AWS Certified Solutions Architect Associate - Exam Solution (13)

1. 한 회사가 AWS에서 멀티플레이어 게임 애플리케이션을 호스팅하고 있습니다. 이 회사는 애플리케이션이 서브 밀리초 수준의 지연 시간으로 데이터를 읽고, 한 번만 실행하는 쿼리를 사용해 과거 데이터를 조회하고자 합니다. 운영 오버헤드를 최소화하면서 이러한 요구사항을 충족할 수 있는 솔루션은 무엇입니까?

 

A. 자주 접근하는 데이터를 Amazon RDS에 저장합니다. 주기적인 사용자 정의 스크립트를 실행해 데이터를 Amazon S3 버킷으로 내보냅니다.

B. 데이터를 직접 Amazon S3 버킷에 저장합니다. 오래된 데이터를 장기 보관을 위해 S3 Glacier Deep Archive로 이동시키는 S3 라이프사이클 정책을 구현합니다. Amazon Athena를 사용해 Amazon S3에서 데이터를 조회하는 일회성 쿼리를 실행합니다.

C. 자주 접근하는 데이터를 Amazon DynamoDB와 DynamoDB Accelerator(DAX)에 저장합니다. DynamoDB 테이블 내보내기를 사용해 데이터를 Amazon S3 버킷으로 내보냅니다. Amazon Athena를 사용해 Amazon S3에서 데이터를 조회하는 일회성 쿼리를 실행합니다.

D. 자주 접근하는 데이터를 Amazon DynamoDB에 저장합니다. Amazon Kinesis Data Streams로 스트리밍을 활성화합니다. Amazon Kinesis Data Firehose를 사용해 Kinesis Data Streams에서 데이터를 읽어 Amazon S3 버킷에 저장합니다.

 

 

C. Use Amazon DynamoDB with DynamoDB Accelerator (DAX) for data that is frequently accessed. Export the data to an Amazon S3 bucket by using DynamoDB table export. Run one-time queries on the data in Amazon S3 by using Amazon Athena.

• Amazon DynamoDB와 DAX는 자주 접근하는 데이터에 대한 서브 밀리초 수준의 지연 시간을 제공할 수 있는 솔루션입니다.
• DynamoDB 테이블 내보내기 기능을 사용해 데이터를 손쉽게 Amazon S3로 내보낼 수 있으며, 이는 운영 오버헤드를 크게 줄여줍니다.
• Amazon Athena를 사용해 S3에 저장된 데이터에 대해 일회성 쿼리를 실행할 수 있습니다. 이 방법은 데이터를 인프라로 관리할 필요가 없으므로 운영 오버헤드가 매우 낮습니다.

A. Amazon RDS는 서브 밀리초 지연 시간 요구사항을 충족하기에 적합하지 않습니다. 또한 데이터를 S3로 내보내기 위해 별도의 스크립트를 작성해야 하므로 운영 오버헤드가 큽니다.

B. Amazon S3는 대규모 데이터를 저장하는 데 적합하지만, 자주 접근하는 데이터에 대해 서브 밀리초 지연 시간을 제공하지 않습니다. S3의 데이터에 직접 접근하는 것도 지연 시간이 더 길어질 수 있습니다.

D. Amazon DynamoDB와 Kinesis Data Streams를 사용한 스트리밍은 실시간 데이터 처리에 적합하지만, 스트리밍 파이프라인을 관리해야 하므로 운영 오버헤드가 증가합니다. 이 방법은 서브 밀리초 읽기와 일회성 쿼리 요구사항을 모두 충족하기에 복잡합니다.

 

 

2. 한 회사가 두 개의 AWS 리전에서 증가하는 Amazon S3 버킷 수를 모니터링해야 합니다. 또한, 회사는 Amazon S3에서 암호화된 객체의 비율을 추적해야 합니다. 내부 컴플라이언스 팀을 위한 대시보드를 통해 이 정보를 표시해야 합니다. 운영 오버헤드를 최소화하면서 이러한 요구사항을 충족할 수 있는 솔루션은 무엇입니까?

 

A. 각 리전에 새로운 S3 Storage Lens 대시보드를 만들어 버킷 및 암호화 메트릭을 추적합니다. 두 리전의 대시보드 데이터를 Amazon QuickSight에서 단일 대시보드로 통합하여 컴플라이언스 팀에 제공합니다.

B. 각 리전에 AWS Lambda 함수를 배포하여 버킷 수와 객체의 암호화 상태를 나열합니다. 이 데이터를 Amazon S3에 저장합니다. Amazon Athena 쿼리를 사용하여 이 데이터를 Amazon QuickSight의 사용자 정의 대시보드에 표시하여 컴플라이언스 팀에 제공합니다.

C. S3 Storage Lens 기본 대시보드를 사용하여 버킷 및 암호화 메트릭을 추적합니다. 컴플라이언스 팀이 S3 콘솔에서 대시보드에 직접 접근할 수 있도록 합니다.

D. Amazon EventBridge 규칙을 생성하여 S3 객체 생성에 대한 AWS CloudTrail 이벤트를 감지합니다. 이 규칙을 설정하여 AWS Lambda 함수가 암호화 메트릭을 Amazon DynamoDB에 기록하도록 구성합니다. Amazon QuickSight를 사용하여 컴플라이언스 팀을 위한 대시보드에 메트릭을 표시합니다.

 

C. Use the S3 Storage Lens default dashboard to track bucket and encryption metrics. Give the compliance teams access to the dashboard directly in the S3 console.

• S3 Storage Lens 기본 대시보드는 이미 S3 콘솔에 내장되어 있으며, 버킷 및 암호화 메트릭을 추적할 수 있는 간단한 솔루션을 제공합니다.
• 추가적인 설정이나 복잡한 인프라 구축 없이 기본 대시보드만으로 요구사항을 충족할 수 있어 운영 오버헤드가 가장 낮습니다.
• 컴플라이언스 팀에게 S3 콘솔에 직접 접근 권한을 부여하면 별도의 대시보드 구축 없이도 메트릭을 쉽게 모니터링할 수 있습니다.

A. 새로운 S3 Storage Lens 대시보드를 각 리전에 생성하는 것은 불필요한 중복 작업을 야기하며, 두 리전의 데이터를 통합하여 별도의 대시보드를 생성하는 것은 추가적인 운영 오버헤드를 증가시킵니다.

B. AWS Lambda 함수와 Amazon Athena를 사용한 사용자 정의 대시보드는 유연하지만, 이를 구성하고 유지 관리하는 데 많은 작업이 필요합니다. 따라서 운영 오버헤드가 큽니다.

D. EventBridge와 Lambda, DynamoDB를 사용하여 메트릭을 기록하고 대시보드를 만드는 것은 복잡하며, 운영 오버헤드가 가장 큽니다. 또한, 이 방법은 요구되는 기능보다 과도하게 복잡할 수 있습니다.

 

 

 

3. 한 회사가 게임 시스템을 구축 중이며, 이 시스템은 리더보드, 매치메이킹, 인증 서비스에 고유한 이벤트를 동시에 보내야 합니다. 회사는 이벤트의 순서를 보장하는 AWS 이벤트 기반 시스템이 필요합니다. 이러한 요구사항을 충족할 수 있는 솔루션은 무엇입니까?

 

A. Amazon EventBridge 이벤트 버스
B. Amazon Simple Notification Service (Amazon SNS) FIFO 토픽
C. Amazon Simple Notification Service (Amazon SNS) 표준 토픽
D. Amazon Simple Queue Service (Amazon SQS) FIFO 큐

 

B. Amazon Simple Notification Service (Amazon SNS) FIFO topics

• Amazon SNS FIFO 토픽은 순서가 보장된 메시지 전달을 제공하면서, 여러 구독자에게 동시에 메시지를 전달할 수 있습니다. 이는 각각의 이벤트를 순서대로 리더보드, 매치메이킹, 인증 서비스로 보내야 하는 요구사항을 충족시킵니다.
• FIFO(First-In-First-Out) 토픽은 메시지의 순서를 보장하므로 이벤트가 지정된 순서대로 각 서비스로 전달됩니다.

A. Amazon EventBridge는 다양한 서비스와 통합할 수 있는 강력한 이벤트 버스이지만, 기본적으로 이벤트의 순서를 보장하지 않습니다. 따라서 이벤트 순서 보장이 필요한 이 경우에는 적합하지 않습니다.

C. Amazon SNS 표준 토픽은 높은 처리량과 멀티캐스트 기능을 제공하지만, 메시지 순서를 보장하지 않습니다. 따라서 이벤트 순서가 중요한 이 경우에는 적합하지 않습니다.

D. Amazon SQS FIFO 큐는 메시지 순서를 보장하지만, 큐의 성격상 메시지를 하나의 서비스로 전달하기에 적합합니다. 동시에 여러 서비스로 메시지를 전달해야 하는 경우에는 적절하지 않습니다.

 

 

4. 한 병원이 환자로부터 증상을 수집하는 새로운 애플리케이션을 설계하고 있습니다. 병원은 아키텍처에서 Amazon Simple Queue Service(Amazon SQS)와 Amazon Simple Notification Service(Amazon SNS)를 사용하기로 결정했습니다.

솔루션 아키텍트가 인프라 설계를 검토하고 있습니다. 데이터는 전송 중 및 저장 중에 암호화되어야 합니다. 병원의 권한 있는 인원만이 데이터에 접근할 수 있어야 합니다.

이 요구사항을 충족하기 위해 솔루션 아키텍트가 취해야 할 조합된 단계는 무엇입니까? (두 개의 답을 선택하십시오.)

 

A. SQS 구성 요소에서 서버 측 암호화를 켭니다. 기본 키 정책을 업데이트하여 키 사용을 권한이 부여된 주체 집합으로 제한합니다.

B. AWS Key Management Service(AWS KMS) 고객 관리 키를 사용하여 SNS 구성 요소에서 서버 측 암호화를 켭니다. 키 사용을 권한이 부여된 주체 집합으로 제한하는 키 정책을 적용합니다.

C. SNS 구성 요소에서 암호화를 켭니다. 기본 키 정책을 업데이트하여 키 사용을 권한이 부여된 주체 집합으로 제한합니다. TLS를 통한 암호화된 연결만 허용하도록 주제 정책에 조건을 설정합니다.

D. AWS Key Management Service(AWS KMS) 고객 관리 키를 사용하여 SQS 구성 요소에서 서버 측 암호화를 켭니다. 키 사용을 권한이 부여된 주체 집합으로 제한하는 키 정책을 적용합니다. TLS를 통한 암호화된 연결만 허용하도록 대기열 정책에 조건을 설정합니다.

E. AWS Key Management Service(AWS KMS) 고객 관리 키를 사용하여 SQS 구성 요소에서 서버 측 암호화를 켭니다. 키 사용을 권한이 부여된 주체 집합으로 제한하는 IAM 정책을 적용합니다. TLS를 통한 암호화된 연결만 허용하도록 대기열 정책에 조건을 설정합니다.

 

B. Turn on server-side encryption on the SNS components by using an AWS Key Management Service (AWS KMS) customer managed key. Apply a key policy to restrict key usage to a set of authorized principals.
D. Turn on server-side encryption on the SQS components by using an AWS Key Management Service (AWS KMS) customer managed key. Apply a key policy to restrict key usage to a set of authorized principals. Set a condition in the queue policy to allow only encrypted connections over TLS.

• B 옵션에서는 AWS KMS 고객 관리 키를 사용해 SNS 구성 요소에서 서버 측 암호화를 활성화하고, 키 사용을 권한이 부여된 주체로 제한하는 키 정책을 적용하여 데이터 접근을 제한합니다. 이는 SNS에 대한 데이터 보안을 강화하는 데 필수적입니다.
• D 옵션에서는 AWS KMS 고객 관리 키를 사용해 SQS 구성 요소에서 서버 측 암호화를 활성화하고, 키 사용을 권한이 부여된 주체로 제한하는 키 정책을 적용하며, 대기열 정책에 TLS를 통한 암호화된 연결만 허용하도록 조건을 설정합니다. 이는 데이터 전송 중 및 저장 중에 안전하게 보호되도록 보장합니다.

 

A. 이 옵션은 SQS에 대한 서버 측 암호화를 활성화하지만, 기본 키 정책을 업데이트하는 대신 AWS KMS 고객 관리 키와 특정 정책을 사용하는 것이 더 강력한 보안 설정입니다.

C. 이 옵션은 SNS에 대한 암호화만 다루고 있으며, SQS에 대한 설정이 포함되어 있지 않으므로 요구사항을 모두 충족하지 않습니다.

E. 이 옵션은 IAM 정책을 사용해 키 사용을 제한하는데, 키 정책을 사용해 키 사용을 제한하는 것이 더 적절한 방법입니다.

 

 

5. 회사가 Amazon RDS를 백엔드로 사용하는 웹 애플리케이션을 운영하고 있습니다. 새로운 데이터베이스 관리자가 실수로 데이터베이스 테이블의 정보를 수정하여 데이터 손실이 발생했습니다. 회사는 이러한 사고에서 복구하기 위해 마지막 30일 내에 이루어진 변경 사항에서 5분 전의 상태로 데이터베이스를 복원할 수 있는 기능을 원합니다.

이 요구사항을 충족하기 위해 솔루션 아키텍트는 어떤 기능을 설계에 포함해야 합니까?

A. 읽기 복제본(Read replicas)
B. 수동 스냅샷(Manual snapshots)
C. 자동 백업(Automated backups)
D. 다중 AZ 배포(Multi-AZ deployments)

 

C. Automated backups (자동 백업)

• 자동 백업(Automated backups) 기능은 Amazon RDS에서 제공하는 기능으로, 데이터베이스의 상태를 매일 자동으로 백업하고, 변경 로그를 일정 시간마다 캡처하여 데이터를 복구할 수 있게 합니다. 이 기능을 사용하면 특정 시점(Point-in-Time)으로 데이터베이스를 복원할 수 있습니다.
• 질문에서 요구하는 "지난 30일 동안의 변경 사항에서 5분 전의 상태로 데이터베이스를 복원"하는 기능을 제공할 수 있는 것은 자동 백업과 변경 로그의 조합입니다. 이를 통해 데이터베이스를 원하는 시점으로 복구할 수 있습니다.

A. **읽기 복제본(Read replicas)**는 데이터베이스의 읽기 성능을 확장하기 위해 사용되며, 데이터 복구를 위한 기능이 아닙니다.

B. **수동 스냅샷(Manual snapshots)**은 데이터베이스의 특정 시점에서 수동으로 생성되는 백업입니다. 이는 특정 시점으로 복구하는 데 유용하지만, 5분 단위의 세밀한 복구를 지원하지는 않습니다.

D. **다중 AZ 배포(Multi-AZ deployments)**는 데이터베이스의 가용성을 높이기 위해 사용되며, 데이터 손실 복구와는 직접적인 관련이 없습니다. 이 기능은 주로 장애 복구를 위한 것입니다.

 

 

6. 한 회사의 웹 애플리케이션은 Amazon API Gateway API가 AWS Lambda 함수와 Amazon DynamoDB 데이터베이스 앞에 위치한 구조로 이루어져 있습니다. Lambda 함수는 비즈니스 로직을 처리하며, DynamoDB 테이블은 데이터를 호스팅합니다. 애플리케이션은 Amazon Cognito 사용자 풀을 사용해 애플리케이션의 개별 사용자를 식별합니다. 솔루션 아키텍트는 구독을 가진 사용자만 프리미엄 콘텐츠에 접근할 수 있도록 애플리케이션을 업데이트해야 합니다.

이 요구사항을 운영 오버헤드를 최소화하면서 충족할 수 있는 솔루션은 무엇입니까?

 

A. API Gateway API에서 API 캐싱 및 스로틀링을 활성화합니다.
B. API Gateway API에 AWS WAF를 설정합니다. 구독이 있는 사용자를 필터링하는 규칙을 만듭니다.
C. DynamoDB 테이블에서 프리미엄 콘텐츠에 대한 세분화된 IAM 권한을 적용합니다.
D. API 사용 계획과 API 키를 구현하여 구독이 없는 사용자의 접근을 제한합니다.

 

D. Implement API usage plans and API keys to limit the access of users who do not have a subscription.
(API 사용 계획과 API 키를 구현하여 구독이 없는 사용자의 접근을 제한합니다.)

• API 사용 계획과 API 키는 API Gateway에서 사용자 접근을 관리하는 가장 간단한 방법입니다. 구독이 있는 사용자에게만 API 키를 제공하여 프리미엄 콘텐츠에 접근할 수 있도록 제한할 수 있습니다.
• API 사용 계획을 사용하면 구독이 없는 사용자를 쉽게 제한하고, 구독에 따른 사용량 제한도 설정할 수 있어 운영 오버헤드를 최소화하면서 요구사항을 충족할 수 있습니다.

A. API 캐싱 및 스로틀링은 성능을 최적화하기 위한 기능으로, 사용자를 구독 상태에 따라 제한하는 데 적합하지 않습니다.

B. AWS WAF는 웹 애플리케이션 방화벽으로, 보안 위협을 필터링하는 데 사용됩니다. WAF를 사용하여 구독 상태에 따라 사용자를 필터링하는 것은 적절하지 않고, 복잡한 설정이 필요할 수 있습니다.

C. DynamoDB 테이블에 세분화된 IAM 권한을 적용하는 것은 데이터베이스 수준에서 권한을 관리하는 방법이지만, 이 경우 API Gateway를 통해 접근을 관리하는 것이 더 효율적이며 운영 오버헤드가 적습니다. 또한, 이를 설정하는 것은 상대적으로 복잡할 수 있습니다.

 

 

7. 대형 급여 회사가 최근 소규모 인력 회사와 합병했습니다. 통합된 회사는 이제 각기 다른 AWS 계정을 가진 여러 비즈니스 유닛을 보유하게 되었습니다. 솔루션 아키텍트는 회사가 모든 AWS 계정에 대한 청구 및 액세스 정책을 중앙에서 관리할 수 있도록 해야 합니다. 솔루션 아키텍트는 중앙 관리 계정에서 회사의 모든 멤버 계정에 초대장을 보내 AWS Organizations을 구성했습니다.

이 요구사항을 충족하기 위해 솔루션 아키텍트가 다음으로 해야 할 일은 무엇입니까?

 

A. 각 멤버 계정에 OrganizationAccountAccess IAM 그룹을 생성합니다. 각 관리자에게 필요한 IAM 역할을 포함시킵니다.

B. 각 멤버 계정에 OrganizationAccountAccessPolicy IAM 정책을 생성합니다. 교차 계정 접근을 사용해 멤버 계정을 관리 계정에 연결합니다.

C. 각 멤버 계정에 OrganizationAccountAccessRole IAM 역할을 생성합니다. 관리 계정에 해당 IAM 역할을 가정할 수 있는 권한을 부여합니다.

D. 관리 계정에 OrganizationAccountAccessRole IAM 역할을 생성합니다. AdministratorAccess AWS 관리 정책을 IAM 역할에 연결합니다. 각 멤버 계정의 관리자에게 IAM 역할을 할당합니다.

 

C. Create the OrganizationAccountAccessRole IAM role in each member account. Grant permission to the management account to assume the IAM role.
(각 멤버 계정에 OrganizationAccountAccessRole IAM 역할을 생성합니다. 관리 계정에 해당 IAM 역할을 가정할 수 있는 권한을 부여합니다.)

• AWS Organizations를 사용하면 조직 내의 여러 계정을 중앙에서 관리할 수 있습니다. 이를 위해 관리 계정이 멤버 계정에 접근할 수 있어야 합니다.
• OrganizationAccountAccessRole IAM 역할을 각 멤버 계정에 생성하고, 관리 계정에 이 역할을 **가정(assume)**할 수 있는 권한을 부여함으로써 관리 계정이 멤버 계정에 접근할 수 있게 됩니다. 이는 멤버 계정에 대한 중앙 관리 및 정책 적용을 가능하게 합니다.

틀린 보기 이유:

A. IAM 그룹을 사용하는 방법은 멤버 계정에서 특정 사용자 그룹에 권한을 부여하는 데 사용되지만, 중앙 관리 계정이 멤버 계정에 접근할 수 있는 메커니즘을 제공하지 않습니다.

B. IAM 정책을 사용해 교차 계정 접근을 설정하는 것은 가능하지만, 관리 계정이 멤버 계정에 대한 액세스를 직접 관리할 수 있도록 역할(Role)을 설정하는 것이 더 적절하고 표준적인 방법입니다.

D. 관리 계정에 역할을 생성하는 것은 멤버 계정에 접근 권한을 설정하는 데 직접적인 도움이 되지 않으며, 이 역할을 멤버 계정에 할당하는 과정이 포함되어 있지 않으므로 적절하지 않습니다.

 

 

8. 한 회사가 Application Load Balancer 뒤에 있는 Amazon EC2 인스턴스에서 애플리케이션을 운영하고 있습니다. EC2 인스턴스는 Auto Scaling 그룹에 속해 있습니다. 애플리케이션이 때때로 느려지고 응답하지 않습니다. Amazon CloudWatch 메트릭에서 일부 EC2 인스턴스가 높은 CPU 부하를 겪고 있음을 보여줍니다.

SysOps 관리자는 모든 EC2 인스턴스의 CPU 메트릭을 자동으로 표시할 수 있는 CloudWatch 대시보드를 생성해야 합니다. 이 메트릭에는 Auto Scaling 그룹의 일부로 새로 시작된 인스턴스가 포함되어야 합니다.

이 요구사항을 가장 운영 효율적인 방법으로 충족하기 위해 SysOps 관리자가 해야 할 일은 무엇입니까?

 

A. CloudWatch 대시보드를 생성합니다. Auto Scaling 그룹의 활동 알림을 사용해 사용자 정의 AWS Lambda 함수를 호출합니다. Lambda 함수를 사용해 새 인스턴스 ID에 대한 CPUUtilization 메트릭을 모니터링하도록 CloudWatch 대시보드를 업데이트합니다.

B. CloudWatch 대시보드를 생성합니다. 각 EC2 인스턴스에서 사용자 정의 스크립트를 실행해 CPU 사용률을 대시보드로 스트리밍합니다.

C. CloudWatch 메트릭 탐색기를 사용해 aws:autoscaling

태그로 필터링하고 CPUUtilization 메트릭에 대한 시각화를 생성합니다. 이 시각화를 CloudWatch 대시보드에 추가합니다.

D. CloudWatch 메트릭 탐색기를 사용해 인스턴스 상태로 필터링하고 CPUUtilization 메트릭에 대한 시각화를 생성합니다. 이 시각화를 CloudWatch 대시보드에 추가합니다.

 

C. Use CloudWatch metrics explorer to filter by the aws:autoscaling

tag and to create a visualization for the CPUUtilization metric. Add the visualization to a CloudWatch dashboard.
(CloudWatch 메트릭 탐색기를 사용해 aws:autoscaling태그로 필터링하고 CPUUtilization 메트릭에 대한 시각화를 생성합니다. 이 시각화를 CloudWatch 대시보드에 추가합니다.)

• CloudWatch 메트릭 탐색기를 사용하여 aws:autoscaling:groupName 태그로 필터링하면 해당 Auto Scaling 그룹의 모든 인스턴스에 대한 CPUUtilization 메트릭을 자동으로 수집할 수 있습니다. 이 방법은 새로 생성된 인스턴스도 자동으로 포함되므로, 별도의 추가 작업 없이 대시보드에 필요한 메트릭이 반영됩니다.
• 이 방법은 운영 오버헤드가 낮으며, 관리자가 직접 인스턴스를 추가하거나 스크립트를 실행할 필요가 없어 효율적입니다.

틀린 보기 이유:

A. Lambda 함수를 사용해 CloudWatch 대시보드를 업데이트하는 방법은 복잡하며, 새로운 인스턴스가 추가될 때마다 대시보드를 업데이트해야 하므로 운영 효율성이 떨어집니다.

B. 사용자 정의 스크립트를 사용해 CPU 사용률을 스트리밍하는 방법은 관리가 어렵고 비효율적입니다. 특히 인스턴스가 추가되거나 제거될 때마다 스크립트를 조정해야 하는 부담이 있습니다.

D. 인스턴스 상태로 필터링하는 방법은 인스턴스의 상태만으로는 특정 Auto Scaling 그룹에 속한 인스턴스를 정확히 식별하기 어렵고, 다른 인스턴스가 포함될 가능성이 있습니다. 이는 정확한 모니터링을 보장하지 못합니다.

 

 

9. 회사는 비디오 콘텐츠를 게시하고 모든 모바일 플랫폼에서 사용할 수 있도록 트랜스코딩하는 온라인 서비스를 제공합니다. 애플리케이션 아키텍처는 Amazon Elastic File System(Amazon EFS) Standard를 사용하여 비디오를 수집하고 저장하며, 여러 Amazon EC2 Linux 인스턴스가 비디오 콘텐츠에 액세스하여 처리할 수 있도록 합니다. 시간이 지남에 따라 서비스의 인기가 높아지면서 스토리지 비용이 너무 비싸졌습니다.

가장 비용 효율적인 스토리지 솔루션은 무엇입니까?

 

A. AWS Storage Gateway for files를 사용하여 비디오 콘텐츠를 저장하고 처리합니다.
B. AWS Storage Gateway for volumes를 사용하여 비디오 콘텐츠를 저장하고 처리합니다.
C. Amazon Elastic File System(Amazon EFS)을 사용하여 비디오 콘텐츠를 저장합니다. 처리 완료 후 파일을 Amazon Elastic Block Store(Amazon EBS)로 전송합니다.
D. Amazon S3를 사용하여 비디오 콘텐츠를 저장합니다. 파일을 서버에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨으로 일시적으로 이동하여 처리합니다.

 

D. Use Amazon S3 for storing the video content. Move the files temporarily over to an Amazon Elastic Block Store (Amazon EBS) volume attached to the server for processing.
(Amazon S3를 사용하여 비디오 콘텐츠를 저장합니다. 파일을 서버에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨으로 일시적으로 이동하여 처리합니다.)

정답 이유:

• Amazon S3는 Amazon EFS Standard에 비해 비용이 훨씬 저렴한 스토리지 옵션입니다. 따라서 비디오 콘텐츠를 장기적으로 저장하는 데 가장 적합한 솔루션입니다.
• 비디오 콘텐츠가 서버에서 처리될 때는 Amazon EBS 볼륨을 일시적으로 사용하여 처리할 수 있습니다. 이는 처리 중 높은 I/O 성능을 제공하며, 필요한 경우에만 사용하므로 비용을 절감할 수 있습니다.
• 이 방법은 비용을 절감하면서도 필요한 성능을 유지할 수 있는 가장 효율적인 솔루션입니다.

틀린 보기 이유:

A. AWS Storage Gateway for files는 온프레미스 데이터와 클라우드 간의 파일 스토리지를 통합하는 데 사용되며, 이 시나리오에 적합하지 않습니다.

B. AWS Storage Gateway for volumes는 블록 스토리지를 위한 솔루션으로, 비용 효율성 측면에서 S3보다 비쌀 수 있습니다. 또한 이 솔루션은 온프레미스 환경을 염두에 둔 아키텍처에 더 적합합니다.

C. Amazon EFS와 Amazon EBS를 결합하여 사용하는 방법은 비용이 증가할 수 있으며, S3를 사용하는 것보다 덜 비용 효율적입니다. EFS는 상대적으로 비싼 스토리지 옵션이므로 장기적인 비디오 저장에는 적합하지 않습니다.

 

 

10. 회사가 VPC에서 퍼블릭 3계층 웹 애플리케이션을 운영하고 있습니다. 이 애플리케이션은 여러 가용 영역에 걸쳐 있는 Amazon EC2 인스턴스에서 실행됩니다. 프라이빗 서브넷에서 실행되는 EC2 인스턴스는 인터넷을 통해 라이선스 서버와 통신해야 합니다. 회사는 운영 유지보수를 최소화하는 관리형 솔루션이 필요합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까?

 

A. 퍼블릭 서브넷에 NAT 인스턴스를 프로비저닝합니다. 각 프라이빗 서브넷의 라우팅 테이블을 수정하여 NAT 인스턴스를 가리키는 기본 라우트를 설정합니다.

B. 프라이빗 서브넷에 NAT 인스턴스를 프로비저닝합니다. 각 프라이빗 서브넷의 라우팅 테이블을 수정하여 NAT 인스턴스를 가리키는 기본 라우트를 설정합니다.

C. 퍼블릭 서브넷에 NAT 게이트웨이를 프로비저닝합니다. 각 프라이빗 서브넷의 라우팅 테이블을 수정하여 NAT 게이트웨이를 가리키는 기본 라우트를 설정합니다.

D. 프라이빗 서브넷에 NAT 게이트웨이를 프로비저닝합니다. 각 프라이빗 서브넷의 라우팅 테이블을 수정하여 NAT 게이트웨이를 가리키는 기본 라우트를 설정합니다.

 

C. Provision a NAT gateway in a public subnet. Modify each private subnet's route table with a default route that points to the NAT gateway.
(퍼블릭 서브넷에 NAT 게이트웨이를 프로비저닝합니다. 각 프라이빗 서브넷의 라우팅 테이블을 수정하여 NAT 게이트웨이를 가리키는 기본 라우트를 설정합니다.)

• NAT 게이트웨이는 NAT 인스턴스보다 관리 부담이 적고 고가용성을 제공하는 AWS 관리형 서비스입니다. 운영 유지보수를 최소화하는 관리형 솔루션을 제공하므로 이 시나리오에 가장 적합합니다.
• 퍼블릭 서브넷에 NAT 게이트웨이를 프로비저닝하면 프라이빗 서브넷의 EC2 인스턴스가 인터넷에 접근할 수 있게 됩니다. 각 프라이빗 서브넷의 라우팅 테이블에 NAT 게이트웨이를 가리키는 기본 라우트를 추가하여 이 통신을 가능하게 합니다.

틀린 보기 이유:

A. NAT 인스턴스를 사용하는 것은 가능한 방법이지만, NAT 게이트웨이에 비해 관리 오버헤드가 더 큽니다. 인스턴스 관리, 패치, 가용성 확보 등의 작업이 필요합니다.

B. NAT 인스턴스를 프라이빗 서브넷에 프로비저닝하면, NAT 인스턴스가 인터넷에 접근할 수 없기 때문에 올바르게 동작하지 않습니다.

D. NAT 게이트웨이를 프라이빗 서브넷에 배치하면, NAT 게이트웨이가 인터넷에 접근할 수 없기 때문에 인터넷 연결이 불가능합니다. NAT 게이트웨이는 퍼블릭 서브넷에 배치해야 합니다.

 

 

11. 회사는 디지털 미디어 스트리밍 애플리케이션을 호스팅하기 위해 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터를 생성해야 합니다. EKS 클러스터는 스토리지로 Amazon Elastic Block Store(Amazon EBS) 볼륨을 사용하는 관리형 노드 그룹을 사용할 예정입니다. 회사는 AWS Key Management Service(AWS KMS)에 저장된 고객 관리 키를 사용해 모든 데이터를 저장할 때 암호화해야 합니다.

운영 오버헤드를 최소화하면서 이 요구사항을 충족하기 위해 어떤 조합의 작업을 수행해야 합니까? (두 개를 선택하십시오.)

A. 고객 관리 키를 사용해 데이터 암호화를 수행하는 Kubernetes 플러그인을 사용합니다.
B. EKS 클러스터를 생성한 후 EBS 볼륨을 찾아 고객 관리 키를 사용해 암호화를 활성화합니다.
C. EKS 클러스터가 생성될 AWS 리전에서 기본적으로 EBS 암호화를 활성화합니다. 고객 관리 키를 기본 키로 선택합니다.
D. EKS 클러스터를 생성합니다. 고객 관리 키에 대한 권한을 부여하는 정책을 가진 IAM 역할을 생성합니다. 이 역할을 EKS 클러스터와 연관시킵니다.
E. 고객 관리 키를 EKS 클러스터의 Kubernetes 시크릿으로 저장합니다. 고객 관리 키를 사용해 EBS 볼륨을 암호화합니다.

 

C. Enable EBS encryption by default in the AWS Region where the EKS cluster will be created. Select the customer managed key as the default key.
D. Create the EKS cluster. Create an IAM role that has a policy that grants permission to the customer managed key. Associate the role with the EKS cluster.

• C 옵션은 EBS 볼륨이 자동으로 암호화되도록 AWS 리전에서 EBS 암호화를 기본으로 활성화하는 방법입니다. 이때 고객 관리 키를 기본 키로 설정하면, 새로 생성된 모든 EBS 볼륨이 이 키로 암호화됩니다. 이는 운영 오버헤드를 최소화하면서 암호화 요구사항을 충족하는 효율적인 방법입니다.
• D 옵션에서는 EKS 클러스터 생성 시 필요한 IAM 역할을 생성하고, 해당 역할에 고객 관리 키를 사용할 수 있는 권한을 부여합니다. 이 역할을 클러스터와 연결하여 클러스터 내에서 관리형 노드 그룹이 고객 관리 키를 사용해 EBS 볼륨을 암호화할 수 있도록 설정합니다.

틀린 보기 이유:

A. Kubernetes 플러그인을 사용하는 방법은 가능하지만, EBS 볼륨 암호화는 AWS에서 기본적으로 지원하는 기능을 사용하는 것이 더 간단하고 운영 오버헤드를 줄일 수 있습니다.

B. EKS 클러스터 생성 후 개별적으로 EBS 볼륨 암호화를 설정하는 것은 수작업이 많이 필요하므로, 운영 오버헤드가 큽니다.

E. 고객 관리 키를 Kubernetes 시크릿으로 저장하는 것은 일반적으로 안전하지 않으며, EBS 볼륨 암호화를 위한 적절한 방법도 아닙니다.

 

 

12. 회사는 AWS 클라우드에서 여러 계정을 운영하고 있습니다. 개발자 계정의 사용자들이 프로덕션 계정의 특정 리소스에 접근해야 합니다.

이 접근을 제공하는 가장 안전한 방법은 무엇입니까?

A. 프로덕션 계정에 하나의 IAM 사용자를 생성합니다. 필요한 리소스에 적절한 권한을 부여합니다. 접근이 필요한 사용자들에게만 비밀번호를 공유합니다.

B. 개발자 계정에서 IAM 역할로 교차 계정 접근을 생성합니다. 이 역할에 적절한 권한을 부여합니다. 개발자 계정의 사용자들이 이 역할을 가정하여 프로덕션 리소스에 접근할 수 있도록 허용합니다.

C. 프로덕션 계정에 IAM 사용자 계정으로 교차 계정 접근을 생성합니다. 이 사용자 계정에 적절한 권한을 부여합니다. 개발자 계정의 사용자들이 이 사용자 계정을 사용해 프로덕션 리소스에 접근할 수 있도록 허용합니다.

D. 프로덕션 계정에서 IAM 역할로 교차 계정 접근을 생성합니다. 이 역할에 적절한 권한을 부여합니다. 개발자 계정의 사용자들이 이 역할을 가정하여 프로덕션 리소스에 접근할 수 있도록 허용합니다.

 

D. Create cross-account access with an IAM role in the production account. Grant the appropriate permissions to this role. Allow users in the developer account to assume this role to access the production resources.
(프로덕션 계정에서 IAM 역할로 교차 계정 접근을 생성합니다. 이 역할에 적절한 권한을 부여합니다. 개발자 계정의 사용자들이 이 역할을 가정하여 프로덕션 리소스에 접근할 수 있도록 허용합니다.)

정답 이유:

• IAM 역할을 사용한 교차 계정 접근은 보안적으로 가장 우수한 방법입니다. 이 방법에서는 프로덕션 계정에서 역할을 생성하고, 개발자 계정의 사용자들이 이 역할을 가정(assume)할 수 있도록 허용합니다.
• 이 방식은 각 사용자가 개별적인 IAM 사용자 계정을 필요로 하지 않으며, 역할을 가정할 때마다 임시 보안 자격 증명이 생성되므로 보안이 강화됩니다.
• 또한, 프로덕션 계정의 리소스에 대한 접근을 세밀하게 제어할 수 있고, 최소 권한 원칙을 준수할 수 있습니다.

틀린 보기 이유:

A. 프로덕션 계정에 하나의 IAM 사용자 계정을 생성하고 비밀번호를 공유하는 방법은 보안 위험이 큽니다. 비밀번호가 유출되면 모든 사용자가 리소스에 접근할 수 있기 때문에 보안적으로 적절하지 않습니다.

B. 개발자 계정에서 IAM 역할을 생성하는 것은 올바르지 않습니다. 역할은 프로덕션 계정에 있어야 하며, 개발자 계정의 사용자가 그 역할을 가정하여 접근해야 합니다.

C. 프로덕션 계정에서 IAM 사용자를 생성하고 이를 여러 사용자가 공유하도록 하는 것은 비밀번호 관리와 같은 보안 문제를 야기할 수 있습니다. 또한, 이 방법은 각 사용자의 개별 접근을 추적하기 어렵게 만듭니다.

 

 

 

13. 회사는 자동차에 있는 IoT 센서로부터 데이터를 수집하는 애플리케이션을 운영하고 있습니다. 데이터는 Amazon Kinesis Data Firehose를 통해 Amazon S3에 스트리밍되고 저장됩니다. 이 데이터는 매년 수조 개의 S3 객체를 생성합니다. 매일 아침, 회사는 지난 30일 동안의 데이터를 사용해 기계 학습(ML) 모델 세트를 재훈련합니다. 연간 네 번, 회사는 지난 12개월 동안의 데이터를 사용해 분석을 수행하고 다른 ML 모델을 훈련합니다. 데이터는 최대 1년 동안 지연 없이 사용할 수 있어야 하며, 1년 후에는 아카이브 목적으로 데이터를 보관해야 합니다.

가장 비용 효율적으로 이 요구사항을 충족하는 스토리지 솔루션은 무엇입니까?

A. S3 Intelligent-Tiering 스토리지 클래스를 사용합니다. S3 수명 주기 정책을 생성하여 1년 후에 객체를 S3 Glacier Deep Archive로 전환합니다.

B. S3 Intelligent-Tiering 스토리지 클래스를 사용합니다. S3 Intelligent-Tiering을 구성하여 1년 후에 객체를 S3 Glacier Deep Archive로 자동으로 이동하도록 설정합니다.

C. S3 Standard-Infrequent Access (S3 Standard-IA) 스토리지 클래스를 사용합니다. S3 수명 주기 정책을 생성하여 1년 후에 객체를 S3 Glacier Deep Archive로 전환합니다.

D. S3 Standard 스토리지 클래스를 사용합니다. S3 수명 주기 정책을 생성하여 30일 후에 객체를 S3 Standard-Infrequent Access (S3 Standard-IA)로 전환하고, 1년 후에 S3 Glacier Deep Archive로 전환합니다.

 

정답:

D. Use the S3 Standard storage class. Create an S3 Lifecycle policy to transition objects to S3 Standard-Infrequent Access (S3 Standard-IA) after 30 days, and then to S3 Glacier Deep Archive after 1 year.
(S3 Standard 스토리지 클래스를 사용합니다. S3 수명 주기 정책을 생성하여 30일 후에 객체를 S3 Standard-Infrequent Access (S3 Standard-IA)로 전환하고, 1년 후에 S3 Glacier Deep Archive로 전환합니다.)

정답 이유:

• S3 Standard 스토리지 클래스는 자주 접근되는 데이터를 저장하는 데 적합하며, 데이터가 처음 수집될 때 이를 사용하는 것이 가장 적절합니다. 초기 30일 동안은 매일 데이터를 사용해 ML 모델을 재훈련하기 때문에 S3 Standard가 적합합니다.
• 30일 후, 데이터를 **S3 Standard-Infrequent Access (S3 Standard-IA)**로 전환하면, 비용을 절감할 수 있습니다. 이 스토리지 클래스는 자주 액세스하지 않는 데이터에 대해 더 저렴한 요금이 부과되지만, 여전히 필요할 때 데이터를 빠르게 액세스할 수 있습니다.
• 1년 후, 데이터를 S3 Glacier Deep Archive로 전환하면 장기 보관 비용을 크게 절감할 수 있습니다. 이 옵션은 데이터가 자주 액세스되지 않는 경우에 가장 저렴한 스토리지 클래스입니다.

틀린 보기 이유:

A. S3 Intelligent-Tiering은 자주 접근하는 데이터와 접근하지 않는 데이터를 자동으로 구분하여 저장 비용을 최적화하지만, 이 시나리오에서는 S3 Standard와 S3 Standard-IA를 사용하는 것이 더 비용 효율적입니다.

B. S3 Intelligent-Tiering을 사용하여 1년 후 데이터를 S3 Glacier Deep Archive로 전환하는 것은 가능하지만, 수명 주기 정책을 통해 더 세밀하게 제어하는 것이 효율적입니다.

C. S3 Standard-IA를 처음부터 사용하는 것은 초기 30일 동안 자주 액세스되는 데이터에 대해 높은 액세스 비용을 초래할 수 있으며, 이는 비효율적입니다.

 

 

14. 회사는 us-east-1 리전 내에서 세 개의 별도 VPC에서 여러 비즈니스 애플리케이션을 운영하고 있습니다. 애플리케이션은 VPC 간에 통신할 수 있어야 합니다. 또한, 애플리케이션은 매일 수백 기가바이트의 데이터를 단일 온프레미스 데이터 센터에서 실행되는 지연에 민감한 애플리케이션으로 일관되게 전송할 수 있어야 합니다.

솔루션 아키텍트는 비용 효율성을 극대화하는 네트워크 연결 솔루션을 설계해야 합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까?

A. 데이터 센터에서 AWS로 세 개의 AWS Site-to-Site VPN 연결을 구성합니다. 각 VPC에 하나의 VPN 연결을 구성하여 연결성을 설정합니다.

B. 각 VPC에 서드 파티 가상 네트워크 어플라이언스를 시작합니다. 데이터 센터와 각 가상 어플라이언스 간에 IPsec VPN 터널을 설정합니다.

C. 데이터 센터에서 us-east-1의 Direct Connect 게이트웨이로 세 개의 AWS Direct Connect 연결을 설정합니다. 각 VPC가 하나의 Direct Connect 연결을 사용하도록 설정하여 연결성을 설정합니다.

D. 데이터 센터에서 AWS로 하나의 AWS Direct Connect 연결을 설정합니다. 트랜짓 게이트웨이를 생성하고 각 VPC를 트랜짓 게이트웨이에 연결합니다. Direct Connect 연결과 트랜짓 게이트웨이 간의 연결성을 설정합니다.

 

D. Set up one AWS Direct Connect connection from the data center to AWS. Create a transit gateway, and attach each VPC to the transit gateway. Establish connectivity between the Direct Connect connection and the transit gateway.
(데이터 센터에서 AWS로 하나의 AWS Direct Connect 연결을 설정합니다. 트랜짓 게이트웨이를 생성하고 각 VPC를 트랜짓 게이트웨이에 연결합니다. Direct Connect 연결과 트랜짓 게이트웨이 간의 연결성을 설정합니다.)

• AWS Direct Connect는 온프레미스 데이터 센터와 AWS 간의 고속, 저지연 연결을 제공하며, 지연에 민감한 애플리케이션에 필요한 안정적인 네트워크 연결을 보장합니다.
• 트랜짓 게이트웨이를 사용하면 여러 VPC를 하나의 Direct Connect 연결에 연결할 수 있어, 각 VPC를 별도로 설정할 필요 없이 중앙에서 네트워크 관리를 쉽게 할 수 있습니다. 이는 비용을 절감하고 관리 효율성을 높이는 방법입니다.
• 이 솔루션은 하나의 Direct Connect 연결을 사용해 세 개의 VPC와 온프레미스 데이터 센터 간의 안정적인 네트워크 연결을 제공하므로 비용 효율적입니다.

틀린 보기 이유:

A. 세 개의 AWS Site-to-Site VPN 연결을 구성하는 것은 가능하지만, VPN은 Direct Connect보다 지연 시간이 높을 수 있으며, 특히 데이터 전송량이 많을 때 성능이 떨어질 수 있습니다.

B. 서드 파티 가상 네트워크 어플라이언스를 사용하는 방법은 설정과 관리가 복잡하며, 비용이 더 많이 들 수 있습니다. 또한, IPsec VPN 터널은 대규모 데이터 전송에 적합하지 않습니다.

C. 세 개의 AWS Direct Connect 연결을 설정하는 방법은 불필요하게 비쌀 수 있습니다. 한 개의 Direct Connect 연결로도 충분한 성능을 제공할 수 있으며, 트랜짓 게이트웨이를 사용하여 각 VPC와 연결하는 것이 더 비용 효율적입니다.

 

 

15. 한 전자상거래 회사가 여러 서버리스 함수와 AWS 서비스를 포함한 분산 애플리케이션을 구축하고 있습니다. 이 애플리케이션은 주문 처리 작업을 완료하기 위해 수동 승인이 필요한 작업들을 포함하고 있습니다. 솔루션 아키텍트는 주문 처리 애플리케이션을 위한 아키텍처를 설계해야 합니다. 이 솔루션은 여러 AWS Lambda 함수를 결합하여 반응성 있는 서버리스 애플리케이션을 구축할 수 있어야 하며, Amazon EC2 인스턴스, 컨테이너 또는 온프레미스 서버에서 실행되는 데이터와 서비스를 조정할 수 있어야 합니다.

가장 적은 운영 오버헤드로 이 요구사항을 충족할 솔루션은 무엇입니까?

 

A. AWS Step Functions를 사용하여 애플리케이션을 구축합니다.
B. AWS Glue 작업에서 모든 애플리케이션 구성 요소를 통합합니다.
C. Amazon Simple Queue Service (Amazon SQS)를 사용하여 애플리케이션을 구축합니다.
D. AWS Lambda 함수와 Amazon EventBridge 이벤트를 사용하여 애플리케이션을 구축합니다.

 

A. Use AWS Step Functions to build the application.
(AWS Step Functions를 사용하여 애플리케이션을 구축합니다.)

• AWS Step Functions는 여러 AWS Lambda 함수 및 다른 AWS 서비스 간의 복잡한 워크플로우를 조정할 수 있는 서버리스 오케스트레이션 서비스입니다. 수동 승인 작업을 포함한 다양한 작업을 상태 머신으로 정의할 수 있으며, 상태 전이와 작업의 순서를 손쉽게 관리할 수 있습니다.
• Step Functions는 Amazon EC2 인스턴스, 컨테이너, 온프레미스 서버 등 다양한 실행 환경에서 실행되는 서비스를 조정할 수 있어, 다양한 구성 요소를 결합한 애플리케이션을 쉽게 구축할 수 있습니다.
• 또한, Step Functions는 서버리스 서비스이기 때문에 운영 오버헤드가 매우 낮아 이 요구사항에 가장 적합한 솔루션입니다.

틀린 보기 이유:

B. AWS Glue는 데이터 처리를 위한 서비스로, 서버리스 애플리케이션의 조정 및 상태 관리에는 적합하지 않습니다.

C. Amazon SQS는 메시지 대기열 서비스로, 작업 간의 비동기 통신을 처리하는 데 적합하지만, 복잡한 워크플로우를 오케스트레이션하거나 상태를 관리하는 데는 적합하지 않습니다.

D. AWS Lambda와 Amazon EventBridge를 결합하여 애플리케이션을 구축할 수 있지만, 복잡한 워크플로우와 상태 관리를 직접 처리해야 하므로 운영 오버헤드가 높아질 수 있습니다. Step Functions가 이러한 워크플로우 관리에 더 적합합니다.

 

 

16. 애플리케이션이 고가용성을 갖추지 못했고, 마운트 대상이 존재하는 가용 영역(Availability Zone, AZ)이 사용 불가능하기 때문에 온프레미스 서버가 마운트 대상에 접근할 수 없습니다. 이 경우 어떤 조치를 취하는 것이 권장됩니까?

 

A. 애플리케이션은 체크포인트 로직을 구현하고 마운트 대상을 다시 생성해야 합니다.

B. 애플리케이션은 셧다운 로직을 구현하고 해당 AZ의 마운트 대상을 삭제해야 합니다.

C. 애플리케이션은 삭제 로직을 구현하고 동일한 AZ의 다른 마운트 대상에 연결해야 합니다.

D. 애플리케이션은 재시작 로직을 구현하고 다른 AZ의 마운트 대상에 연결해야 합니다.

 

D. The application must implement the restart logic and connect to a mount target in a different AZ.
(애플리케이션은 재시작 로직을 구현하고 다른 AZ의 마운트 대상에 연결해야 합니다.)

• 고가용성을 갖추지 못한 경우 특정 AZ가 사용할 수 없게 되면 해당 AZ에 있는 리소스에 접근할 수 없습니다. 따라서 애플리케이션은 다른 AZ에 있는 마운트 대상으로 전환하여 연결해야 합니다.
• D 옵션은 애플리케이션이 자동으로 재시작 로직을 구현하고 다른 AZ의 마운트 대상으로 전환하도록 함으로써 서비스의 지속성을 유지할 수 있습니다. 이는 가용성 문제를 해결하는 가장 적절한 방법입니다.

틀린 보기 이유:

A. 체크포인트 로직을 구현하고 마운트 대상을 다시 생성하는 것은 일반적으로 필요하지 않으며, 이는 불필요한 작업일 수 있습니다.

B. 셧다운 로직을 구현하고 마운트 대상을 삭제하는 것은 문제를 해결하지 못하고 오히려 리소스를 더 소모하는 방법입니다.

C. 동일한 AZ의 다른 마운트 대상으로 전환하는 것은 해당 AZ가 사용 불가능하기 때문에 불가능하며, 이 옵션은 문제를 해결하지 못합니다.

 

 

17. 회사는 최근 새로운 감사 시스템을 배포하여 Amazon EC2 인스턴스의 운영 체제 버전, 패치 상태 및 설치된 소프트웨어에 대한 정보를 중앙에서 관리하고 있습니다. 솔루션 아키텍트는 EC2 Auto Scaling 그룹을 통해 프로비저닝된 모든 인스턴스가 시작되거나 종료될 때 감사 시스템에 성공적으로 보고서를 보내도록 보장해야 합니다.

가장 효율적으로 이러한 목표를 달성하는 솔루션은 무엇입니까?

보기:

A. 예약된 AWS Lambda 함수를 사용하여 모든 EC2 인스턴스에서 원격으로 스크립트를 실행해 감사 시스템으로 데이터를 보냅니다.

B. EC2 Auto Scaling 수명 주기 훅을 사용하여 인스턴스가 시작되거나 종료될 때 감사 시스템으로 데이터를 보내는 사용자 정의 스크립트를 실행합니다.

C. EC2 Auto Scaling 시작 구성(launch configuration)을 사용하여 사용자 데이터(user data)를 통해 사용자 정의 스크립트를 실행하여 인스턴스가 시작되거나 종료될 때 감사 시스템으로 데이터를 보냅니다.

D. 인스턴스 운영 체제에서 사용자 정의 스크립트를 실행하여 감사 시스템으로 데이터를 보냅니다. 인스턴스가 시작되고 종료될 때 EC2 Auto Scaling 그룹이 스크립트를 호출하도록 구성합니다.

정답:

B. Use EC2 Auto Scaling lifecycle hooks to run a custom script to send data to the audit system when instances are launched and terminated.
(EC2 Auto Scaling 수명 주기 훅을 사용하여 인스턴스가 시작되거나 종료될 때 감사 시스템으로 데이터를 보내는 사용자 정의 스크립트를 실행합니다.)

정답 이유:

• **EC2 Auto Scaling 수명 주기 훅(lifecycle hooks)**은 인스턴스가 시작되거나 종료될 때 사용자 정의 작업을 수행할 수 있도록 해줍니다. 이를 통해 인스턴스가 시작되거나 종료될 때마다 감사 시스템으로 데이터를 보내는 스크립트를 실행할 수 있습니다.
• 이 방법은 인스턴스가 시작되거나 종료될 때마다 자동으로 스크립트를 트리거하므로 가장 효율적이고 신뢰할 수 있는 방식입니다.

틀린 보기 이유:

A. AWS Lambda 함수를 예약하여 스크립트를 원격으로 실행하는 방법은 모든 인스턴스에서 실행 시간을 동기화하기 어려울 수 있으며, 효율성이 떨어질 수 있습니다.

C. EC2 Auto Scaling 시작 구성(launch configuration)에서 사용자 데이터를 사용하는 방법은 인스턴스가 시작될 때만 적용되며, 종료 시에는 별도의 처리가 필요합니다. 또한, 이 방법은 시작 구성 변경 시마다 업데이트가 필요하므로 관리가 번거로울 수 있습니다.

D. 사용자 정의 스크립트를 인스턴스 운영 체제에서 실행하고 EC2 Auto Scaling 그룹이 스크립트를 호출하도록 구성하는 방법은 복잡하며, 수명 주기 훅을 사용하는 것만큼 효율적이지 않습니다.

 

18. 회사는 Amazon S3 버킷에 사진과 비디오를 안전하게 업로드하는 웹 애플리케이션을 운영하고 있습니다. 회사는 인증된 사용자만이 콘텐츠를 업로드할 수 있도록 요구합니다. 애플리케이션은 브라우저 인터페이스를 통해 객체를 업로드하는 데 사용되는 서명된 URL(presigned URL)을 생성합니다. 대부분의 사용자가 100MB 이상의 객체를 업로드할 때 업로드 시간이 느리다고 보고하고 있습니다.

솔루션 아키텍트는 업로드 성능을 개선하면서 인증된 사용자만이 콘텐츠를 업로드할 수 있도록 하려면 어떻게 해야 합니까?

A. S3 서비스 프록시로 리소스를 가진 엣지 최적화 API 엔드포인트가 있는 Amazon API Gateway를 설정합니다. 이 리소스에 대한 PUT 메서드를 구성하여 S3 PutObject 작업을 노출합니다. COGNITO_USER_POOLS 인가자를 사용해 API Gateway를 보호합니다. 브라우저 인터페이스가 서명된 URL 대신 API Gateway를 사용하여 객체를 업로드하도록 합니다.

B. S3 서비스 프록시로 리소스를 가진 리전별 API 엔드포인트가 있는 Amazon API Gateway를 설정합니다. 이 리소스에 대한 PUT 메서드를 구성하여 S3 PutObject 작업을 노출합니다. AWS Lambda 인가자를 사용해 API Gateway를 보호합니다. 브라우저 인터페이스가 서명된 URL 대신 API Gateway를 사용하여 객체를 업로드하도록 합니다.

C. S3 Transfer Acceleration 엔드포인트를 S3 버킷에 활성화합니다. 서명된 URL을 생성할 때 이 엔드포인트를 사용합니다. 브라우저 인터페이스가 S3 멀티파트 업로드 API를 사용하여 이 URL로 객체를 업로드하도록 합니다.

D. 대상 S3 버킷에 대한 Amazon CloudFront 배포를 구성합니다. CloudFront 캐시 동작에 대해 PUT 및 POST 메서드를 활성화합니다. CloudFront 오리진에 대해 오리진 액세스 ID(OAI)를 사용하도록 업데이트합니다. OAI 사용자에게 버킷 정책에서 S3

권한을 부여합니다. 브라우저 인터페이스가 CloudFront 배포를 사용하여 객체를 업로드하도록 합니다.

 

 

C. Enable an S3 Transfer Acceleration endpoint on the S3 bucket. Use the endpoint when generating the presigned URL. Have the browser interface upload the objects to this URL using the S3 multipart upload API.
(S3 버킷에 S3 Transfer Acceleration 엔드포인트를 활성화합니다. 서명된 URL을 생성할 때 이 엔드포인트를 사용합니다. 브라우저 인터페이스가 S3 멀티파트 업로드 API를 사용하여 이 URL로 객체를 업로드하도록 합니다.)

• S3 Transfer Acceleration은 사용자가 전 세계 어디에 있든지 상관없이 S3로 데이터를 업로드할 때 업로드 속도를 향상시키는 기능입니다. Transfer Acceleration은 Amazon CloudFront의 엣지 로케이션을 사용하여 데이터 전송을 가속화하므로 대용량 파일의 업로드 시간을 크게 줄일 수 있습니다.
• 멀티파트 업로드 API를 사용하면 대용량 파일을 작은 부분으로 나누어 병렬로 업로드할 수 있어 업로드 성능이 더욱 향상됩니다.
• 서명된 URL을 통해 여전히 인증된 사용자만이 업로드를 수행할 수 있으므로 보안 요구사항도 충족합니다.

틀린 보기 이유:

A. API Gateway를 사용하는 방법은 S3에 대한 직접 업로드보다는 복잡성이 증가하며, API Gateway를 통한 대용량 파일 업로드는 성능 저하를 초래할 수 있습니다.

B. Lambda 인가자를 사용하는 API Gateway 방법은 복잡성을 더하며, 대용량 파일 업로드 시 성능 저하의 가능성이 높습니다.

D. CloudFront는 주로 콘텐츠 배포를 위한 서비스로, PUT 및 POST 요청의 경우 성능 향상보다는 읽기 전용 콘텐츠 배포에 더 적합합니다. 또한, CloudFront를 통해 S3로 데이터를 업로드하는 것은 일반적으로 추천되지 않으며, 복잡한 설정이 필요합니다.

 

 

19. 대형 회사가 전체 IT 포트폴리오를 AWS로 이전하고 있습니다. 회사 내 각 비즈니스 유닛은 개발 및 테스트 환경을 지원하는 독립적인 AWS 계정을 보유하고 있습니다. 곧 프로덕션 워크로드를 지원하기 위한 새 계정이 필요합니다.

재무 부서는 중앙 집중식 결제 방식을 요구하지만, 각 그룹의 지출을 확인하여 비용을 할당할 수 있어야 합니다.

보안 팀은 회사의 모든 계정에서 IAM 사용을 제어할 수 있는 중앙 집중식 메커니즘을 요구합니다.

이 회사의 요구사항을 가장 적은 노력으로 충족할 수 있는 옵션의 조합은 무엇입니까? (두 개를 선택하십시오.)

 

A. 공통 IAM 권한을 정의하는 매개변수화된 AWS CloudFormation 템플릿 컬렉션을 사용하여 각 계정에 실행되도록 합니다. 최소 권한 모델을 적용하기 위해 모든 신규 및 기존 계정에서 적절한 스택을 실행하도록 요구합니다.

B. AWS Organizations를 사용하여 선택한 결제 계정에서 새 조직을 생성하고 조직 단위 계층 구조를 정의합니다. 기존 계정을 조직에 초대하고 Organizations를 사용하여 새 계정을 생성합니다.

C. 각 비즈니스 유닛이 자체 AWS 계정을 사용하도록 요구합니다. 각 AWS 계정을 적절히 태그하고 Cost Explorer를 활성화하여 비용 할당을 관리합니다.

D. AWS Organizations의 모든 기능을 활성화하고 하위 계정의 IAM 권한을 필터링하는 적절한 서비스 제어 정책(SCP)을 설정합니다.

E. 회사의 모든 AWS 계정을 하나의 AWS 계정으로 통합합니다. 청구 목적으로 태그를 사용하고 IAM의 Access Advisor 기능을 사용하여 최소 권한 모델을 적용합니다.

 

B. Use AWS Organizations to create a new organization from a chosen payer account and define an organizational unit hierarchy. Invite the existing accounts to join the organization and create new accounts using Organizations.
D. Enable all features of AWS Organizations and establish appropriate service control policies that filter IAM permissions for sub-accounts.

정답 이유:

• B 옵션에서는 AWS Organizations를 사용하여 선택된 결제 계정에서 조직을 생성하고, 조직 단위(OU) 계층 구조를 정의할 수 있습니다. 이렇게 하면 중앙에서 모든 계정의 결제를 관리할 수 있으며, 기존 계정을 조직에 초대하거나 새로운 계정을 생성할 수 있습니다. 이를 통해 재무 부서의 요구사항을 충족할 수 있습니다.
• D 옵션에서는 AWS Organizations의 모든 기능을 활성화하고 서비스 제어 정책(SCP)을 사용하여 하위 계정의 IAM 권한을 중앙에서 제어할 수 있습니다. 이를 통해 보안 팀의 요구사항을 충족할 수 있습니다. SCP를 사용하면 조직의 각 계정에서 사용할 수 있는 서비스와 작업을 제어할 수 있습니다.

틀린 보기 이유:

A. CloudFormation 템플릿을 사용하는 것은 가능하지만, 각 계정에서 수동으로 템플릿을 실행하고 관리해야 하므로, 중앙 집중식 제어와 비교했을 때 관리가 복잡하고 시간이 많이 소요됩니다.

C. 각 비즈니스 유닛이 자체 계정을 사용하도록 하는 것은 가능하지만, 중앙 집중식 결제 및 IAM 제어를 제공하지 않으므로 재무 부서와 보안 팀의 요구를 충족하지 못합니다.

E. 모든 계정을 하나로 통합하는 것은 중앙 집중식 관리와 비용 최적화 측면에서 불리하며, 각 비즈니스 유닛의 독립성을 손상시킬 수 있습니다. 또한, IAM 권한 관리는 AWS Organizations 및 SCP를 사용하는 것이 더 효과적입니다.

 

 

 

20. 회사는 온프레미스 워크로드를 AWS 클라우드로 이전하고 있습니다. 회사는 이미 여러 Amazon EC2 인스턴스와 Amazon RDS DB 인스턴스를 사용하고 있습니다. 회사는 비즈니스 시간 외에 EC2 인스턴스와 DB 인스턴스를 자동으로 시작하고 중지하는 솔루션을 원합니다. 이 솔루션은 비용과 인프라 유지 보수를 최소화해야 합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까?=

A. EC2 인스턴스를 탄력적 리사이즈(elastic resize)를 사용하여 확장합니다. 비즈니스 시간 외에는 DB 인스턴스를 0으로 확장합니다.

B. EC2 인스턴스와 DB 인스턴스를 일정에 따라 자동으로 시작하고 중지하는 파트너 솔루션을 AWS Marketplace에서 찾습니다.

C. 또 다른 EC2 인스턴스를 시작합니다. 기존 EC2 인스턴스와 DB 인스턴스를 일정에 따라 시작하고 중지하는 셸 스크립트를 실행하도록 crontab 일정을 구성합니다.

D. EC2 인스턴스와 DB 인스턴스를 시작하고 중지하는 AWS Lambda 함수를 생성합니다. 이 Lambda 함수를 일정에 따라 호출하도록 Amazon EventBridge를 구성합니다.

 

D. Create an AWS Lambda function that will start and stop the EC2 instances and DB instances. Configure Amazon EventBridge to invoke the Lambda function on a schedule.
(EC2 인스턴스와 DB 인스턴스를 시작하고 중지하는 AWS Lambda 함수를 생성합니다. 이 Lambda 함수를 일정에 따라 호출하도록 Amazon EventBridge를 구성합니다.)

• AWS Lambda와 Amazon EventBridge를 사용하는 방법은 비용과 인프라 유지 보수를 최소화하는 가장 효율적인 솔루션입니다. Lambda 함수는 이벤트 기반으로 실행되며, EC2 인스턴스와 RDS 인스턴스를 시작하거나 중지하는 작업을 수행할 수 있습니다.
• EventBridge를 사용하여 일정에 따라 Lambda 함수를 자동으로 호출할 수 있으므로, 비즈니스 시간 외에 인스턴스를 자동으로 제어할 수 있습니다. 이 방법은 추가적인 EC2 인스턴스를 실행할 필요 없이 서버리스 환경에서 운영되므로 비용이 절감됩니다.

틀린 보기 이유:

A. **탄력적 리사이즈(elastic resize)**는 주로 Amazon Redshift와 같은 데이터 웨어하우스 솔루션에서 사용되는 기능이며, EC2와 RDS 인스턴스에는 적용되지 않습니다. 또한, RDS 인스턴스를 0으로 확장하는 것은 불가능합니다.

B. AWS Marketplace에서 파트너 솔루션을 찾는 것은 가능하지만, 이는 추가적인 비용이 발생할 수 있으며, Lambda와 EventBridge를 사용하는 것보다 간단하고 비용 효율적이지 않을 수 있습니다.

C. 또 다른 EC2 인스턴스를 사용하여 셸 스크립트를 실행하는 것은 추가적인 EC2 인스턴스 비용을 발생시키며, 이는 Lambda를 사용하는 것보다 인프라 유지 보수가 더 많이 필요합니다. Lambda와 EventBridge를 사용하는 것이 더 적합한 솔루션입니다.

 

 

21. 맞춤형 애플리케이션을 모든 Amazon EC2 인스턴스에 설치해야 합니다. 이 애플리케이션은 작고, 자주 업데이트되며, 자동으로 설치될 수 있습니다.

이 애플리케이션을 새로운 EC2 인스턴스에 어떻게 배포할 수 있습니까?

A. Amazon EC2 사용자 데이터를 사용하여 애플리케이션을 다운로드하고 설치하는 스크립트를 실행합니다.

B. AWS CloudFormation 템플릿에서 설치 실행 파일을 호출하기 위해 Amazon API Gateway를 사용하여 사용자 정의 API를 만듭니다.

C. AWS Systems Manager를 사용하여 AMI에 애플리케이션을 삽입합니다.

D. AWS CodePipeline을 구성하여 코드 변경 및 업데이트를 배포합니다.

 

A. Launch a script that downloads and installs the application using Amazon EC2 user data.
(Amazon EC2 사용자 데이터를 사용하여 애플리케이션을 다운로드하고 설치하는 스크립트를 실행합니다.)

• **Amazon EC2 사용자 데이터(user data)**는 EC2 인스턴스가 처음 시작될 때 실행할 스크립트를 지정하는 데 사용됩니다. 이 스크립트를 사용하여 애플리케이션을 자동으로 다운로드하고 설치할 수 있습니다.
• 사용자 데이터는 인스턴스 시작 시 실행되므로, 새로운 EC2 인스턴스가 생성될 때마다 자동으로 애플리케이션을 설치할 수 있습니다. 이 방법은 애플리케이션이 작고 자주 업데이트되는 경우에 적합하며, 추가적인 관리 오버헤드가 적습니다.

틀린 보기 이유:

B. Amazon API Gateway와 AWS CloudFormation을 사용하여 설치 파일을 호출하는 방법은 지나치게 복잡하며, 작은 애플리케이션을 설치하는 데 필요하지 않은 추가적인 설정이 필요합니다.

C. AWS Systems Manager를 사용하여 AMI에 애플리케이션을 삽입하는 방법은 업데이트가 자주 발생하는 애플리케이션에는 적합하지 않습니다. 새로운 AMI를 생성하여 배포하는 것은 시간이 많이 소요될 수 있습니다.

D. AWS CodePipeline을 사용하여 코드 변경 및 업데이트를 배포하는 방법은 주로 코드 배포 및 CI/CD 워크플로우에 사용됩니다. 이는 사용자 데이터 스크립트를 사용하는 것보다 더 복잡하고 필요 이상의 설정일 수 있습니다.

 

 

22. SysOps 관리자가 AWS 계정이 없는 사용자 그룹과 프라이빗 Amazon S3 버킷의 객체를 안전하게 공유하려고 합니다.

이 요구사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

A. 사용자의 IP 주소에서만 객체 다운로드를 허용하는 S3 버킷 정책을 첨부합니다.

B. 객체에 접근할 수 있는 IAM 역할을 생성합니다. 사용자에게 역할을 가정하도록 지시합니다.

C. 객체에 접근할 수 있는 IAM 사용자를 생성합니다. 사용자에게 자격 증명을 공유합니다.

D. 객체에 대한 서명된 URL을 생성합니다. URL을 사용자와 공유합니다.

 

D. Generate a presigned URL for the object. Share the URL with the users.
(객체에 대한 서명된 URL을 생성합니다. URL을 사용자와 공유합니다.)

• **서명된 URL(presigned URL)**은 S3 객체에 대한 임시 액세스를 허용하는 가장 간단하고 효율적인 방법입니다. 사용자는 AWS 계정이 필요하지 않으며, URL을 사용해 지정된 시간 동안 객체에 접근할 수 있습니다.
• 이 방법은 보안이 유지되면서도 사용자에게 쉽게 접근 권한을 제공할 수 있으며, 운영 오버헤드가 매우 적습니다.

틀린 보기 이유:

A. 사용자의 IP 주소를 기반으로 하는 S3 버킷 정책은 AWS 계정이 없는 사용자에게는 적용하기 어렵고, IP 주소 제한은 유연하지 않으며 운영 효율성이 떨어집니다.

B. IAM 역할을 생성하고 사용자에게 역할을 가정하도록 지시하는 것은 AWS 계정이 없는 사용자에게는 적합하지 않습니다.

C. IAM 사용자를 생성하고 자격 증명을 공유하는 것은 보안 위험이 크며, AWS 계정이 없는 사용자에게도 적합하지 않습니다. 또한, 운영 오버헤드가 큽니다.

 

 

23. 회사가 클라우드로의 마이그레이션을 진행 중입니다. 기존 데이터 센터 환경에서 가상 머신의 구성을 평가하여 새로운 Amazon EC2 인스턴스를 정확하게 크기 조정할 수 있도록 하고자 합니다. 회사는 CPU, 메모리 및 디스크 사용량과 같은 메트릭을 수집하고, 각 인스턴스에서 실행 중인 프로세스의 인벤토리를 필요로 합니다. 또한, 서버 간 통신을 맵핑하기 위해 네트워크 연결을 모니터링하고 싶습니다.

가장 비용 효율적으로 이 데이터를 수집할 수 있는 방법은 무엇입니까?

A. AWS Application Discovery Service를 사용하고 데이터 센터의 각 가상 머신에 데이터 수집 에이전트를 배포합니다.

B. 로컬 환경 내 모든 서버에 Amazon CloudWatch 에이전트를 구성하고 메트릭을 Amazon CloudWatch Logs에 게시합니다.

C. AWS Application Discovery Service를 사용하고 기존 가상화 환경에서 에이전트 없는 발견(agentless discovery)을 활성화합니다.

D. AWS Management Console에서 AWS Application Discovery Service를 활성화하고, VPN을 통해 스캔을 허용하도록 회사 방화벽을 구성합니다.

 

A. Use AWS Application Discovery Service and deploy the data collection agent to each virtual machine in the data center.
(AWS Application Discovery Service를 사용하고 데이터 센터의 각 가상 머신에 데이터 수집 에이전트를 배포합니다.)

• AWS Application Discovery Service는 클라우드로 마이그레이션하기 전에 기존 데이터 센터 환경을 평가하고 이해하는 데 도움을 주는 서비스입니다. 이 서비스는 CPU, 메모리, 디스크 사용량 등의 메트릭을 수집하고, 각 인스턴스에서 실행 중인 프로세스를 인벤토리로 관리할 수 있습니다.
• 특히 데이터 수집 에이전트를 각 가상 머신에 배포하면, 네트워크 연결을 모니터링하여 서버 간의 통신을 맵핑할 수 있습니다. 에이전트는 세밀한 데이터를 수집할 수 있어 클라우드 마이그레이션을 보다 정확하게 계획할 수 있습니다.
• 이 방법은 정확하고 포괄적인 데이터를 수집할 수 있으며, 비용 효율적입니다.

틀린 보기 이유:

B. Amazon CloudWatch 에이전트를 로컬 환경에 구성하는 것은 AWS 환경에 최적화된 방법이지만, 기존 데이터 센터 환경에서 서버 간 통신을 맵핑하고 세부적인 데이터를 수집하는 데는 적합하지 않습니다.

C. **에이전트 없는 발견(agentless discovery)**은 기본적인 데이터를 수집할 수 있지만, 네트워크 연결에 대한 세밀한 모니터링이나 프로세스 인벤토리 등의 세부 정보를 제공하지 못할 수 있습니다.

D. AWS Application Discovery Service를 콘솔에서 활성화하고 VPN을 통한 스캔을 허용하는 방법은 스캔에 한계가 있을 수 있으며, 필요한 세부 정보를 수집하는 데 제한적일 수 있습니다.

 

 

24. 회사는 여러 가용 영역(AZ)에 걸쳐 Amazon EC2 Linux 인스턴스에서 애플리케이션을 실행하고 있습니다. 이 애플리케이션은 고가용성 및 POSIX 준수 파일 시스템을 필요로 합니다. 이 스토리지 계층은 최대한의 데이터 내구성을 제공해야 하며, EC2 인스턴스 간에 공유 가능해야 합니다. 스토리지 계층의 데이터는 처음 30일 동안 자주 액세스되며, 그 이후에는 드물게 액세스됩니다.

가장 비용 효율적으로 이 요구사항을 충족하는 솔루션은 무엇입니까?

A. Amazon S3 Standard 스토리지 클래스를 사용합니다. S3 수명 주기 정책을 생성하여 드물게 액세스되는 데이터를 S3 Glacier로 이동시킵니다.

B. Amazon S3 Standard 스토리지 클래스를 사용합니다. S3 수명 주기 정책을 생성하여 드물게 액세스되는 데이터를 S3 Standard-Infrequent Access (S3 Standard-IA)로 이동시킵니다.

C. Amazon Elastic File System (Amazon EFS) Standard 스토리지 클래스를 사용합니다. 수명 주기 관리 정책을 생성하여 드물게 액세스되는 데이터를 EFS Standard-Infrequent Access (EFS Standard-IA)로 이동시킵니다.

D. Amazon Elastic File System (Amazon EFS) One Zone 스토리지 클래스를 사용합니다. 수명 주기 관리 정책을 생성하여 드물게 액세스되는 데이터를 EFS One Zone-Infrequent Access (EFS One Zone-IA)로 이동시킵니다.

 

 

C. Use the Amazon Elastic File System (Amazon EFS) Standard storage class. Create a lifecycle management policy to move infrequently accessed data to EFS Standard-Infrequent Access (EFS Standard-IA).
(Amazon Elastic File System (Amazon EFS) Standard 스토리지 클래스를 사용합니다. 수명 주기 관리 정책을 생성하여 드물게 액세스되는 데이터를 EFS Standard-Infrequent Access (EFS Standard-IA)로 이동시킵니다.)

• **Amazon Elastic File System (EFS)**는 POSIX 준수를 지원하며, 여러 EC2 인스턴스에서 공유할 수 있는 고가용성 스토리지 솔루션입니다. 이는 EC2 인스턴스 간에 파일을 공유하고 고가용성을 유지해야 하는 시나리오에 적합합니다.
• EFS Standard 스토리지 클래스는 데이터를 고도로 내구성 있게 저장하며, 다중 가용 영역에서 사용할 수 있어 데이터 보호와 가용성을 보장합니다.
• 수명 주기 관리 정책을 사용하여 30일 후에 자주 액세스되지 않는 데이터를 **EFS Standard-Infrequent Access (EFS Standard-IA)**로 이동함으로써 비용을 절감할 수 있습니다. 이 옵션은 자주 액세스되지 않는 데이터를 위한 비용 효율적인 스토리지를 제공합니다.

틀린 보기 이유:

A. Amazon S3는 객체 스토리지로, POSIX 준수를 요구하는 파일 시스템으로 사용하기에 적합하지 않습니다. EC2 인스턴스 간의 공유 파일 시스템으로 적합하지 않기 때문에 이 시나리오에 적합하지 않습니다.

B. 마찬가지로, Amazon S3는 파일 시스템이 아닌 객체 스토리지이므로 POSIX 준수를 요구하는 환경에서는 적합하지 않습니다.

D. EFS One Zone은 단일 가용 영역에서만 데이터를 저장하므로, 다중 가용 영역에서 고가용성을 요구하는 경우 적합하지 않습니다. 이 옵션은 비용 효율적이지만 데이터 내구성 측면에서 더 큰 위험을 감수해야 합니다.

 

 

 

25. 솔루션 아키텍트가 새로운 VPC 디자인을 만들고 있습니다. 로드 밸런서를 위한 두 개의 퍼블릭 서브넷, 웹 서버를 위한 두 개의 프라이빗 서브넷, MySQL을 위한 두 개의 프라이빗 서브넷이 있습니다. 웹 서버는 HTTPS만 사용합니다. 솔루션 아키텍트는 로드 밸런서를 위해 포트 443을 0.0.0.0/0에서 허용하는 보안 그룹을 이미 생성했습니다. 회사 정책에 따르면 각 리소스는 작업을 수행하기 위해 필요한 최소한의 액세스를 가져야 합니다.

이 요구사항을 충족하기 위해 솔루션 아키텍트는 어떤 추가 구성 전략을 사용해야 합니까?

A. 웹 서버를 위한 보안 그룹을 생성하고 포트 443을 0.0.0.0/0에서 허용합니다. MySQL 서버를 위한 보안 그룹을 생성하고 포트 3306을 웹 서버 보안 그룹에서 허용합니다.

B. 웹 서버를 위한 네트워크 ACL을 생성하고 포트 443을 0.0.0.0/0에서 허용합니다. MySQL 서버를 위한 네트워크 ACL을 생성하고 포트 3306을 웹 서버 보안 그룹에서 허용합니다.

C. 웹 서버를 위한 보안 그룹을 생성하고 포트 443을 로드 밸런서에서 허용합니다. MySQL 서버를 위한 보안 그룹을 생성하고 포트 3306을 웹 서버 보안 그룹에서 허용합니다.

D. 웹 서버를 위한 네트워크 ACL을 생성하고 포트 443을 로드 밸런서에서 허용합니다. MySQL 서버를 위한 네트워크 ACL을 생성하고 포트 3306을 웹 서버 보안 그룹에서 허용합니다.

 

C. Create a security group for the web servers and allow port 443 from the load balancer. Create a security group for the MySQL servers and allow port 3306 from the web servers security group.
(웹 서버를 위한 보안 그룹을 생성하고 포트 443을 로드 밸런서에서 허용합니다. MySQL 서버를 위한 보안 그룹을 생성하고 포트 3306을 웹 서버 보안 그룹에서 허용합니다.)

• 보안 그룹은 인바운드 트래픽을 제어하는 데 사용되며, 상태 저장(Stateful) 방식으로 동작합니다. 이는 요청과 응답 트래픽을 자동으로 허용하여 설정을 간소화할 수 있습니다. 이 시나리오에서는 웹 서버가 로드 밸런서로부터의 트래픽(포트 443)을 허용하고, MySQL 서버가 웹 서버로부터의 트래픽(포트 3306)을 허용하도록 보안 그룹을 설정하는 것이 가장 적절합니다.
• 회사 정책에 따라 최소 권한 원칙을 적용하여 필요한 트래픽만 허용함으로써 보안을 강화할 수 있습니다.

틀린 보기 이유:

A. 웹 서버의 보안 그룹에서 0.0.0.0/0으로부터 포트 443을 허용하는 것은 최소 권한 원칙에 위배됩니다. 로드 밸런서에서만 트래픽을 허용해야 합니다.

B. 네트워크 ACL은 상태 비저장(Stateless) 방식으로 동작하며, 인바운드 및 아웃바운드 트래픽에 대해 각각의 규칙을 설정해야 하므로 관리가 복잡해질 수 있습니다. 또한, 보안 그룹이 이미 상태 저장 방식으로 작동하므로 네트워크 ACL을 사용하는 것은 불필요합니다.

D. 네트워크 ACL을 사용해 로드 밸런서에서 웹 서버로의 포트 443 트래픽을 허용하는 것은 가능하지만, 보안 그룹이 더 효율적이고 관리하기 쉬운 방법입니다. 또한, 보안 그룹은 상태 저장 방식이므로 네트워크 ACL보다 관리가 더 용이합니다.

 

 

 

26. 한 전자상거래 회사가 AWS에서 다중 계층 애플리케이션을 운영하고 있습니다. 프런트엔드 및 백엔드 계층은 모두 Amazon EC2에서 실행되며, 데이터베이스는 Amazon RDS for MySQL에서 실행됩니다. 백엔드 계층은 RDS 인스턴스와 통신합니다. 데이터베이스에서 동일한 데이터를 반환하기 위한 빈번한 호출이 성능 저하를 일으키고 있습니다.

백엔드 성능을 향상시키기 위해 어떤 조치를 취해야 합니까?=

 

A. Amazon SNS를 구현하여 데이터베이스 호출을 저장합니다.

B. Amazon ElastiCache를 구현하여 대형 데이터 세트를 캐시합니다.

C. 데이터베이스 호출을 캐시하기 위해 RDS for MySQL 읽기 복제본을 구현합니다.

D. Amazon Kinesis Data Firehose를 구현하여 데이터베이스로 호출을 스트리밍합니다.

 

B. Implement Amazon ElastiCache to cache the large datasets.
(Amazon ElastiCache를 구현하여 대형 데이터 세트를 캐시합니다.)

• Amazon ElastiCache는 데이터베이스에서 자주 조회되는 동일한 데이터 세트를 캐싱할 수 있는 인메모리 캐시 서비스입니다. 캐싱을 통해 데이터베이스에 대한 반복적인 요청을 줄이고, 데이터베이스 성능을 향상시킬 수 있습니다.
• 이 방식은 특히 데이터베이스에서 동일한 데이터에 대한 빈번한 호출이 있을 때 매우 효과적입니다. ElastiCache를 사용하면 애플리케이션이 데이터베이스를 조회하기 전에 캐시를 먼저 확인하도록 설정할 수 있습니다. 이를 통해 데이터베이스의 부하를 줄이고 응답 시간을 크게 개선할 수 있습니다.

틀린 보기 이유:

A. Amazon SNS는 메시지 전송 서비스로, 데이터베이스 호출을 저장하는 데 적합하지 않습니다. 캐싱과는 관련이 없습니다.

C. RDS for MySQL 읽기 복제본은 데이터베이스의 읽기 부하를 분산시키는 데 유용하지만, 캐시 역할을 하지 않으며 반복적인 동일 데이터 세트 호출에 대한 성능 개선 효과가 제한적입니다.

D. Amazon Kinesis Data Firehose는 데이터 스트리밍 서비스로, 실시간 데이터 스트리밍에 적합하며 데이터베이스 호출을 최적화하는 데 적합하지 않습니다.\

 

 

 

27. 새로운 직원이 배포 엔지니어로 회사에 합류했습니다. 이 배포 엔지니어는 AWS CloudFormation 템플릿을 사용하여 여러 AWS 리소스를 생성할 것입니다. 솔루션 아키텍트는 배포 엔지니어가 최소 권한 원칙을 따르면서 작업을 수행하도록 하기를 원합니다.

이 목표를 달성하기 위해 솔루션 아키텍트가 취해야 할 조치의 조합은 무엇입니까? (두 개를 선택하십시오.)

A. 배포 엔지니어가 AWS CloudFormation 스택 작업을 수행하기 위해 AWS 계정 루트 사용자 자격 증명을 사용하게 합니다.

B. 배포 엔지니어를 위해 새 IAM 사용자를 생성하고, PowerUsers IAM 정책이 연결된 그룹에 이 IAM 사용자를 추가합니다.

C. 배포 엔지니어를 위해 새 IAM 사용자를 생성하고, AdministratorAccess IAM 정책이 연결된 그룹에 이 IAM 사용자를 추가합니다.

D. 배포 엔지니어를 위해 새 IAM 사용자를 생성하고, AWS CloudFormation 작업만 허용하는 IAM 정책이 연결된 그룹에 이 IAM 사용자를 추가합니다.

E. 배포 엔지니어를 위해 IAM 역할을 생성하여 AWS CloudFormation 스택에 대한 권한을 명시적으로 정의하고, 해당 IAM 역할을 사용하여 스택을 실행하게 합니다.

정답:

D. Create a new IAM user for the deployment engineer and add the IAM user to a group that has an IAM policy that allows AWS CloudFormation actions only.
(배포 엔지니어를 위해 새 IAM 사용자를 생성하고, AWS CloudFormation 작업만 허용하는 IAM 정책이 연결된 그룹에 이 IAM 사용자를 추가합니다.)

E. Create an IAM role for the deployment engineer to explicitly define the permissions specific to the AWS CloudFormation stack and launch stacks using that IAM role.
(배포 엔지니어를 위해 IAM 역할을 생성하여 AWS CloudFormation 스택에 대한 권한을 명시적으로 정의하고, 해당 IAM 역할을 사용하여 스택을 실행하게 합니다.)

정답 이유:

• D 옵션: 배포 엔지니어에게 AWS CloudFormation 작업만 허용하는 IAM 정책을 부여하는 것은 최소 권한 원칙을 따르는 데 매우 적합합니다. 이는 엔지니어가 필요한 작업을 수행하는 데 필요한 최소한의 권한만 가지도록 보장합니다.
• E 옵션: 특정 작업을 위해 IAM 역할을 생성하고, 해당 역할을 사용하여 스택을 실행하게 하는 것은 최소 권한 원칙을 유지하면서도 유연성과 보안을 제공하는 좋은 방법입니다. 이는 특정 권한을 명시적으로 정의할 수 있게 해주며, 필요할 때만 권한을 사용할 수 있게 합니다.

틀린 보기 이유:

A. AWS 계정의 루트 사용자 자격 증명을 사용하는 것은 보안 위험이 매우 큽니다. 루트 사용자 자격 증명은 모든 작업에 대한 무제한 접근 권한을 제공하므로, 최소 권한 원칙에 어긋납니다.

B. PowerUsers IAM 정책은 거의 모든 AWS 서비스에 대한 권한을 제공하므로, 최소 권한 원칙에 맞지 않습니다.

C. AdministratorAccess IAM 정책은 모든 AWS 서비스에 대한 완전한 관리 권한을 제공하므로, 이는 최소 권한 원칙을 위반합니다. 이 정책은 특정 작업에만 필요한 권한을 부여하는 것이 아니라 모든 권한을 부여하기 때문에 부적절합니다.

 

 

 

28. 회사가 VPC에서 2계층 웹 애플리케이션을 배포하고 있습니다. 웹 계층은 여러 가용 영역에 걸쳐 있는 퍼블릭 서브넷에서 Amazon EC2 Auto Scaling 그룹을 사용하고 있습니다. 데이터베이스 계층은 별도의 프라이빗 서브넷에서 Amazon RDS for MySQL DB 인스턴스로 구성되어 있습니다. 웹 계층은 제품 정보를 검색하기 위해 데이터베이스에 접근해야 합니다.

웹 애플리케이션이 의도대로 작동하지 않습니다. 웹 애플리케이션은 데이터베이스에 연결할 수 없다고 보고하고 있습니다. 데이터베이스는 정상적으로 작동 중인 것으로 확인되었습니다. 네트워크 ACL, 보안 그룹, 경로 테이블에 대한 모든 구성은 여전히 기본 상태로 유지되고 있습니다.

솔루션 아키텍트는 애플리케이션을 수정하기 위해 무엇을 추천해야 합니까?

A. 프라이빗 서브넷의 네트워크 ACL에 웹 계층의 EC2 인스턴스에서 오는 트래픽을 허용하는 명시적 규칙을 추가합니다.

B. VPC 라우트 테이블에 웹 계층의 EC2 인스턴스와 데이터베이스 계층 간의 트래픽을 허용하는 경로를 추가합니다.

C. 웹 계층의 EC2 인스턴스와 데이터베이스 계층의 RDS 인스턴스를 두 개의 별도 VPC에 배포하고, VPC 피어링을 구성합니다.

D. 데이터베이스 계층의 RDS 인스턴스의 보안 그룹에 웹 계층의 보안 그룹에서 오는 트래픽을 허용하는 인바운드 규칙을 추가합니다.

 

 

D. Add an inbound rule to the security group of the database tier’s RDS instance to allow traffic from the web tiers security group.
(데이터베이스 계층의 RDS 인스턴스의 보안 그룹에 웹 계층의 보안 그룹에서 오는 트래픽을 허용하는 인바운드 규칙을 추가합니다.)

정답 이유:

• 보안 그룹은 인스턴스 간의 트래픽을 제어하는 데 사용됩니다. 기본적으로, 보안 그룹은 인바운드 및 아웃바운드 트래픽을 명시적으로 허용해야만 통과시킵니다. 웹 계층의 EC2 인스턴스가 데이터베이스 계층의 RDS 인스턴스에 접근하려면, 데이터베이스의 보안 그룹이 웹 계층에서 오는 트래픽을 허용해야 합니다.
• 따라서 RDS 인스턴스의 보안 그룹에 인바운드 규칙을 추가하여 웹 계층의 보안 그룹에서 오는 트래픽(일반적으로 포트 3306을 사용하는 MySQL 트래픽)을 허용하면 문제를 해결할 수 있습니다.

A. 네트워크 ACL은 서브넷 수준에서 트래픽을 제어하지만, 이 경우에는 보안 그룹에서 트래픽이 차단되고 있으므로 네트워크 ACL을 수정해도 문제를 해결할 수 없습니다.

B. VPC 라우트 테이블은 서브넷 간의 트래픽을 라우팅하는 데 사용됩니다. 하지만 기본 라우팅이 이미 설정되어 있고, 서브넷 간의 기본 라우팅이 있는 상태에서는 추가 경로가 필요하지 않습니다.

C. 별도의 VPC를 생성하고 VPC 피어링을 설정하는 것은 불필요하게 복잡하며, 문제의 원인을 해결하지 못합니다. 같은 VPC 내에서의 통신 문제이므로 VPC 피어링은 필요하지 않습니다.

 

 

 

29. 회사는 온라인 광고 비즈니스를 위한 대용량 데이터를 단일 가용 영역(AZ)에 있는 Amazon RDS for MySQL DB 인스턴스에 저장하고 있습니다. 회사는 프로덕션 DB 인스턴스에 대한 쓰기 작업에 영향을 주지 않으면서 비즈니스 보고 쿼리를 실행하기를 원합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까?

A. 비즈니스 보고 쿼리를 처리하기 위해 RDS 읽기 복제본을 배포합니다.

B. DB 인스턴스를 수평 확장하여 Elastic Load Balancer 뒤에 배치합니다.

C. DB 인스턴스를 더 큰 인스턴스 유형으로 확장하여 쓰기 작업과 쿼리를 처리합니다.

D. 비즈니스 보고 쿼리를 처리하기 위해 DB 인스턴스를 여러 가용 영역에 배포합니다.

정답:

A. Deploy RDS read replicas to process the business reporting queries.
(비즈니스 보고 쿼리를 처리하기 위해 RDS 읽기 복제본을 배포합니다.)

• RDS 읽기 복제본은 프로덕션 DB 인스턴스의 데이터를 비동기적으로 복제하여 읽기 작업에 사용될 수 있습니다. 이는 프로덕션 인스턴스에 대한 쓰기 작업에 영향을 주지 않으면서 비즈니스 보고 쿼리를 실행할 수 있는 가장 효율적인 방법입니다.
• 읽기 복제본을 사용하면 프로덕션 인스턴스에 가해지는 부하를 줄이고, 보고 쿼리와 같은 읽기 중심 작업을 별도로 처리할 수 있습니다.

틀린 보기 이유:

B. Elastic Load Balancer 뒤에 DB 인스턴스를 배치하는 것은 DB 인스턴스 자체를 수평 확장하는 방법이 아니며, 데이터베이스의 읽기 및 쓰기 작업을 분리하는 문제를 해결하지 못합니다.

C. DB 인스턴스를 더 큰 인스턴스 유형으로 확장하는 것은 일시적으로 성능을 향상시킬 수 있지만, 읽기 및 쓰기 작업이 모두 동일한 인스턴스에서 실행되므로 여전히 쓰기 작업이 보고 쿼리에 영향을 미칠 수 있습니다.

D. DB 인스턴스를 여러 가용 영역에 배포하는 것은 고가용성을 제공하지만, 읽기 및 쓰기 작업을 분리하여 성능을 최적화하는 데는 적합하지 않습니다. 여러 가용 영역에 배포된 인스턴스는 동일한 데이터베이스를 공유하므로, 읽기 부하를 분리하지 못합니다.

 

 

30. 회사는 Amazon EC2 인스턴스의 플릿에서 3계층 전자상거래 애플리케이션을 호스팅하고 있습니다. 인스턴스는 Application Load Balancer(ALB) 뒤의 Auto Scaling 그룹에서 실행됩니다. 모든 전자상거래 데이터는 Amazon RDS for MariaDB Multi-AZ DB 인스턴스에 저장됩니다.

회사는 거래 중 고객 세션 관리를 최적화하기를 원합니다. 애플리케이션은 세션 데이터를 내구성 있게 저장해야 합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까? (두 개를 선택하십시오.)

A. ALB에서 스티키 세션 기능(세션 고정)을 활성화합니다.
B. Amazon DynamoDB 테이블을 사용하여 고객 세션 정보를 저장합니다.
C. Amazon Cognito 사용자 풀을 배포하여 사용자 세션 정보를 관리합니다.
D. Amazon ElastiCache for Redis 클러스터를 배포하여 고객 세션 정보를 저장합니다.
E. 애플리케이션에서 AWS Systems Manager Application Manager를 사용하여 사용자 세션 정보를 관리합니다.

정답:

B. Use an Amazon DynamoDB table to store customer session information.
(Amazon DynamoDB 테이블을 사용하여 고객 세션 정보를 저장합니다.)

D. Deploy an Amazon ElastiCache for Redis cluster to store customer session information.
(Amazon ElastiCache for Redis 클러스터를 배포하여 고객 세션 정보를 저장합니다.)

• B 옵션: Amazon DynamoDB는 NoSQL 데이터베이스로, 세션 정보를 내구성 있게 저장할 수 있는 신뢰할 수 있는 스토리지 솔루션입니다. DynamoDB는 분산형 데이터베이스로, 자동으로 데이터를 여러 가용 영역에 복제하여 내구성을 보장합니다.
• D 옵션: Amazon ElastiCache for Redis는 인메모리 데이터 스토어로, 매우 빠른 액세스가 필요한 세션 데이터를 저장하는 데 이상적입니다. Redis는 세션 데이터를 캐싱하여 빠르게 처리할 수 있으며, 필요한 경우 내구성을 위해 Redis의 영구 저장 기능을 사용할 수 있습니다.

틀린 보기 이유:

A. **ALB의 스티키 세션 기능(세션 고정)**은 특정 사용자가 동일한 인스턴스에 지속적으로 연결되도록 할 수 있지만, 세션 데이터를 내구성 있게 저장하지는 않습니다. 이 방법은 인스턴스가 종료되거나 교체될 경우 세션 데이터가 손실될 수 있으므로 내구성이 보장되지 않습니다.

C. Amazon Cognito는 주로 사용자 인증 및 권한 부여를 위한 서비스이며, 세션 관리와는 다소 다른 목적을 가지고 있습니다. 세션 데이터를 직접적으로 내구성 있게 저장하는 데는 적합하지 않습니다.

E. AWS Systems Manager Application Manager는 애플리케이션 관리 도구로, 세션 데이터를 직접적으로 관리하거나 내구성 있게 저장하는 데는 사용되지 않습니다.

 

 

31. 회사는 3계층 무상태 웹 애플리케이션에 대한 백업 전략이 필요합니다. 이 웹 애플리케이션은 Auto Scaling 그룹의 Amazon EC2 인스턴스에서 실행되며, 스케일링 이벤트에 대응하는 동적 스케일링 정책이 구성되어 있습니다. 데이터베이스 계층은 Amazon RDS for PostgreSQL에서 실행됩니다. 웹 애플리케이션은 EC2 인스턴스의 임시 로컬 스토리지를 필요로 하지 않습니다. 회사의 복구 시점 목표(RPO)는 2시간입니다.

백업 전략은 이 환경에서 확장성을 극대화하고 자원 활용을 최적화해야 합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까?

A. EC2 인스턴스와 데이터베이스의 Amazon Elastic Block Store (Amazon EBS) 볼륨 스냅샷을 2시간마다 찍어 RPO를 충족합니다.

B. 스냅샷 수명 주기 정책을 구성하여 Amazon Elastic Block Store (Amazon EBS) 스냅샷을 찍습니다. Amazon RDS에서 자동 백업을 활성화하여 RPO를 충족합니다.

C. 웹 및 애플리케이션 계층의 최신 Amazon Machine Images (AMIs)를 유지합니다. Amazon RDS에서 자동 백업을 활성화하고 시점 복구(point-in-time recovery)를 사용하여 RPO를 충족합니다.

D. EC2 인스턴스의 Amazon Elastic Block Store (Amazon EBS) 볼륨 스냅샷을 2시간마다 찍습니다. Amazon RDS에서 자동 백업을 활성화하고 시점 복구(point-in-time recovery)를 사용하여 RPO를 충족합니다.

정답:

C. Retain the latest Amazon Machine Images (AMIs) of the web and application tiers. Enable automated backups in Amazon RDS and use point-in-time recovery to meet the RPO.
(웹 및 애플리케이션 계층의 최신 Amazon Machine Images (AMIs)를 유지합니다. Amazon RDS에서 자동 백업을 활성화하고 시점 복구(point-in-time recovery)를 사용하여 RPO를 충족합니다.)

정답 이유:

• Amazon EC2 인스턴스가 무상태인 경우, 애플리케이션 코드나 설정은 주로 Amazon Machine Images (AMIs)에 저장됩니다. 따라서 최신 AMI를 유지하는 것이 적절한 백업 전략입니다. 이로 인해 스케일링 이벤트가 발생하더라도 동일한 상태로 인스턴스를 빠르게 복구할 수 있습니다.
• Amazon RDS는 자동 백업과 시점 복구(point-in-time recovery) 기능을 제공합니다. 이 기능은 데이터베이스를 특정 시점으로 복구할 수 있게 하며, 회사의 RPO(2시간)를 충족할 수 있습니다.
• 이 솔루션은 불필요한 EBS 볼륨 스냅샷을 줄여 자원 활용을 최적화하면서, 확장성과 RPO 요구사항을 모두 충족합니다.

틀린 보기 이유:

A. EC2 인스턴스가 무상태이며, 로컬 스토리지가 필요 없으므로 EBS 볼륨 스냅샷을 자주 찍는 것은 불필요한 작업입니다. 이 방법은 리소스를 비효율적으로 사용합니다.

B. 스냅샷 수명 주기 정책을 사용하는 것은 EBS 볼륨이 필요한 경우에 적합하지만, 무상태 웹 애플리케이션에는 적절하지 않습니다. 또한, 이 방법은 AMI를 사용하는 것만큼 효율적이지 않습니다.

D. EC2 인스턴스의 EBS 볼륨 스냅샷을 자주 찍는 것은 무상태 웹 애플리케이션의 경우 불필요하며, 자원 낭비를 초래할 수 있습니다. AMI를 사용하는 것이 더 효율적입니다

 

 

 

32. 회사는 AWS에 새로운 공개 웹 애플리케이션을 배포하려고 합니다. 애플리케이션은 Amazon EC2 인스턴스를 사용하는 웹 서버 계층과 Amazon RDS for MySQL DB 인스턴스를 사용하는 데이터베이스 계층을 포함합니다.

애플리케이션은 전 세계의 동적 IP 주소를 가진 고객에게 보안되고 접근 가능해야 합니다.

솔루션 아키텍트는 이러한 요구사항을 충족하기 위해 보안 그룹을 어떻게 구성해야 합니까?

A. 웹 서버의 보안 그룹을 구성하여 443번 포트에서 0.0.0.0/0으로부터의 인바운드 트래픽을 허용합니다. DB 인스턴스의 보안 그룹을 구성하여 웹 서버의 보안 그룹으로부터의 3306번 포트에서의 인바운드 트래픽을 허용합니다.

B. 웹 서버의 보안 그룹을 구성하여 443번 포트에서 고객의 IP 주소로부터의 인바운드 트래픽을 허용합니다. DB 인스턴스의 보안 그룹을 구성하여 웹 서버의 보안 그룹으로부터의 3306번 포트에서의 인바운드 트래픽을 허용합니다.

C. 웹 서버의 보안 그룹을 구성하여 443번 포트에서 고객의 IP 주소로부터의 인바운드 트래픽을 허용합니다. DB 인스턴스의 보안 그룹을 구성하여 고객의 IP 주소로부터의 3306번 포트에서의 인바운드 트래픽을 허용합니다.

D. 웹 서버의 보안 그룹을 구성하여 443번 포트에서 0.0.0.0/0으로부터의 인바운드 트래픽을 허용합니다. DB 인스턴스의 보안 그룹을 구성하여 3306번 포트에서 0.0.0.0/0으로부터의 인바운드 트래픽을 허용합니다.

정답:

A. Configure the security group for the web servers to allow inbound traffic on port 443 from 0.0.0.0/0. Configure the security group for the DB instance to allow inbound traffic on port 3306 from the security group of the web servers.
(웹 서버의 보안 그룹을 구성하여 443번 포트에서 0.0.0.0/0으로부터의 인바운드 트래픽을 허용합니다. DB 인스턴스의 보안 그룹을 구성하여 웹 서버의 보안 그룹으로부터의 3306번 포트에서의 인바운드 트래픽을 허용합니다.)

정답 이유:

• 웹 서버의 보안 그룹: 웹 애플리케이션은 전 세계의 고객이 접근할 수 있어야 하기 때문에, 웹 서버의 보안 그룹은 **443번 포트(HTTPS)**에서 0.0.0.0/0으로부터의 인바운드 트래픽을 허용해야 합니다. 이렇게 하면 어떤 IP 주소에서든 웹 서버에 접근할 수 있습니다.
• DB 인스턴스의 보안 그룹: 데이터베이스는 웹 서버에서만 접근할 수 있도록 제한되어야 합니다. 이를 위해 DB 인스턴스의 보안 그룹은 웹 서버의 보안 그룹에서만 3306번 포트(MySQL의 기본 포트)로의 접근을 허용해야 합니다. 이렇게 하면 데이터베이스가 외부에서 직접 접근되지 않도록 보호됩니다.

B. 웹 서버의 보안 그룹에서 고객의 IP 주소를 특정하려고 하는 것은, 동적 IP 주소를 사용하는 고객에게 적합하지 않습니다. 모든 고객에게 접근을 허용해야 하므로 0.0.0.0/0으로 설정하는 것이 맞습니다.

C. DB 인스턴스에 고객의 IP 주소에서 직접 접근을 허용하는 것은 매우 위험합니다. 데이터베이스는 외부에서 직접 접근할 수 없도록 보호되어야 하며, 웹 서버를 통해서만 접근이 가능해야 합니다.

D. DB 인스턴스의 보안 그룹에서 0.0.0.0/0으로부터의 트래픽을 허용하는 것은 보안상 매우 위험하며, 외부 공격에 노출될 수 있습니다. 데이터베이스는 웹 서버에서만 접근 가능하도록 제한해야 합니다.

 

 

33. 결제 처리 회사는 고객과의 모든 음성 통신을 기록하고, 이 오디오 파일을 Amazon S3 버킷에 저장합니다. 회사는 오디오 파일에서 텍스트를 캡처해야 하며, 텍스트에서 고객의 개인정보(PII)를 제거해야 합니다.

이 요구사항을 충족하기 위해 솔루션 아키텍트는 무엇을 해야 합니까?

A. Amazon Kinesis Video Streams를 사용하여 오디오 파일을 처리합니다. AWS Lambda 함수를 사용하여 알려진 PII 패턴을 스캔합니다.

B. 오디오 파일이 S3 버킷에 업로드되면, AWS Lambda 함수를 호출하여 Amazon Textract 작업을 시작하여 통화 녹음을 분석합니다.

C. PII 제거가 활성화된 Amazon Transcribe 전사 작업을 구성합니다. 오디오 파일이 S3 버킷에 업로드되면, AWS Lambda 함수를 호출하여 전사 작업을 시작합니다. 출력물을 별도의 S3 버킷에 저장합니다.

D. 전사가 켜진 상태에서 오디오 파일을 수집하는 Amazon Connect 연락처 흐름(contact flow)을 만듭니다. AWS Lambda 함수를 내장하여 알려진 PII 패턴을 스캔합니다. 오디오 파일이 S3 버킷에 업로드될 때 연락처 흐름을 시작하도록 Amazon EventBridge를 사용합니다.

 

정답:

C. Configure an Amazon Transcribe transcription job with PII redaction turned on. When an audio file is uploaded to the S3 bucket, invoke an AWS Lambda function to start the transcription job. Store the output in a separate S3 bucket.
(PII 제거가 활성화된 Amazon Transcribe 전사 작업을 구성합니다. 오디오 파일이 S3 버킷에 업로드되면, AWS Lambda 함수를 호출하여 전사 작업을 시작합니다. 출력물을 별도의 S3 버킷에 저장합니다.)

• Amazon Transcribe는 음성 파일을 텍스트로 전사할 수 있는 AWS 서비스입니다. Transcribe는 또한 PII 제거 기능을 제공하여 전사된 텍스트에서 개인정보를 자동으로 식별하고 제거할 수 있습니다.
• Lambda 함수를 사용하여 S3 버킷에 오디오 파일이 업로드될 때마다 전사 작업을 시작하고, 전사된 텍스트를 별도의 S3 버킷에 저장하면, 요구사항을 충족할 수 있습니다.
• 이 방법은 음성 데이터를 텍스트로 전사하고 개인정보를 제거하는 가장 직접적이고 효율적인 방법입니다.

틀린 보기 이유:

A. Amazon Kinesis Video Streams는 실시간 비디오 스트리밍을 위한 서비스로, 오디오 파일을 처리하는 데 적합하지 않습니다. Lambda 함수를 사용한 PII 패턴 스캔은 별도의 복잡한 구현이 필요하며, 자동화된 PII 제거를 보장하지 않습니다.

B. Amazon Textract는 이미지에서 텍스트를 추출하는 서비스로, 오디오 파일을 처리하는 데 적합하지 않습니다.

D. Amazon Connect는 연락 센터 애플리케이션을 위한 서비스로, 음성 파일을 직접 전사하거나 PII를 제거하는 데 적합하지 않습니다. 또한, 이 방법은 필요 이상으로 복잡합니다.

 

 

 

34. 회사는 AWS 클라우드에서 다중 계층 전자상거래 웹 애플리케이션을 운영하고 있습니다. 이 애플리케이션은 Amazon EC2 인스턴스에서 실행되며, Amazon RDS for MySQL Multi-AZ DB 인스턴스를 사용하고 있습니다. Amazon RDS는 최신 세대 DB 인스턴스에 구성되어 있으며, 일반 목적 SSD(gp3) Amazon Elastic Block Store(Amazon EBS) 볼륨에서 2,000GB의 스토리지를 사용하고 있습니다. 데이터베이스 성능은 수요가 높은 기간 동안 애플리케이션에 영향을 미칩니다.

데이터베이스 관리자는 Amazon CloudWatch Logs에서 로그를 분석한 결과, 읽기 및 쓰기 IOPS가 20,000을 초과할 때마다 애플리케이션 성능이 항상 저하된다는 것을 발견했습니다.

솔루션 아키텍트는 애플리케이션 성능을 향상시키기 위해 무엇을 해야 합니까?

A. 볼륨을 마그네틱 볼륨으로 교체합니다.

B. gp3 볼륨에서 IOPS의 수를 증가시킵니다.

C. 볼륨을 프로비저닝된 IOPS SSD(io2) 볼륨으로 교체합니다.

D. 2,000GB gp3 볼륨을 두 개의 1,000GB gp3 볼륨으로 교체합니다.

 

정답:

B. Increase the number of IOPS on the gp3 volume.
(gp3 볼륨에서 IOPS의 수를 증가시킵니다.)

• gp3 볼륨은 필요한 성능을 맞추기 위해 IOPS와 스토리지 용량을 독립적으로 확장할 수 있는 기능을 제공합니다. 현재 IOPS 제한이 성능 저하의 원인으로 보이므로, IOPS를 증가시키는 것이 가장 적절한 해결책입니다.
• IOPS를 20,000 이상으로 설정하면 데이터베이스가 읽기 및 쓰기 작업을 보다 효율적으로 처리할 수 있어 애플리케이션 성능이 향상됩니다.

틀린 보기 이유:

A. 마그네틱 볼륨으로 교체하는 것은 성능을 크게 저하시킬 수 있으며, 이는 현재 문제를 해결하는 데 전혀 도움이 되지 않습니다.

C. Provisioned IOPS SSD(io2) 볼륨은 고성능 볼륨이지만, gp3 볼륨에서 IOPS를 조정하는 것이 더 비용 효율적일 수 있습니다. io2 볼륨으로의 교체는 추가적인 비용을 발생시킬 수 있으며, 현재 gp3에서 IOPS를 조정하는 것만으로도 충분할 가능성이 있습니다.

D. 두 개의 1,000GB gp3 볼륨으로 교체하는 것은 병렬로 처리할 수 있는 IOPS를 늘릴 수 있지만, 이 접근 방식은 복잡하며 gp3 볼륨의 IOPS를 직접 증가시키는 것이 더 간단하고 효과적입니다.

 

 

 

35. IAM 사용자가 지난주 프로덕션 배포 중에 회사의 AWS 리소스에 여러 구성 변경을 수행했습니다. 솔루션 아키텍트는 몇 가지 보안 그룹 규칙이 원하는 대로 구성되지 않았음을 알게 되었습니다. 솔루션 아키텍트는 어떤 IAM 사용자가 변경을 했는지 확인하고 싶어 합니다.

이 정보를 찾기 위해 솔루션 아키텍트는 어떤 서비스를 사용해야 합니까?

A. Amazon GuardDuty
B. Amazon Inspector
C. AWS CloudTrail
D. AWS Config

 

C. AWS CloudTrail

• AWS CloudTrail은 AWS 계정 내에서 발생하는 모든 API 호출과 활동을 기록하는 서비스입니다. 이 로그에는 누가 어떤 리소스에 대해 어떤 작업을 수행했는지가 포함됩니다. 따라서, IAM 사용자가 수행한 특정 변경 사항을 추적하고, 누가 보안 그룹 규칙을 변경했는지 확인할 수 있습니다.

틀린 보기 이유:

A. Amazon GuardDuty는 AWS 계정과 리소스에 대한 잠재적인 위협을 감지하는 보안 서비스로, 특정 IAM 사용자의 활동을 추적하는 데 사용되지 않습니다.

B. Amazon Inspector는 주로 보안 취약점을 평가하는 데 사용되는 도구로, 특정 변경 활동을 추적하는 데 사용되지 않습니다.

D. AWS Config는 AWS 리소스의 구성을 평가, 감사 및 모니터링하는 데 사용됩니다. 변경된 리소스의 현재 상태를 볼 수 있지만, 누가 변경했는지를 추적하려면 CloudTrail이 필요합니다.

 

 

 

36. 회사가 AWS에서 자체 관리하는 DNS 서비스를 구현했습니다. 이 솔루션은 다음과 같이 구성됩니다:

• 여러 AWS 리전에서 Amazon EC2 인스턴스
• AWS Global Accelerator의 표준 가속기의 엔드포인트

회사는 이 솔루션을 DDoS 공격으로부터 보호하고자 합니다.

이 요구사항을 충족하기 위해 솔루션 아키텍트는 무엇을 해야 합니까?

 

A. AWS Shield Advanced에 가입하고, 보호할 리소스로 가속기를 추가합니다.

B. AWS Shield Advanced에 가입하고, 보호할 리소스로 EC2 인스턴스를 추가합니다.

C. 속도 제한 규칙이 포함된 AWS WAF 웹 ACL을 생성하고, 이 웹 ACL을 가속기에 연결합니다.

D. 속도 제한 규칙이 포함된 AWS WAF 웹 ACL을 생성하고, 이 웹 ACL을 EC2 인스턴스에 연결합니다.

 

정답:

A. Subscribe to AWS Shield Advanced. Add the accelerator as a resource to protect.
(AWS Shield Advanced에 가입하고, 보호할 리소스로 가속기를 추가합니다.)

• AWS Shield Advanced는 AWS 리소스를 DDoS 공격으로부터 보호하기 위한 관리형 보안 서비스입니다. Global Accelerator는 분산된 네트워크로 고성능과 낮은 지연 시간을 제공하기 위해 사용되며, DDoS 공격으로부터 보호하는 것이 중요합니다. 따라서, AWS Shield Advanced에 가입하고 Global Accelerator 가속기를 보호할 리소스로 추가하면 DDoS 공격으로부터 효과적으로 보호할 수 있습니다.

틀린 보기 이유:

B. EC2 인스턴스를 보호할 리소스로 추가하는 것은 DDoS 보호의 일부일 수 있지만, Global Accelerator 가속기가 공격의 주요 표적일 가능성이 높으므로, 가속기를 보호하는 것이 더 중요합니다.

C. AWS WAF는 주로 웹 애플리케이션을 보호하는 데 사용됩니다. 속도 제한 규칙이 포함된 웹 ACL은 일부 공격을 완화할 수 있지만, DDoS 공격에 대한 포괄적인 보호를 제공하지는 않습니다. DDoS 보호에는 AWS Shield Advanced가 더 적합합니다.

D. AWS WAF 웹 ACL을 EC2 인스턴스에 연결하는 것은 웹 애플리케이션 보호에 도움이 되지만, DNS 서비스와 Global Accelerator를 사용하는 경우, 이 조치는 DDoS 보호에 충분하지 않을 수 있습니다.

 

 

 

 

37. 한 전자상거래 회사는 분석을 위해 판매 기록을 집계하고 필터링하는 일일 예약 작업을 실행해야 합니다. 회사는 판매 기록을 Amazon S3 버킷에 저장합니다. 각 객체는 최대 10GB 크기일 수 있습니다. 판매 이벤트 수에 따라 작업은 최대 한 시간 정도 걸릴 수 있습니다. 작업의 CPU 및 메모리 사용량은 일정하며 사전에 알려져 있습니다.

솔루션 아키텍트는 이 작업을 실행하는 데 필요한 운영 노력을 최소화해야 합니다.

이 요구사항을 충족하는 솔루션은 무엇입니까?

A. Amazon EventBridge 알림을 포함한 AWS Lambda 함수를 생성합니다. EventBridge 이벤트를 하루에 한 번 실행하도록 예약합니다.

B. AWS Lambda 함수를 생성합니다. Amazon API Gateway HTTP API를 생성하고, 이 API를 함수와 통합합니다. Amazon EventBridge 예약된 이벤트를 생성하여 API를 호출하고 함수를 호출합니다.

C. AWS Fargate 실행 유형을 사용하는 Amazon Elastic Container Service (Amazon ECS) 클러스터를 생성합니다. Amazon EventBridge 예약된 이벤트를 생성하여 클러스터에서 작업을 실행하여 작업을 실행합니다.

D. Amazon EC2 실행 유형과 최소 하나의 EC2 인스턴스가 있는 Auto Scaling 그룹을 사용하는 Amazon Elastic Container Service (Amazon ECS) 클러스터를 생성합니다. Amazon EventBridge 예약된 이벤트를 생성하여 클러스터에서 작업을 실행하여 작업을 실행합니다.

 

정답:

C. Create an Amazon Elastic Container Service (Amazon ECS) cluster with an AWS Fargate launch type. Create an Amazon EventBridge scheduled event that launches an ECS task on the cluster to run the job.
(AWS Fargate 실행 유형을 사용하는 Amazon Elastic Container Service (Amazon ECS) 클러스터를 생성합니다. Amazon EventBridge 예약된 이벤트를 생성하여 클러스터에서 작업을 실행하여 작업을 실행합니다.)

• AWS Fargate는 서버리스 컨테이너 실행 서비스로, 인프라를 관리할 필요 없이 컨테이너를 실행할 수 있습니다. 이는 작업의 CPU 및 메모리 요구 사항이 일정하며 사전에 알려져 있는 경우에 적합합니다.
• Amazon ECS를 Fargate 실행 유형과 함께 사용하면 컨테이너 작업을 간편하게 스케줄링할 수 있으며, 운영 오버헤드를 최소화할 수 있습니다.
• Amazon EventBridge를 사용하여 예약된 이벤트를 설정하면 작업이 자동으로 실행되도록 스케줄링할 수 있습니다.

틀린 보기 이유:

A. AWS Lambda는 최대 15분 동안 실행될 수 있으며, 10GB 크기의 파일을 처리하는 데 적합하지 않을 수 있습니다. Lambda는 이 작업에 적합하지 않습니다.

B. AWS Lambda를 사용하여 API Gateway를 통해 작업을 실행하는 것은 불필요하게 복잡하며, Lambda의 시간 제한으로 인해 작업이 성공적으로 완료되지 않을 수 있습니다.

D. Amazon ECS 클러스터와 Amazon EC2 실행 유형을 사용하는 방법은 Fargate를 사용하는 것보다 운영 오버헤드가 더 크며, 인프라를 관리해야 합니다. 이는 필요 이상의 복잡성을 초래합니다.

 

 

 

38. 회사는 온프레미스 네트워크 연결 스토리지(NAS) 시스템에서 AWS 클라우드로 600TB의 데이터를 전송해야 합니다. 데이터 전송은 2주 이내에 완료되어야 합니다. 데이터는 민감하며 전송 중에 암호화되어야 합니다. 회사의 인터넷 연결은 100Mbps의 업로드 속도를 지원합니다.

가장 비용 효율적으로 이 요구사항을 충족하는 솔루션은 무엇입니까?

A. Amazon S3 멀티파트 업로드 기능을 사용하여 HTTPS를 통해 파일을 전송합니다.

B. 온프레미스 NAS 시스템과 가장 가까운 AWS 리전 간에 VPN 연결을 만듭니다. VPN 연결을 통해 데이터를 전송합니다.

C. AWS Snow Family 콘솔을 사용하여 여러 AWS Snowball Edge Storage Optimized 장치를 주문합니다. 장치를 사용하여 데이터를 Amazon S3로 전송합니다.

D. 회사 위치와 가장 가까운 AWS 리전 간에 10Gbps AWS Direct Connect 연결을 설정합니다. 리전으로 VPN 연결을 통해 데이터를 전송하여 데이터를 Amazon S3에 저장합니다.

 

정답:

C. Use the AWS Snow Family console to order several AWS Snowball Edge Storage Optimized devices. Use the devices to transfer the data to Amazon S3.
(AWS Snow Family 콘솔을 사용하여 여러 AWS Snowball Edge Storage Optimized 장치를 주문합니다. 장치를 사용하여 데이터를 Amazon S3로 전송합니다.)

정답 이유:

• AWS Snowball Edge Storage Optimized 장치는 대규모 데이터 전송을 위해 설계된 물리적 장치로, 대량의 데이터를 빠르고 안전하게 AWS로 전송할 수 있습니다. 이 장치는 600TB의 데이터를 2주 이내에 전송하는 데 적합합니다.
• 데이터는 전송 중에 암호화되며, 장치는 Amazon S3로 안전하게 데이터를 전송하는 데 필요한 모든 기능을 제공합니다.
• 회사의 인터넷 연결이 100Mbps인 경우, 인터넷을 통한 데이터 전송은 매우 시간이 오래 걸릴 수 있습니다. Snowball 장치를 사용하면 인터넷 연결을 사용하지 않고 데이터를 물리적으로 전송할 수 있어 더 빠르고 비용 효율적인 방법입니다.

틀린 보기 이유:

A. Amazon S3 멀티파트 업로드는 인터넷 연결을 통해 데이터를 전송하는 방법이지만, 600TB의 데이터를 100Mbps 속도로 전송하는 것은 2주 내에 완료할 수 없습니다.

B. VPN 연결을 통해 데이터를 전송하는 것은 보안은 충족하지만, 인터넷 속도 때문에 2주 내에 데이터를 전송하기에는 시간이 부족합니다.

D. AWS Direct Connect를 사용하면 빠른 전송 속도를 제공할 수 있지만, 설정하는 데 시간이 오래 걸릴 수 있고, 10Gbps Direct Connect 연결은 비용이 매우 높을 수 있습니다. 이는 비용 효율적인 방법이 아닙니다.

 

 

39. 금융회사가 AWS에서 웹 애플리케이션을 호스팅하고 있습니다. 이 애플리케이션은 사용자가 현재 주가를 조회할 수 있도록 Amazon API Gateway의 리전 API 엔드포인트를 사용합니다. 보안팀은 API 요청 수가 증가한 것을 발견했으며, HTTP 플러드 공격이 애플리케이션을 오프라인으로 만들 수 있을까 우려하고 있습니다.

솔루션 아키텍트는 이러한 공격으로부터 애플리케이션을 보호하기 위한 솔루션을 설계해야 합니다.

가장 적은 운영 오버헤드로 이 요구사항을 충족하는 솔루션은 무엇입니까?

A. API Gateway 리전 API 엔드포인트 앞에 Amazon CloudFront 배포를 생성하고 최대 TTL을 24시간으로 설정합니다.

B. 속도 제한 규칙이 포함된 Regional AWS WAF 웹 ACL을 생성하고, 이 웹 ACL을 API Gateway 스테이지에 연결합니다.

C. Amazon CloudWatch 메트릭을 사용하여 Count 메트릭을 모니터링하고, 미리 정의된 속도에 도달하면 보안팀에 알립니다.

D. API Gateway 리전 API 엔드포인트 앞에 Lambda@Edge를 사용한 Amazon CloudFront 배포를 생성합니다. 미리 정의된 속도를 초과하는 IP 주소에서의 요청을 차단하는 AWS Lambda 함수를 생성합니다.

 

정답:

B. Create a Regional AWS WAF web ACL with a rate-based rule. Associate the web ACL with the API Gateway stage.
(속도 제한 규칙이 포함된 Regional AWS WAF 웹 ACL을 생성하고, 이 웹 ACL을 API Gateway 스테이지에 연결합니다.)

• AWS WAF는 웹 애플리케이션을 다양한 웹 공격으로부터 보호할 수 있는 관리형 방화벽 서비스입니다. 속도 제한 규칙(rate-based rule)을 사용하여 일정 시간 내에 특정 수 이상의 요청을 보내는 IP 주소를 자동으로 차단할 수 있습니다.
• API Gateway에 Regional AWS WAF 웹 ACL을 연결하면 HTTP 플러드 공격과 같은 대량 요청으로부터 애플리케이션을 보호할 수 있습니다.
• 이 방법은 설정 및 관리가 상대적으로 간단하고, 자동으로 동작하여 운영 오버헤드를 최소화할 수 있습니다.

틀린 보기 이유:

A. Amazon CloudFront를 사용하여 TTL을 설정하는 것은 캐싱을 통해 일부 요청을 줄일 수 있지만, HTTP 플러드 공격을 직접적으로 차단하지는 못합니다.

C. Amazon CloudWatch를 사용하여 모니터링하는 것은 문제가 발생한 후에 알림을 받는 방식으로, HTTP 플러드 공격을 실시간으로 방어하는 데 적합하지 않습니다.

D. Lambda@Edge를 사용하여 요청을 차단하는 것은 가능하지만, 설정 및 관리가 복잡하며, AWS WAF를 사용하는 것보다 운영 오버헤드가 더 큽니다.

 

 

40. 기상 스타트업 회사는 사용자에게 날씨 데이터를 온라인으로 판매하는 맞춤형 웹 애플리케이션을 보유하고 있습니다. 회사는 데이터를 저장하기 위해 Amazon DynamoDB를 사용하고 있으며, 새로운 날씨 이벤트가 기록될 때마다 내부 팀의 관리자에게 알림을 보내는 새로운 서비스를 구축하려고 합니다. 이 새로운 서비스가 현재 애플리케이션의 성능에 영향을 주지 않기를 원합니다.

가장 적은 운영 오버헤드로 이 요구사항을 충족하기 위해 솔루션 아키텍트는 무엇을 해야 합니까?

A. 새로운 이벤트 데이터를 테이블에 쓰기 위해 DynamoDB 트랜잭션을 사용합니다. 트랜잭션을 구성하여 내부 팀에게 알림을 보냅니다.

B. 현재 애플리케이션이 네 개의 Amazon Simple Notification Service (Amazon SNS) 주제에 메시지를 게시하도록 합니다. 각 팀이 하나의 주제를 구독하도록 합니다.

C. 테이블에서 Amazon DynamoDB Streams를 활성화합니다. 트리거를 사용하여 각 팀이 구독할 수 있는 단일 Amazon Simple Notification Service (Amazon SNS) 주제에 쓰도록 설정합니다.

D. 각 레코드에 새 항목을 플래그로 지정하는 사용자 정의 속성을 추가합니다. 테이블을 매분 스캔하여 새 항목을 찾고, 팀이 구독할 수 있는 Amazon Simple Queue Service (Amazon SQS) 대기열에 알림을 보내는 크론 작업을 작성합니다.

 

정답:

C. Enable Amazon DynamoDB Streams on the table. Use triggers to write to a single Amazon Simple Notification Service (Amazon SNS) topic to which the teams can subscribe.
(테이블에서 Amazon DynamoDB Streams를 활성화합니다. 트리거를 사용하여 각 팀이 구독할 수 있는 단일 Amazon Simple Notification Service (Amazon SNS) 주제에 쓰도록 설정합니다.)

• Amazon DynamoDB Streams는 DynamoDB 테이블에 대한 변경 사항을 스트리밍하여 캡처할 수 있는 기능을 제공합니다. 이를 통해 새로운 레코드가 추가될 때마다 이벤트를 생성할 수 있습니다.
• SNS 주제를 사용하여 각 팀이 구독할 수 있는 하나의 SNS 주제에 이벤트를 게시하면, 모든 팀이 쉽게 알림을 받을 수 있습니다.
• 이 방법은 현재 애플리케이션의 성능에 영향을 최소화하며, DynamoDB Streams와 SNS는 서버리스로 관리되므로 운영 오버헤드가 매우 낮습니다.

틀린 보기 이유:

A. DynamoDB 트랜잭션은 데이터 일관성을 보장하기 위한 기능이며, 알림 기능으로 사용하는 것은 적절하지 않습니다.

B. 현재 애플리케이션이 직접 SNS 주제에 메시지를 게시하는 방법은 애플리케이션에 부담을 줄 수 있으며, 운영 오버헤드가 더 클 수 있습니다.

D. Cron 작업을 사용하여 테이블을 주기적으로 스캔하는 방법은 비효율적이며, DynamoDB에 과부하를 줄 수 있습니다. 이 방법은 운영 오버헤드가 크고 실시간 알림을 보장하지 못합니다.