto Scaling 그룹의 여러 EC2 인스턴스에 애플리케이션을 배포 + 모든 인스턴스는 EBS 볼륨에 저장된 데이터에 액세스 + 코드 최소한의 변경 + 고가용성 및 복원력 있는 솔루션
D. Amazon Elastic File System(Amazon EFS) 파일 시스템을 프로비저닝합니다. 파일 시스템을 구성하여 일반 용도 성능 모드를 사용합니다.
* EFS: 여러 가용성 영역에 걸쳐 자동으로 데이터 복제 + 데이터 공유
987
두 개의 가용성 영역에 걸쳐 여러 Amazon EC2 인스턴스에서 실행 + 최종 사용자는 TCP를 사용하여 애플리케이션과 통신 + 고가용성 + 사용자 수가 증가함에 따라 자동으로 확장 + 가장 비용 효율적
A. EC2 인스턴스 앞에 네트워크 로드 밸런서를 추가합니다.
B. EC2 인스턴스에 대한 자동 크기 조정 그룹을 구성합니다.
988
모바일 앱 + AWS Organizations의 조직 단위(OU)를 사용하여 계정을 관리 + 민감 및 비민감 값을 사용하여 Amazon EC2 인스턴스에 데이터 민감성 태그를 지정 + IAM ID는 태그를 삭제하거나 태그 없이 인스턴스를 생성할 수 없어야 함
A. Organizations에서 데이터 민감도 태그 키와 필요한 값을 지정하는 새 태그 정책을 만듭니다. EC2 인스턴스에 대한 태그 값을 적용합니다. 태그 정책을 적절한 OU에 연결합니다.
→ 조직 단위(OU)에 연결되어 OU의 모든 계정에서 일관된 태그 적용을 보장
D. 태그 키가 지정되지 않은 경우 인스턴스 생성을 거부하는 서비스 제어 정책(SCP)을 만듭니다. ID가 태그를 삭제하지 못하도록 하는 다른 SCP를 만듭니다. SCP를 적절한 OU에 연결합니다.
* SCP: 사용자의 액세스를 제한하는 데 사용되지만, 태그 값을 적용할 수는 없음
* 태그 정책: 리소스에 대한 제어를 제공하지만, 실행 중인 인스턴스를 거부하는 것은 불가능
* AWS Config: 리소스의 규정 준수를 모니터링. 태그가 없는 인스턴스를 자동으로 삭제하는 것은 불필요한 위험 초래
989
AWS에서 회사의 고객 포털 백엔드인 데이터베이스 워크로드를 실행 + Amazon RDS for PostgreSQL에서 Multi-AZ 데이터베이스 클러스터를 실행 + 30일 백업 보존 정책을 구현 + 현재 자동화된 RDS 백업과 수동 RDS 백업을 모두 보유 + 이 회사는 30일 이내에 생성된 두 가지 유형의 기존 RDS 백업을 모두 유지 관리 + 가장 비용 효율적
C. 자동 백업의 경우 RDS 백업 보존 정책을 30일로 구성합니다. 30일 이상 된 수동 백업을 수동으로 삭제합니다.
⇒ RDS의 수동 백업은 AWS Backup의 정책에 의해 관리되지 않음.
990
레거시 애플리케이션을 AWS로 마이그레이션 + 현재 NFS를 사용하여 온프레미스 스토리지 솔루션과 통신하여 애플리케이션 데이터를 저장 + NFS 이외의 다른 통신 프로토콜을 사용 x
C. Amazon Elastic File System(Amazon EFS)
991
GPS 추적기를 사용 + 5분마다 확인 + 하나의 AWS 지역의 여러 가용성 영역에 있는 세 개의 Amazon EC2 인스턴스로 새 좌표를 보냄 + 예상치 못한 양의 추적기 데이터를 처리하는 동안 과부하 → 데이터가 손실 + 이벤트를 재생할 방법이 없었음 + 운영 오버헤드가 가장 적은 솔루션
C. 들어오는 데이터를 저장하기 위해 Amazon Simple Queue Service(Amazon SQS) 대기열을 만듭니다. 처리를 위해 새 메시지를 폴링하도록 애플리케이션을 구성합니다.
992
Amazon RDS Multi-AZ 클러스터 + 온프레미스에 배포된 데스크톱 클라이언트의 백엔드 역할 + 데스크톱 클라이언트는 RDS 클러스터에 직접 연결 + 회사는 팀이 사무실에 있을 때 클라이언트를 사용하여 개발 팀에 클러스터에 연결 + 가장 안전한 연결
B. VPC와 두 개의 프라이빗 서브넷을 만듭니다. 프라이빗 서브넷에 RDS 클러스터를 만듭니다. 회사 사무실의 고객 게이트웨이와 함께 AWS 사이트 간 VPN을 사용합니다.
* AWS 사이트 간 VPN: 사이트 간 VPN을 사용하면 온프레미스 사무실과 AWS 환경 간에 안전하고 암호화된 연결이 설정 + 인터넷에 노출시키지 않고도 RDS 클러스터에 안전하게 액세스
993
대량의 데이터를 일괄 처리 + 입력 데이터는 Amazon S3에 보관 + 출력 데이터는 다른 S3 버킷에 저장 + 처리를 위해 여러 Amazon EC2 인스턴스 간에 네트워크를 통해 데이터를 전송 + 전체 데이터 전송 비용 감소
C. 모든 EC2 인스턴스를 동일한 가용성 영역에 배치합니다.
⇒ AWS에서 동일한 리전 내의 서로 다른 가용성 영역 간의 데이터 전송은 비용이 발생 + 동일한 가용성 영역 내에서 인스턴스 간의 통신은 네트워크 지연(latency)과 대역폭을 최적화
994
Amazon Aurora MySQL DB 클러스터를 스토리지로 사용 + 다중 계층 웹 애플리케이션 + Amazon EC2 인스턴스에서 호스팅 + IT 보안 지침에 따르면 데이터베이스 자격 증명은 암호화 + 14일마다 순환 + 최소한의 운영 노력
A. 새로운 AWS Key Management Service(AWS KMS) 암호화 키를 만듭니다. AWS Secrets Manager를 사용하여 적절한 자격 증명과 함께 KMS 키를 사용하는 새로운 비밀을 만듭니다. 비밀을 Aurora DB 클러스터와 연결합니다. 14일의 사용자 지정 로테이션 기간을 구성합니다.
⇒ AWS Secrets Manager: 자격증명 & 자동 로테이션
995
스트리밍 미디어 회사 + 매일 소비 + 비디오의 일부 콘텐츠를 차단하기 위해 테라바이트 크기의 비디오를 처리 + 처리에는 최대 20분 + 수요에 따라 확장되고 비용 효율적인 솔루션
B. Amazon Elastic Container Service(Amazon ECS)와 AWS Fargate를 사용하여 비디오를 처리하는 마이크로서비스를 구현합니다. Amazon Aurora에 비디오 메타데이터를 저장합니다. Amazon S3 Intelligent-Tiering에 비디오 콘텐츠를 저장합니다.
996
Kubernetes 클러스터에서 온프레미스 애플리케이션을 실행 + 최근 수백만 명의 신규 고객 추가 + 기존 온프레미스 인프라는 많은 수의 신규 고객을 처리 x + Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터로 마이그레이션 + AWS에서 새 아키텍처의 기본 컴퓨팅 인프라를 관리 x + 운영 오버헤드를 최소화
C. AWS Fargate를 사용하여 컴퓨팅 용량을 공급합니다. Fargate 프로필을 만듭니다. Fargate 프로필을 사용하여 애플리케이션을 배포합니다.
* AWS Fargate: 서버리스 컴퓨팅 엔진으로, Kubernetes 클러스터에 대한 노드 관리 필요 없이 컨테이너를 실행 + 자동 확장 + 사용한 만큼만 지불
노드 그룹 → EC2 인스턴스에 의존하고 관리 운영오버헤드
997
어떤 회사가 사용자 프로필, 애플리케이션 설정, 거래 데이터를 저장하기 위해 구조화된 데이터베이스가 필요한 새로운 애플리케이션을 출시 + 데이터베이스는 애플리케이션 트래픽에 따라 확장 가능해야 하며 백업을 제공 + 가장 비용 효율적
C. 데이터베이스에 Amazon Aurora Serverless를 사용합니다. Serverless 용량 확장을 사용합니다. Amazon S3에 대한 자동 백업을 구성합니다.
998
서버는 VPC의 퍼블릭 서브넷에 있는 Amazon EC2 인스턴스에서 실행 + 고객으로부터 이미지를 수집하여 로컬로 연결된 Amazon EBS 볼륨에 이미지 파일을 저장 + 백업을 위해 매일 밤 Amazon S3 버킷에 업로드 + 퍼블릭 엔드포인트를 통해 Amazon S3에 업로드되고 있음을 발견 + Amazon S3로의 트래픽이 퍼블릭 엔드포인트를 사용 x
A. VPC에 필요한 권한이 있는 S3 버킷에 대한 게이트웨이 VPC 엔드포인트를 만듭니다. 게이트웨이 VPC 엔드포인트를 사용하도록 서브넷 경로 테이블을 구성합니다.
게이트웨이 VPC 엔드포인트: Amazon S3에 대한 프라이빗 연결을 제공하여 인터넷을 거치지 않고 S3에 접근
999
애플리케이션 로드 밸런서 + 웹 서버용 Amazon EC2 인스턴스의 자동 확장 그룹 + Single-AZ 구성으로 실행되는 MySQL DB 인스턴스용 Amazon RDS → 제품 카탈로그를 검색하는 동안 응답이 느림 + 제품 카탈로그는 회사에서 자주 업데이트하지 않는 MySQL 데이터베이스의 테이블 그룹 + 제품 카탈로그 검색이 발생할 때 DB 인스턴스의 CPU 사용률이 높다는 것을 확인 + 성능을 개선
B. Redis 클러스터용 Amazon ElastiCache를 구현하여 제품 카탈로그를 캐시합니다. 지연 로딩을 사용하여 캐시를 채웁니다.
* Amazon ElastiCache: 자주 사용되는 데이터를 인메모리에 캐싱하여 빠르게 접근 + 데이터베이스에 대한 요청 수를 줄여 CPU 사용률을 낮추고 응답 시간을 개선 + 읽기 및 쓰기 성능 향상
* Redis: Multi-AZ 배포를 통해 장애 발생 시 자동으로 복구
* 지연 로딩: 캐시에 필요한 데이터만 로드하여 캐시 효율성을 극대화 + 초기 요청이 발생했을 때만 데이터를 캐시에 로드하고, 이후 요청은 캐시에서 즉시 처리
✨1000 ✨
온프레미스 블록 스토리지 시스템에 5TB의 데이터를 저장 + 현재는 추가 데이터를 위한 제한된 공간을 제공 + 낮은 대기 시간으로 자주 액세스하는 데이터를 검색할 수 있어야 하는 온프레미스 애플리케이션을 실행 + 클라우드 기반 스토리지 솔루션 + 가장 높은 운영 효율성
B. 캐시된 볼륨을 iSCSI 대상으로 사용하는 AWS Storage Gateway Volume Gateway를 사용합니다.
* 캐시된 볼륨: 자주 액세스하는 데이터를 로컬로 캐시하여 낮은 대기 시간으로 빠르게 액세스
* Volume Gateway는 클라우드에서 스토리지를 자동으로 확장
* S3 파일 게이트웨이: 파일 기반 스토리지 솔루션으로, SMB 프로토콜을 통해 파일 시스템을 제공
* Amazon S3: 거의 무한한 스토리지 용량을 제공 + 5TB 제한을 초과한 데이터를 저장하는 데 적합