AWS SAA 덤프 문제 풀이 6

문제 6-1

한 회사가 최근 AWS로 마이그레이션했으며 프로덕션 VPC로 들어오고 나가는 트래픽을 보호하는 솔루션을 구현하려고 합니다. 회사는 온프레미스 데이터센터에 검사 서버를 두고 트래픽 흐름 검사 및 트래픽 필터링과 같은 특정 작업을 수행했습니다. 회사는 AWS 클라우드에서 동일한 기능을 원합니다. 어떤 솔루션이 이러한 요구사항을 충족합니까?

선택지

1. Amazon GuardDuty를 사용하여 프로덕션 VPC의 트래픽 검사 및 트래픽 필터링을 수행합니다.

2. Traffic Mirroring를 사용하여 프로덕션 VPC의 트래픽을 미러링하여 트래픽 검사 및 필터링을 수행합니다.

3. AWS Network Firewall을 사용하여 프로덕션 VPC의 트래픽 검사 및 트래픽 필터링을 위해 필요한 규칙을 생성합니다.

4. AWS Firewall Manager를 사용하여 프로덕션 VPC의 트래픽 검사 및 트래픽 필터링을 위한 필요한 규칙을 생성합니다.

정답

정답: 3

용어 및 개념 정리

• AWS Network Firewall: 상태 저장 및 비상태 규칙으로 트래픽을 검사하고 필터링할 수 있는 관리형 방화벽 서비스이다.
  • VPC에 통합되어 있다.

• Amazon GuardDuty: 위협 탐지(침해 징후 분석)서비스 이다. 악의적 활동을 모니터링하고 상세한 보안 조사 결과를 제공해준다.

• Traffic Mirroring: 트래픽을 복제하여 외부 분석 대상으로 전송하는 기능을 지원한다.

• Firewall Manager: 여러 계정/리전에 대한 보안 정책 관리를 위한 서비스를 제공해준다.

AWS 헷갈리는 보안 서비스 정리

직접 차단		탐지 분석(차단 X)
AWS Network Firewall	VPC 인라인 트래픽 차단	Amazon GuardDuty	위협 탐지, 알림
AWS WAF	HTTP 요청 차단	Traffic Mirroring	트래픽 복사 및 분석용
Security Group	NACL (기본 방화벽)	Amazon Inspector	취약점 분석
		AWS Firewall Manager	여러 계정 보안 정책 정리(정책 배포 관리만)

문제 6-2

한 회사가 AWS에 데이터 레이크를 호스팅합니다. 데이터 레이크는 Amazon S3와 Amazon RDS for PostgreSQL의 데이터를 포함합니다. 회사는 모든 데이터 소스를 포함한 데이터 시각화를 제공하는 보고 솔루션이 필요합니다. 회사의 경영진만 모든 시각화에 대한 전체 액세스 권한을 가져야 하며, 나머지 직원은 제한된 액세스만 가져야 합니다. 어떤 솔루션이 이러한 요구사항을 충족합니까?

선택지

1. Amazon QuickSight에서 분석을 생성합니다. 모든 데이터 소스에 연결하고 새 데이터셋을 생성합니다. 데이터를 시각화하기 위해 대시보드를 게시합니다. 적절한 IAM 역할과 대시보드를 공유합니다.

2. Amazon QuickSight에서 분석을 생성합니다. 모든 데이터 소스에 연결하고 새 데이터셋을 생성합니다. 데이터를 시각화하기 위해 대시보드를 게시합니다. 적절한 사용자와 그룹과 대시보드를 공유합니다.  

3. Amazon S3의 데이터에 대해 AWS Glue 테이블과 크롤러를 생성합니다. 보고서를 생성하기 위해 AWS Glue ETL 작업을 만듭니다. 보고서를 Amazon S3에 게시합니다. S3 버킷 정책을 사용해 보고서에 대한 액세스를 제한합니다.

4. Amazon S3의 데이터에 대해 AWS Glue 테이블과 크롤러를 생성합니다. Amazon RDS for PostgreSQL 내의 데이터에 액세스하기 위해 Amazon Athena 페더레이티드 쿼리를 사용합니다. Amazon Athena를 사용해 보고서를 생성합니다. 보고서를 Amazon S3에 게시합니다. S3 버킷 정책을 사용해 보고서에 대한 액세스를 제한합니다.

정답

나의 정답: 1 정답: 2

용어 및 개념 정리

Amazon QuickSight: 여러 데이터 소스(S3, RDS 등)를 연결하여 통합 대시보드와 시각화를 생성할 수 있다.
사용자 및 그룹 기반 공유로 제한된 접근을 적용할 수 있다.

오답 이유

1. QuickSight에서의 대시보드 공유는 주로 사용자/그룹 기반으로 관리되며 IAM 역할로 공유하는 것은 일반적인 방법은 아니다.

문제 6-3

한 회사가 새로운 비즈니스 애플리케이션을 구현하고 있습니다. 애플리케이션은 두 개의 Amazon EC2 인스턴스에서 실행되며 문서 저장을 위해 Amazon S3 버킷을 사용합니다. 솔루션스 아키텍트는 EC2 인스턴스들이 S3 버킷에 접근할 수 있도록 보장해야 합니다. 솔루션스 아키텍트는 이 요구사항을 충족하기 위해 무엇을 해야 합니까?

선택지

1. S3 버킷에 대한 액세스를 허용하는 IAM 역할을 생성합니다. 역할을 EC2 인스턴스에 할당합니다.
2. S3 버킷에 대한 액세스를 허용하는 IAM 정책을 생성합니다. 정책을 EC2 인스턴스에 할당합니다.
3. S3 버킷에 대한 액세스를 허용하는 IAM 그룹을 생성합니다. 그룹을 EC2 인스턴스에 할당합니다.  
4. S3 버킷에 대한 액세스를 허용하는 IAM 사용자를 생성합니다. 사용자 계정을 EC2 인스턴스에 할당합니다.

정답

정답: 1

용어 및 개념 정리

IAM 구성요소 정리

IAM 사용자 (User) - 사람에게 부여하는 계정 - 장기 자격증명(액세스 키) 발급 - EC2에 할당 불가

IAM 그룹 (Group) - 사용자들을 묶는 단위 - 그룹에 정책을 붙여서 사용자 일괄 관리 - EC2에 할당 불가

IAM 정책 (Policy) - 권한 그 자체 (JSON 문서) - 단독으로 존재하며 역할/사용자/그룹에 붙여서 사용 - EC2에 직접 할당 불가

IAM 역할 (Role) - AWS 서비스(EC2, Lambda 등)에 부여하는 권한 - 임시 자격증명 자동 발급 (키 하드코딩 불필요) - EC2에 할당 가능 

문제 6-4

애플리케이션 개발 팀은 큰 이미지를 더 작고 압축된 이미지로 변환하는 마이크로서비스를 설계하고 있습니다. 사용자가 웹 인터페이스를 통해 이미지를 업로드하면, 마이크로서비스는 이미지를 Amazon S3 버킷에 저장하고 AWS Lambda 함수로 이미지를 처리 및 압축하여 다른 S3 버킷에 압축된 형태로 저장해야 합니다. 솔루션 아키텍트는 이미지를 자동으로 처리하기 위해 내구성 있고 무상태 구성요소를 사용하는 솔루션을 설계해야 합니다. 어떤 조합의 작업이 이러한 요구사항을 충족합니까? (두 개 선택)

1. Amazon Simple Queue Service(Amazon SQS) 대기열을 생성합니다. 이미지가 S3 버킷에 업로드될 때 S3 버킷이 SQS 대기열로 알림을 보내도록 구성합니다.

2. Lambda 함수를 Amazon Simple Queue Service(Amazon SQS) 대기열을 호출 소스로 사용하도록 구성합니다. SQS 메시지가 성공적으로 처리되면 대기열에서 해당 메시지를 삭제합니다.

3. Lambda 함수가 새 업로드를 위해 S3 버킷을 모니터링하도록 구성합니다. 업로드된 이미지가 감지되면 파일 이름을 메모리의 텍스트 파일에 기록하고 그 텍스트 파일을 사용하여 처리된 이미지를 추적합니다.

4. Amazon EC2 인스턴스를 시작하여 Amazon Simple Queue Service(Amazon SQS) 대기열을 모니터링합니다. 항목이 대기열에 추가되면 EC2 인스턴스에 텍스트 파일로 파일 이름을 기록하고 Lambda 함수를 호출합니다.

5. Amazon EventBridge(Amazon CloudWatch Events) 이벤트를 구성하여 S3 버킷을 모니터링합니다. 이미지가 업로드되면 애플리케이션 소유자의 이메일 주소로 추가 처리를 위해 Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 보냅니다.

정답

나의 정답: 1, 4 정답: 1, 2

용어 및 개념 정리

S3 -> SQS Lambda 조합은 내구성 있는 메시지 전달로 작업을 비동기 분리하여 무상태인 Lambda로 자동 처리할 수 있다.

내구성 + 무상태 키워드는 SQS + Lambda에서 자주 쓰이는 조합이다.

오답 이유

1. EC2 인스턴스와 로컬 텍스트 파일은 상태 저장 및 운영 부담을 초래하여 뭇아태.내구성 요구를 만족하지 못한다.
   • ‘이 이미지는 처리했다’를 메모리나 로컬 텍스트 파일에 기록하면 안된다.
   • 서버가 죽으면 기록도 사라진다
   • 어떤 이미지를 처리했는지 추적이 어려워진다.

문제 6-5

한 회사는 AWS에 배포된 3계층 웹 애플리케이션을 운영하고 있습니다. 웹 서버는 VPC의 퍼블릭 서브넷에 배포되어 있고, 애플리케이션 서버와 데이터베이스 서버는 동일 VPC의 프라이빗 서브넷에 배포되어 있습니다. 회사는 검사(inspection) VPC에 AWS Marketplace에서 제공한 타사 가상 방화벽 어플라이언스를 배포했습니다. 해당 어플라이언스는 IP 패킷을 수신할 수 있는 IP 인터페이스로 구성되어 있습니다. 솔루션스 아키텍트는 웹 서버에 트래픽이 도달하기 전에 애플리케이션으로 향하는 모든 트래픽을 어플라이언스로 검사하도록 통합해야 합니다. 어떤 솔루션이 가장 적은 운영 부담으로 이 요구사항을 충족합니까?

1. 애플리케이션의 VPC 퍼블릭 서브넷에 네트워크 로드 밸런서를 생성하여 패킷 검사를 위해 트래픽을 어플라이언스로 라우팅합니다.

2. 애플리케이션의 VPC 퍼블릭 서브넷에 애플리케이션 로드 밸런서를 생성하여 패킷 검사를 위해 트래픽을 어플라이언스로 라우팅합니다.

3. 검사 VPC에 트랜짓 게이트웨이를 배포하고 라우트 테이블을 구성하여 들어오는 패킷을 트랜짓 게이트웨이를 통해 라우팅합니다.

4. 검사 VPC에 게이트웨이 로드 밸런서를 배포합니다. 게이트웨이 로드 밸런서 엔드포인트를 생성하여 들어오는 패킷을 수신하고 패킷을 어플라이언스로 전달합니다.

정답

정답: 4

용어 및 개념 정리

지문 상황 정리

• 웹 서버에 도달하기 전에 애플리케이션 트래픽의 모든 패킷 검사
• 타사 가상 방화벽 어플라이언스에 트래픽 전달
• 적은 운영부담 및 오버헤드
• 웹 서버는 VPC의 퍼블릭 서브넷에
• 애플리케이션 서버와 데이터베이스 서버는 동일 VPC의 프라이빗 서브넷에 배포되어 있음

퍼블릭 서브넷: 외부에서 접근이 가능한 네트워크영역. 프라이빗 서브넷: 간단하게 외부에서 다이렉트로 접근이 불가능한 네트워크 영역.

Inspection VPC(검사 VPC): WS 환경에서 여러 VPC 간의 트래픽, 또는 온프레미스와 VPC 간의 트래픽을 중앙에서 집중적으로 검사하고 보안 정책을 적용하기 위해 생성한 전용 보안 네트워크 공간

정답 이유

게이트웨이 로드밸런서 GWLB와 GWLB 엔드포인트는 네트워크 트래픽을 투명하게 서드파티 네트워킹 어플라이언스로 보낼 수 있게 설계되어 있으며, 확장 및 헬스 체크가 통합되어 있다. 이는 패킷 검사 체인을 최소한의 운영 부담으로 한다.

• ALB/NLB는 트래픽을 받아서 다른 곳으로 “보내는” 역할
• GWLB는 트래픽이 어플라이언스를 “통과”하게 만드는 역할