AWS SAA 덤프 문제 풀이 2

문제 2-1

한 회사는 최근 프라이빗 서브넷의 Amazon EC2에서 Linux 기반 애플리케이션 인스턴스를 시작했고 VPC의 퍼블릭 서브넷의 Amazon EC2 인스턴스에서 Linux 기반 배스천 호스트를 시작했습니다.
솔루션 설계자는 회사의 인터넷 연결을 통해 온프레미스 네트워크에서 배스천 호스트 및 애플리케이션 서버에 연결해야 합니다.
솔루션 설계자는 모든 EC2 인스턴스의 보안 그룹이 해당 액세스를 허용하는지 확인해야 합니다.
솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 단계 조합을 수행해야 합니까? (두 가지를 선택하세요.)

선택지

1. 배스천 호스트의 현재 보안 그룹을 애플리케이션 인스턴스로부터의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
2. 배스천 호스트의 현재 보안 그룹을 회사 내부 IP 범위의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
3. 배스천 호스트의 현재 보안 그룹을 회사의 외부 IP 범위로부터의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
4. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 사설 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 바꿉니다.
5. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 퍼블릭 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 바꿉니다.

나의 정답 : X
정답: 3, 4

용어 및 개념 정리

배스천 호스트:

Bastion Host는 외부에서 내부 네트워크로 들어올 수 있는 유일한 관문(Access Point) 이다. 보안이 강화된 인프라와 외부 인터넷 사이에서 중계 서버(bridge) 역할을 수행하며, 내부망으로 향하는 모든 인바운드 트래픽은 반드시 Bastion Host를 통과해야 한다.

Amazon EC2 Security Groups(보안 그룹)

인스턴스의 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 하는 서비스이다. 보안 그룹은 상태 저장 방식으로 동작하며, 인스턴스 수준에서 네트워크 접근을 제어할 수 있다.

AWS Identity and Access Management (IAM)

AWS 리소스에 대한 접근 권한을 관리할 수 있는 서비스입니다.

오답 이유

1. 배스천 호스트의 현재 보안 그룹을 애플리케이션 인스턴스로부터의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
   • 배스천 호스트에 대한 온프레미스 네트워크 접근을 고려하지 않고, 애플리케이션 인스턴스에서의 접근만 허용하는 설정이기 때문이다.
2. 배스천 호스트의 현재 보안 그룹을 회사 내부 IP 범위의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
   • 회사 내부 IP 범위를 사용하여 배스천 호스트에 접근을 허용하지만 외부 IP 범위를 사용하여 온프레미스 네트워크와 연결된 환경에서는 적절하지 않을 수 있기 때문입니다.
3. O
4. O
5. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 퍼블릭 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 바꿉니다.
   • 퍼블릭 IP를 통해 SSH 접근을 허용하므로 보안상의 위험이 있을 수 있다.

문제 2-2

회사에는 1,000개의 Amazon EC2 Linux 인스턴스에서 실행되는 프로덕션 워크로드가 있습니다.
워크로드는 타사 소프트웨어로 구동됩니다.
회사는 중요한 보안 취약성을 수정하기 위해 가능한 한 빨리 모든 EC2 인스턴스에서 타사 소프트웨어를 패치해야 합니다.
솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

선택지

1. 모든 EC2 인스턴스에 패치를 적용할 AWS Lambda 함수를 생성합니다.
2. 모든 EC2 인스턴스에 패치를 적용하도록 AWS Systems Manager Patch Manager를 구성합니다.
3. 모든 EC2 인스턴스에 패치를 적용하도록 AWS Systems Manager 유지 관리 기간을 예약합니다.
4. AWS Systems Manager Run Command를 사용하여 패치를 모든 EC2 인스턴스에 적용하는 사용자 지정 명령을 실행합니다.

나의 정답 : 3 정답: 4

용어 및 개념 정리

• AWS Systems Manager: 대규모 인스턴스 관리 및 자동화를 지원하는 서비스이다. 인스턴의 상태를 모니터링 하고 제어할 수 있다. 여러 EC2 인스턴스를 중앙에서 관리하고 운영할 수 있다.
  • AWS Systems Manager Automation: 다양한 워크로드를 자동화된 방식으로 관리할 수 있다. ( 패치 작업을 자동으로 수행하는 데 유용하다. )
  • AWS Systems Manager Patch Manager: 패치 관리를 자동화할 수 있는 서비스이다. 보안 패치를 포함한 다양한 패치 작업을 신속하게 수행할 수 있다.
  • AWS Systems Manager Run Command: 여러 인스턴스에 대해 원격으로 명령을 실행할 수 있는 서비스이다. 패치 작업을 신속하게 수동 또는 자동화된 방식으로 실행할 수 있다. (Run Command를 사용하면 긴급한 패치에 즉시 수행할 수 있다.)

문제 2-3

회사는 NFS를 사용하여 온프레미스 네트워크 연결 스토리지에 대용량 비디오 파일을 저장합니다.
각 비디오 파일의 크기는 1MB에서 500GB까지입니다.
총 스토리지는 70TB이며 더 이상 증가하지 않습니다.
회사는 비디오 파일을 Amazon S3로 마이그레이션 하기로 결정합니다.
회사는 최소한의 네트워크 대역폭을 사용하면서 가능한 한 빨리 비디오 파일을 마이그레이션 해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

선택지

1. S3 버킷을 생성합니다. S3 버킷에 쓸 수 있는 권한이 있는 IAM 역할을 생성합니다. AWS CLI를 사용하여 모든 파일을 S3 버킷에 로컬로 복사합니다.

2. AWS Snowball Edge 작업을 생성합니다. 온프레미스에서 Snowball Edge 디바이스를 받습니다. Snowball Edge 클라이언트를 사용하여 데이터를 디바이스로 전송합니다. AWS가 데이터를 Amazon S3로 가져올 수 있도록 장치를 반환하십시오.

3. 온프레미스에 S3 파일 게이트웨이를 배포합니다. S3 파일 게이트웨이에 연결할 공용 서비스 엔드포인트를 생성합니다. S3 버킷을 생성합니다. S3 File Gateway에서 새 NFS 파일 공유를 생성합니다. 새 파일 공유가 S3 버킷을 가리키도록 합니다. 기존 NFS 파일 공유에서 S3 파일 게이트웨이로 데이터를 전송합니다.

4. 온프레미스 네트워크와 AWS 간에 AWS Direct Connect 연결을 설정합니다. 온프레미스에 S3 파일 게이트웨이를 배포합니다. S3 파일 게이트웨이에 연결할 퍼블릭 가상 인터페이스 (VIF)를 생성합니다. S3 버킷을 생성합니다. S3 File Gateway에서 새 NFS 파일 공유를 생성합니다. 새 파일 공유가 S3 버킷을 가리키도록 합니다. 기존 NFS 파일 공유에서 S3 파일 게이트웨이로 데이터를 전송합니다.

나의 정답: 2,3,4 정답: 2

용어 및 개념 정리

• AWS DataSync: 온프레미스 스토리지를 Amazon S3로 전송하는 관리형 데이터 전송 서비스이다.
  DataSync는 네트워크 최적화 기능을 통해 네트워크 대역폭을 효율적으로 사용한다.
  (NFS와 통합되어 온프레미스의 NFS 스토리지에서 Amazon S3로 데이터를 직접 전송이 가능하다. )

• AWS Snowball: 대용량 데이터를 AWS로 전송하기 우한 물리적 디바이스 솔루션이다.
  인터넷 대역폭이 제한적이거나 데이터 전송시간이 중요한 경우 사용한다. 로컬에서 AWS로 전송할 수 있으며 네트워크 대역폭 사용을 최소화할 수 있다.

• AWS Storage Gateway: 온프레미스 데이터를 AWS S3로 전송하기 위한 하이브리드 클라우드 스토리지 솔루션이다. S3 파일 게이트웨이를 사용하여 온프레미스의 기존 NFS 파일 공유를 S3로 마이그레이션할 수 있다.
• AWS Transfer Family: SFTP, FTPS, FTP를 통해 파일을 Amazon S3로 전송할 수 있는 완전 관리형 서비스이다. 이를 통해 기존 온프레미스에서 S3로 파일을 전달할 수 있고 네트워크 대역폭을 효울적으로 할 수 있다. (데이터 전송 자동화 가능)
• AWS Direct Connect: 온프레미스 환경과 AWS 간의 전용 네트워크 연결을 제공하는 서비스이다. 네트워크 대역폭을 사용해 효율적이고 안정적으로 데이터 전송이 가능하다.

오답 이유

3번과 4번의 경우 네트워크를 통해 데이터를 전송하는 방식이고 2번의 경우 데이터를 물리적으로 전송하기 때문이다.