본문 바로가기
카테고리 없음

SAA - C03 Examtopics Dump (#26 - 30)

by somoony 2025. 1. 16.

#026번

회사는 Amazon S3 버킷에 무단 구성 변경이 없는지 확인하기 위해 AWS 클라우드 배포를 검토해야 합니다.

이 목표를 달성하려면 솔루션 아키텍트가 무엇을 해야 합니까?

A. 적절한 규칙을 사용하여 AWS Config를 활성화합니다.

B. 적절한 점검을 통해 AWS Trusted Advisor를 활성화합니다.

C. Turn on Amazon Inspector with the appropriate assessment template.

D. Amazon S3 서버 액세스 로깅을 활성화합니다. Amazon EventBridge(Amazon Cloud Watch 이벤트)를 구성합니다.

정답 : A

 

  1. AWS Config는 AWS 리소스의 구성을 기록하고 점검하여 변경 사항을 추적하는 서비스입니다. 이를 통해 사용자는 리소스의 구성 상태를 리포팅하고, 무단 변경이 발생했는지 알림을 받으며, 이를 기반으로 규정을 준수하고 있는지 확인할 수 있습니다. 특히, Amazon S3 버킷의 설정과 구성을 모니터링하고 필요할 경우 규칙을 정의하여 위반이 발생했을 때 경고를 받을 수 있습니다. 이는 무단 구성 변경을 방지하는 데 매우 효과적입니다.
  2. B. AWS Trusted Advisor는 AWS 환경의 모범 사례를 검사하지만, 설정 변경에 대한 실시간 모니터링을 제공하지는 않습니다. Trusted Advisor는 일부 보안 조언, 비용 절감, 성능 개선 등의 추천을 제공하지만, 특정 리소스의 구성 변경을 지속적으로 감시하는 목적에는 적합하지 않습니다.
  3. C. Amazon Inspector는 주로 애플리케이션의 보안 취약성을 평가하는 데 사용되는 서비스로, S3 버킷의 구성 변경을 모니터링하는 데 적합하지 않습니다.
  4. D. Amazon S3 서버 액세스 로깅과 Amazon EventBridge는 S3 버킷에 대한 요청의 로그를 기록하고 이를 기반으로 이벤트를 트리거할 수 있지만, 직접적으로 버킷의 구성 변경을 감시하지는 않습니다. 이는 액세스 로그를 통해 누가 어떤 요청을 했는지 알 수 있도록 도와주지만, 구성 변경 자체를 실시간으로 모니터링하는 데는 부족합니다.

결론적으로, AWS Config를 활성화하면 S3 버킷의 구성 변경을 지속적으로 모니터링하고 무단 변경을 신속하게 감지할 수 있으므로, 이 목표를 달성하기 위한 가장 적합한 솔루션입니다.

 

 

#027번

회사가 새로운 애플리케이션을 출시하고 Amazon CloudWatch 대시보드에 애플리케이션 메트릭을 표시할 예정입니다. 회사의 제품 관리자는 주기적으로 이 대시보드에 접근해야 합니다. 제품 관리자는 AWS 계정이 없습니다. 솔루션 아키텍트는 최소 권한 원칙을 따르면서 제품 관리자에게 접근 권한을 제공해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족할 수 있을까요?

A. CloudWatch 콘솔에서 대시보드를 공유합니다. 제품 관리자의 이메일 주소를 입력하고 공유 단계를 완료하세요. 대시보드에 대
한 공유 가능한 링크를 제품 관리자에게 제공합니다.

B. 제품 관리자를 위해 특별히 IAM 사용자를 생성합니다. CloudWatchReadOnlyAccess AWS 관리형 정책을 사용자에게 연결합니다. 새 로그인 자격 증명을 제품 관리자와 공유하세요. 올바른 대시보드의 브라우저 URL을 제품 관리자와 공유하세요.

C. 회사 직원을 위한 IAM 사용자를 생성합니다. ViewOnlyAccess AWS 관리형 정책을 IAM 사용자에게 연결합니다. 새 로그인 자격 증명을 제품 관리자와 공유하세요. 제품 관리자에게 CloudWatch 콘솔로 이동하여 대시보드 섹션에서 이름으로 대시보드를 찾으라고 요청하세요.

D. 퍼블릭 서브넷에 배스천 서버를 배포합니다. 제품 관리자가 대시보드에 액세스해야 하는 경우 서버를 시작하고 RDP 자격 증명
을 공유하세요. 배스천 서버에서 대시보드를 볼 수 있는 적절한 권한이 있는 캐시된 AWS 자격 증명을 사용하여 대시보드 URL을 열도록 브라우저가 구성되어 있는지 확인합니다.

정답 : A

A. 이 옵션은 제품 관리자가 AWS 계정이 필요 없이 CloudWatch 대시보드에 접근할 수 있도록 합니다. 대시보드를 콘솔을 통해 직접 공유함으로써, 제품 관리자는 다른 AWS 리소스에 대한 추가 액세스 없이 메트릭을 볼 수 있으며, 최소 권한 원칙을 준수합니다.

B. 제품 관리자를 위해 IAM 사용자를 생성하는 것은 최소 권한 원칙을 위반하는 것으로, 그들이 AWS 자격 증명을 가지고 있어야 하며, 이로 인해 다른 AWS 서비스에 대한 접근이 발생할 수 있습니다.

C. 옵션 B와 유사하게, IAM 사용자를 생성하고 접근을 제공하는 것은 전체 AWS 계정이 필요한 사람이 아닌 경우 최소 권한 원칙을 방해합니다. 또한 이는 AWS 콘솔 내에서의 탐색을 요구하므로 더 복잡합니다.

D. 배스천 서버를 설정하는 것은 불필요하게 복잡하며, 보안 위험을 초래할 수 있습니다. 이 추가 서버를 유지 관리해야 하며, 제품 관리자가 대시보드를 보기 위해 번거로운 과정을 거쳐야 하므로 효율적이지 않습니다.

결론적으로, 옵션 A는 제품 관리자가 AWS 계정 없이 CloudWatch 대시보드에 접근할 수 있도록 하는 간단하고 안전한 방법을 제공합니다.

 

#028번

한 회사가 애플리케이션을 AWS로 마이그레이션하고 있습니다. 애플리케이션은 서로 다른 계정에 배포됩니다. 회사는 AWS Organizations를 사용하여 중앙에서 계정을 관리합니다. 회사의 보안 팀에는 회사의 모든 계정에 대한 SSO(Single Sign-On) 솔루션이 필요합니다. 회사는 온프레미스 자체 관리 Microsoft Active Directory에서 사용자 및 그룹을 계속 관리해야 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다. Microsoft Active Directory용 AWS Directory Service를 사용하여 단방향 포리스트 트러스트 또는 단방향 도메인 트러스트를 생성하여 회사의 자체 관리형 Microsoft Active Directory를 AWS SSO와 연결합니다.

B. AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다. Microsoft Active Directory용 AWS Directory Service를 사용하여 회사의 자체 관리형 Microsoft Active Directory를 AWS SSO와 연결하기 위한 양방향 포리스트 신뢰를 생성합니다.

C. AWS 디렉터리 서비스를 사용합니다. 회사의 자체 관리형 Microsoft Active Directory와 양방향 신뢰 관계를 구축합니다.

D. 온프레미스에 ID 공급자(IdP)를 배포합니다. AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다.

정답 : B 

 

B 설명:

  • AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화하고, Microsoft Active Directory용 AWS Directory Service를 사용하여 회사의 자체 관리형 Microsoft Active Directory와의 양방향 포리스트 신뢰를 생성하면, 두 시스템 간에 사용자 인증 및 권한 부여를 효과적으로 관리할 수 있습니다.

이유:

  1. 양방향 신뢰의 장점:
    • 양방향 포리스트 신뢰를 설정하면 AWS SSO와 온프레미스 Active Directory 간의 양방향 통신이 가능해지며, 이렇게 하면 사용자가 온프레미스 Active Directory 속성과 관련한 정보를 AWS SSO에서도 사용할 수 있습니다. 즉, 사용자의 인증 정보와 그룹 정보를 동시에 사용할 수 있어, 사용자 관리가 용이해집니다.
  2. 단일 로그인(SSO) 기능:
    • 이 접근 방식은 사용자가 기업 환경과 AWS 리소스에서 SSO 기능을 활용하여 편리하게 로그인할 수 있도록 돕습니다. 사용자는 여러 서비스를 위한 별도의 로그인 정보 없이 통합된 경험을 통해 효율성을 높일 수 있습니다.
  3. 민첩성 및 관리 용이성:
    • 기존의 온프레미스 Microsoft Active Directory를 계속 활용하면서 AWS SSO를 통해 클라우드에서의 접근을 관리하게 되므로, 중복 작업이 줄어들고 사용자 및 그룹 관리가 효과적으로 이루어질 수 있습니다.
  4. 보안:
    • 양방향 신뢰를 통해 데이터를 안전하게 연결할 수 있으며, 조직의 보안 정책을 준수할 수 있습니다. 특히 최소 권한 원칙에 따라 사용자에게 필요한 리소스만 접근하도록 설정할 수 있습니다.

다른 옵션에 대한 비교:

  • A: 단방향 트러스트는 AWS SSO가 Active Directory를 사용할 수 있지만, Active Directory에서 AWS SSO로의 연결을 전송하는 것이 제한됩니다. 이는 양방향이 아니므로 관리 및 권한 부여의 유연성이 줄어듭니다. 
  • C: AWS Directory Service와의 양방향 신뢰를 설정하는 것은 적합하지만, AWS SSO와의 통합이 포함되어 있어 사용자 관리와 SSO 기능이 부족할 수 있습니다.
  • D: 온프레미스 ID 공급자를 배포하는 것은 추가적인 관리 부담과 복잡성을 초래하며, AWS SSO의 기능을 효과적으로 활용하는 것에 대한 직접적인 해결책이 아닙니다.

결론:

B 옵션은 AWS SSO와 온프레미스 Microsoft Active Directory 간의 통합에 대한 가장 효율적이고 안전한 솔루션을 제공하여 사용자 인증과 자원 접근 관리를 최적화합니다.

 

 

 

 

#029번

한 회사에서 UDP 연결을 사용하는 VoIP(Voice over Internet Protocol) 서비스를 제공합니다. 이 서비스는 Auto Scaling 그룹에서 실행되는 Amazon EC2 인스턴스로 구성됩니다. 이 회사는 여러 AWS 지역에 배포되어 있습니다.
회사는 사용자를 지연 시간이 가장 짧은 지역으로 라우팅해야 합니다. 회사에는 지역 간 자동화된 장애 조치도 필요합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. NLB(Network Load Balancer) 및 관련 대상 그룹을 배포합니다. 대상 그룹을 Auto Scaling 그룹과 연결합니다. 각 리전에서 NLB를 AWS Global Accelerator 엔드포인트로 사용합니다.

B. ALB(Application Load Balancer) 및 관련 대상 그룹을 배포합니다. 대상 그룹을 Auto Scaling 그룹과 연결합니다. 각 리전에서 ALB를 AWS Global Accelerator 엔드포인트로 사용합니다.

C. NLB(Network Load Balancer) 및 관련 대상 그룹을 배포합니다. 대상 그룹을 Auto Scaling 그룹과 연결합니다. 각 NLB의 별칭을 가리키는 Amazon Route 53 지연 시간 레코드를 생성합니다. 지연 시간 레코드를 오리진으로 사용하는 Amazon CloudFront 배포를 생성합니다.

D. ALB(Application Load Balancer) 및 관련 대상 그룹을 배포합니다. 대상 그룹을 Auto Scaling 그룹과 연결합니다. 각 ALB의 별칭을 가리키는 Amazon Route 53 가중치 기반 레코드를 생성합니다. 가중치 기반 레코드를 오리진으로 사용하는 Amazon CloudFront 배포를 배포합니다.

정답 : A

 

  • A. NLB(Network Load Balancer)는 UDP 트래픽을 처리할 수 있으며, 이를 통해 VoIP와 같은 애플리케이션을 지원합니다. AWS Global Accelerator를 이용하면 사용자 요청이 지연 시간이 가장 짧은 지역으로 자동으로 라우팅되며, 여러 지역 간 자동화된 장애 조치도 지원합니다. 이 조합은 요구 사항을 효과적으로 충족합니다.
  • B. ALB(Application Load Balancer)는 TCP 또는 HTTP/HTTPS 트래픽에 적합하지만 UDP를 지원하지 않기 때문에 VoIP 서비스에는 적합하지 않습니다.
  • C. NLB와 Route 53 지연 시간 레코드를 사용하는 경우 장애 조치 기능이 제한적일 수 있으며, 경우에 따라 지연 시간이 아닌 DNS 캐싱으로 인해 지연 시간이 최적화되지 않을 수 있습니다.
  • D. ALB를 사용하고 Route 53의 가중치 기반 레코드를 사용하는 것도 NLB가 제공하는 UDP 지원 기능을 충족하지 못합니다.

결론적으로, A 옵션은 VoIP 서비스의 요구 사항을 충족하며 지연 시간을 최적화하고 지역 간 장애 조치를 지원합니다.

 

 

 

 

 

#030번

개발 팀은 성능 인사이트가 활성화된 일반 용도 Amazon RDS for MySQL DB 인스턴스에서 매월 리소스 집약적인 테스트를 실행합니다. 테스트는 월 48시간 동안 진행되며, 데이터베이스를 사용하는 유일한 프로세스입니다. 팀은 DB 인스턴스의 컴퓨팅 및 메모리 속성을 줄이지 않으면서 테스트 실행 비용을 줄이기를 원합니다. 어떤 솔루션이 이러한 요구 사항을 가장 비용 효율적으로 충족합니까?

A. 테스트가 완료되면 DB 인스턴스를 중지합니다. 필요한 경우 DB 인스턴스를 다시 시작합니다.
B. DB 인스턴스와 함께 Auto Scaling 정책을 사용하여 테스트가 완료되면 자동으로 크기를 조정합니다.
C. 테스트가 완료되면 스냅샷을 생성합니다. DB 인스턴스를 종료하고 필요할 때 스냅샷을 복원합니다.
D. 테스트가 완료되면 DB 인스턴스를 저용량 인스턴스로 수정합니다. 필요한 경우 DB 인스턴스를 다시 수정하십시오.

정답 : C

 

  • A는 테스트가 완료된 후 DB 인스턴스를 중지하는 방법으로, DB 인스턴스를 사용하지 않을 때 비용을 절감할 수 있습니다. 중지된 인스턴스는 스토리지 비용만 발생하며, 이 방법은 인스턴스를 완전히 종료하는 것보다 비용 효율적인 방법입니다. 사용이 필요할 때 인스턴스를 다시 시작할 수 있습니다.
  • B. DB 인스턴스와 함께 ( Auto Scaling - EC2 에서 사용 )정책을 사용하여 테스트가 완료되면 자동으로 크기를 조정합니다.
    이 방법은 RDS에 대해 Auto Scaling을 설정할 수 없기 때문에 유효하지 않습니다. RDS 인스턴스는 수동으로 크기를 조정해야 하며, 자동으로 조정할 수 있는 기능이 제한적이므로 이 방법이 비용 절감에 도움이 되지 않습니다.
  • C. 테스트가 완료되면 스냅샷을 생성합니다. DB 인스턴스를 종료하고 필요할 때 스냅샷을 복원합니다.
    스냅샷을 생성하고 인스턴스를 완전히 종료하는 것은 좋은 방법처럼 보일 수 있지만, 이미 완료된 DB 인스턴스를 다시 시작할 때 복원 시간이 필요하며, 스냅샷은 스토리지 비용이 발생합니다. 이 방식은 추가 비용과 시간을 발생시킬 수 있기 때문에 가장 비용 효율적이지 않습니다.
  • D. 테스트가 완료되면 DB 인스턴스를 저용량 인스턴스로 수정합니다. 필요한 경우 DB 인스턴스를 다시 수정합니다.
    저용량 인스턴스로 수정하는 것은 비용을 줄이는 방법이 될 수 있지만, 인스턴스의 크기를 줄이려면 다시 수정할 때마다 시간과 노력이 필요합니다. 또한, DB 인스턴스의 성능 요구 사항이 계속 충족될 수 있는지 확실하지 않으며, 이로 인해 테스트 결과에 영향을 미칠 수 있습니다. 재부팅을 하는 동안 EC2 에 있는 작업이 중지 됨. 

 

티스토리툴바