본문 바로가기
Infrastructure/Certificate

[SAP] 오답노트 3주차

RoyOps 2024. 3. 17. 17:35

SAP 오답노트 3주차

  • SAP 시험을 준비하며 틀린 문제나 부족한 부분을 정리한다.

문제

  • 솔루션 아키텍트는 회사의 보안 설정 또는 AWS Lambda 기능을 감사하고 있습니다. Lambda 함수는 Amazon Aurora 데이터베이스에서 최신 변경 사항을 검색합니다. Lambda 함수와 데이터베이스는 동일한 VPC에서 실행됩니다. Lambda 환경 변수는 Lambda 함수에 데이터베이스 자격 증명을 제공합니다.
  • Lambda 함수는 데이터를 집계하고 AWS KMS 관리형 암호화 키(SSE-KMS)를 사용한 서버 측 암호화용으로 구성된 Amazon S3 버킷에서 데이터를 사용할 수 있도록 합니다. 데이터는 인터넷을 통해 이동해서는 안 됩니다. 데이터베이스 자격 증명이 손상되면 회사에는 손상의 영향을 최소화하는 솔루션이 필요합니다.
  • 이러한 요구 사항을 충족하기 위해 솔루션 설계자는 무엇을 권장해야 합니까?

보기

  • A: Aurora DB 클러스터에서 IAM 데이터베이스 인증을 활성화합니다. IAM 데이터베이스 인증을 사용하여 함수가 데이터베이스에 액세스할 수 있도록 Lambda 함수에 대한 IAM 역할을 변경합니다. VPC에 Amazon S3용 게이트웨이 VPC 엔드포인트를 배포합니다.
  • B: Aurora DB 클러스터에서 IAM 데이터베이스 인증을 활성화합니다. IAM 데이터베이스 인증을 사용하여 함수가 데이터베이스에 액세스할 수 있도록 Lambda 함수에 대한 IAM 역할을 변경합니다. 데이터 전송 중 Amazon S3 연결에 HTTPS를 적용합니다.
  • C: AWS Systems Manager Parameter Store에 데이터베이스 자격 증명을 저장합니다. Parameter Store의 자격 증명에 대한 암호 교체를 설정합니다. 함수가 Parameter Store에 액세스할 수 있도록 Lambda 함수의 IAM 역할을 변경합니다. Parameter Store에서 자격 증명을 검색하도록 Lambda 함수를 수정합니다. VPC에 Amazon S3용 게이트웨이 VPC 엔드포인트를 배포합니다.
  • D: AWS Secrets Manager에 데이터베이스 자격 증명을 저장합니다. Secrets Manager에서 자격 증명에 대한 비밀번호 교체를 설정합니다. 함수가 Secrets Manager에 액세스할 수 있도록 Lambda 함수의 IAM 역할을 변경합니다. Secrets Manager에서 자격 증명을 검색하도록 Lambda 함수를 수정합니다. 데이터 전송 중 Amazon S3 연결에 HTTPS를 적용합니다.

정답

  • 정답: D
  • 공식 문서
  • D는 Secrets Manager를 활용하여 데이터베이스 자격 증명을 저장하고 자동으로 교체함으로써 자격 증명이 손상될 경우 영향을 최소화하는 문제를 직접적으로 해결하는 포괄적인 솔루션을 제공한다.
    • Secrets Manager에서 자격 증명을 검색하도록 람다 함수를 변경하면 환경 변수 내에 자격 증명을 저장하지 않아 보안이 강화된다.
    • S3 데이터 전송에 HTTPS를 적용하면 전송 중 데이터가 암호화된다.
  • 다른 옵션들에서 언급하는 S3용 게이트웨이 VPC 엔드포인트를 배포하는 것은 AWS 네트워크 내에서 트래픽을 유지하는 모범 사례지만, HTTPS를 적용하면 인터넷 라우팅을 피할 필요성을 명시적으로 언급하지 않고도 데이터 전송을 보호하는 데 도움이 된다.
  • Secrets Manager는 기본적으로 동일한 리전 내의 AWS 서비스에서 액세스할 때 인터넷을 통해 이동할 필요 없이 비밀에 대한 안전한 액세스를 제공한다.
  • A의 IAM 데이터베이스 인증은 기존 사용자 자격 증명을 제거하지만 나머지 IAM 자격 증명에 대한 암호 교체를 구현하지 않는다.
    • VPC 엔드포인트는 AWS 네트워크 내에서 트래픽을 유지하지만 S3로 데이터를 전송하는 동안 암호화를 시행하지 않는다.
  • 결정적으로 VPC 엔드포인트는 데이터 보안을 강화하지만, 인터넷 트래픽을 제한하지는 않는다.

문제

  • 한 회사가 AWS 클라우드에서 여러 프로젝트를 개발하고 호스팅하고 있습니다. 프로젝트는 AWS Organizations의 동일한 조직에 속한 여러 AWS 계정에 걸쳐 개발됩니다.
  • 회사는 클라우드 인프라 비용을 소유 프로젝트에 할당해야 합니다. 모든 AWS 계정을 담당하는 팀은 여러 Amazon EC2 인스턴스에 비용 할당에 사용되는 프로젝트 태그가 부족하다는 사실을 발견했습니다.
  • 문제를 해결하고 향후 이러한 문제가 발생하지 않도록 방지하기 위해 솔루션 설계자는 어떤 조치를 취해야 합니까? (3개를 선택하세요.)

보기

  • A: 각 계정에 AWS Config 규칙을 생성하여 태그가 누락된 리소스를 찾으십시오.
  • B: 프로젝트 태그가 누락된 경우 ec2:RunInstances에 대한 거부 작업을 사용하여 조직에 SCP를 생성합니다.
  • C: 조직에서 Amazon Inspector를 사용하여 태그가 누락된 리소스를 찾습니다.
  • D: 프로젝트 태그가 누락된 경우 ec2:RunInstances에 대한 거부 작업을 사용하여 각 계정에 IAM 정책을 생성합니다.
  • E: 조직이 프로젝트 태그가 누락된 EC2 인스턴스 목록을 수집할 수 있도록 AWS Config 수집기를 생성합니다.
  • F: AWS Security Hub를 사용하여 프로젝트 태그가 누락된 EC2 인스턴스 목록을 집계합니다.

정답

  • 정답: A,B,E
  • A: 각 계정에 AWS Config 규칙을 생성하여 태그가 누락된 리소스를 찾는다. AWS Config는 AWS 리소스의 구성을 평가하고 특정 태그 누락과 같이 지정된 요구 사항을 준수하지 않는 리소스를 식별할 수 있다.
    • 이는 문제가 있는 기존 리소스를 식별하는데 도움이 된다.
  • B: 프로젝트 태그가 누락된 경우 ec2:RunInstances에 대한 거부 작업을 사용하여 조직에 SCP를 생성한다.
    • SCP는 조직의 모든 계정에 권한을 적용할 수 있다. 필수 프로젝트 태그 없이 EC2 인스턴스 시작을 거부하는 SCP를 생성하면 향후 조직 수준에서 문제가 발생하는 것을 방지할 수 있다.
  • E: 조직이 프로젝트 태그가 누락된 EC2 인스턴스 목록을 수집할 수 있도록 AWS Config 수집기를 생성한다.
    • AWS Config 수집기는 여러 계정 및 지역에서 규정 준수 데이터를 집계할 수 있다.
    • 이를 통해, 필수 태그가 부족한 인스턴스를 중앙 집중식으로 볼 수 있으므로 조직 전체에서 문제를 더 쉽게 해결할 수 있다.

문제

  • 회사에는 이벤트 지속성을 위해 PostgreSQL 데이터베이스를 사용하는 온프레미스 모니터링 솔루션이 있습니다. 과도한 수집으로 인해 데이터베이스를 확장할 수 없으며 스토리지가 부족해지는 경우가 많습니다.
  • 회사는 하이브리드 솔루션을 만들고 싶어하며 이미 네트워크와 AWS 간에 VPN 연결을 설정했습니다. 솔루션에는 다음 속성이 포함되어야 합니다.
    • 운영 복잡성을 최소화하는 관리형 AWS 서비스.
    • 데이터 처리량에 맞춰 자동으로 확장되며 지속적인 관리가 필요 없는 버퍼입니다.
    • 거의 실시간으로 이벤트를 관찰하기 위한 대시보드를 생성하는 시각화 도구입니다.
    • 반구조화된 JSON 데이터 및 동적 스키마를 지원합니다.
  • 회사에서 이러한 요구 사항을 충족하는 모니터링 솔루션을 만들 수 있는 구성 요소 조합은 무엇입니까? (2개를 선택하세요.)

보기

  • A: Amazon Kinesis Data Firehose를 사용하여 이벤트를 버퍼링하세요. 이벤트를 처리하고 변환하는 AWS Lambda 함수를 생성합니다.
  • B: 이벤트를 버퍼링하기 위해 Amazon Kinesis 데이터 스트림을 생성합니다. 이벤트를 처리하고 변환하는 AWS Lambda 함수를 생성합니다.
  • C: 이벤트를 수신하도록 Amazon Aurora PostgreSQL DB 클러스터를 구성합니다. Amazon QuickSight를 사용하여 데이터베이스에서 읽고 거의 실시간 시각화 및 대시보드를 생성합니다.
  • D: 이벤트를 수신하도록 Amazon Elasticsearch Service(Amazon ES)를 구성합니다. Amazon ES와 함께 배포된 Kibana 엔드포인트를 사용하여 거의 실시간 시각화 및 대시보드를 생성합니다.
  • E: 이벤트를 수신하도록 Amazon Neptune DB 인스턴스를 구성합니다. Amazon QuickSight를 사용하여 데이터베이스에서 읽고 거의 실시간 시각화 및 대시보드를 생성합니다.

정답

  • 정답: A,D
  • Kinesis Data Firehose를 사용하면 버퍼링 또는 버퍼링 시간이라는 두 가지 방법으로 이벤트를 버퍼링할 수 있다.
    • 버퍼링 크기를 사용하면 버퍼의 최대 크기(MB) 또는 버퍼의 최대 레코드 수를 구성할 수 있다. 버퍼가 가득 차면 자동으로 데이터를 대상으로 전달한다.
  • Amazon ES는 다양한 소스로부터 실시간으로 이벤트를 수신하는 기능을 가지고 있다.
    • ES는 Kinesis Data Firehose, CloudWatch Logs, S3 등 다양한 소스에서 데이터를 수집할 수 있으므로 실시간 스트리밍 데이터를 분석하고 시각화하려는 조직을 위해 사용될 수 있다.
  • Kinesis Data Stream을 사용하여 이벤트를 버퍼링하는 것이 포함되어 있으며 이는 스트리밍 데이터 사용 사례에 유효한 솔루션이다.
    • 하지만 완전관리형 서비스인 Kinesis Data Firehose를 사용할 때보다 지속적인 관리가 더 필요하다.
    • 또한, Kinesis Data Firehose를 사용하면 회사에서 내장된 데이터 변환 및 처리 기능을 활용하여 솔루션 구현에 필요한 코드의 양을 줄일 수 있다.
    • 따라서, 운영 복잡성을 최소화하려는 요구 사항을 더 잘 충족하므로 Kinesis Data Stream보다 Kinesis Data Firehose가 더 요구 사항에 충족된다.

문제

  • 팀은 회사 전체의 행동 데이터를 수집하고 전달합니다. 이 회사는 퍼블릭 서브넷, 프라이빗 서브넷 및 인터넷 게이트웨이를 갖춘 다중 AZ VPC 환경을 실행합니다. 각 퍼블릭 서브넷에는 NAT 게이트웨이도 포함되어 있습니다.
  • 대부분의 회사 애플리케이션은 Amazon Kinesis Data Streams에서 읽고 씁니다. 대부분의 워크로드는 프라이빗 서브넷에서 실행됩니다.
  • 솔루션 설계자는 인프라를 검토해야 합니다. 솔루션 설계자는 비용을 절감하고 애플리케이션의 기능을 유지해야 합니다.
  • 솔루션 설계자는 Cost Explorer를 사용하여 EC2-기타 범주의 비용이 지속적으로 높다는 사실을 확인합니다. 추가 검토에 따르면 NatGateway-Bytes 요금으로 인해 EC2-기타 범주의 비용이 증가하는 것으로 나타났습니다.
  • 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

보기

  • A: VPC 흐름 로그를 활성화합니다. Amazon Athena를 사용하여 제거할 수 있는 트래픽에 대한 로그를 분석합니다. 보안 그룹이 높은 비용을 초래하는 트래픽을 차단하고 있는지 확인하십시오.
  • B: Kinesis Data Streams용 인터페이스 VPC 엔드포인트를 VPC에 추가합니다. 애플리케이션에 인터페이스 VPC 엔드포인트를 사용할 수 있는 올바른 IAM 권한이 있는지 확인하십시오.
  • C: VPC 흐름 로그 및 Amazon Detective를 활성화합니다. Kinesis Data Streams와 관련되지 않은 트래픽에 대한 탐지 결과를 검토합니다. 해당 트래픽을 차단하도록 보안 그룹을 구성하십시오.
  • D: Kinesis Data Streams용 인터페이스 VPC 엔드포인트를 VPC에 추가합니다. VPC 엔드포인트 정책이 애플리케이션의 트래픽을 허용하는지 확인하십시오.

정답

  • 정답: D
  • 대용량 데이터가 전달되는 Kinesis 사용 사례에서 NAT 게이트웨이의 막대한 데이터 전송 비용을 완화하기 위한 VPC 엔드포인트 정책을 사용하면 VPC 엔드포인트에 대한 액세스를 제어하는 규칙을 정의할 수 있다.
    • 엔드포인트에 액세스하도록 허용되는 소스 IP 주소 또는 IP 주소 범위는 물론 HTTP, HTTPS 또는 사용자 지정 TCP 포트와 같이 허용되는 트래픽의 유형을 지정할 수 있다.
  • 퍼블릭 인터넷을 통해 데이터를 전송하는 대신 프라이빗 VPC 연결을 통해 Kinesis Data Streams와 통신하는 애플리케이션을 허용하면, NAT 게이트웨이를 통한 데이터 전송량을 줄이고 비용을 절감할 수 있다.

문제

  • 한 소매 회사가 유럽에 온프레미스 데이터 센터를 보유하고 있습니다. 또한 이 회사는 eu-west-1 및 us-east-1 지역을 포함하는 다중 지역 AWS를 보유하고 있습니다.
  • 회사는 온프레미스 인프라에서 해당 지역 중 하나의 VPC로 네트워크 트래픽을 라우팅할 수 있기를 원합니다. 또한 회사는 해당 지역의 VPC 간에 직접 라우팅되는 트래픽을 지원해야 합니다. 네트워크에는 단일 실패 지점이 존재할 수 없습니다.
  • 이 회사는 이미 온프레미스 데이터 센터에서 2개의 1Gbps AWS Direct Connect 연결을 생성했습니다. 고가용성을 위해 각 연결은 유럽의 별도 Direct Connect 위치로 이동됩니다. 이 두 위치의 이름은 각각 DX-A 및 DX-B입니다.
  • 각 리전에는 해당 리전 내의 모든 VPC 간 트래픽을 라우팅하도록 구성된 단일 AWS Transit Gateway가 있습니다.
  • 어떤 솔루션이 이러한 요구 사항을 충족합니까?

보기

  • A: DX-A 연결에서 Direct Connect 게이트웨이로 프라이빗 VIF를 생성합니다. 고가용성을 위해 DX-B 연결에서 동일한 Direct Connect 게이트웨이로 프라이빗 VIF를 생성합니다. eu-west-1 및 us-east-1 전송 게이트웨이를 모두 Direct Connect 게이트웨이와 연결합니다. 지역 간 라우팅을 지원하려면 전송 게이트웨이를 서로 피어링하세요.
  • B: DX-A 연결에서 Direct Connect 게이트웨이로의 전송 VIF를 생성합니다. eu-west-1 전송 게이트웨이를 이 Direct Connect 게이트웨이와 연결합니다. DX-8 연결에서 별도의 Direct Connect 게이트웨이로 전송 VIF를 생성합니다. us-east-1 전송 게이트웨이를 이 별도의 Direct Connect 게이트웨이와 연결합니다. 고가용성 및 지역 간 라우팅을 지원하려면 Direct Connect 게이트웨이를 서로 피어링하세요.
  • C: DX-A 연결에서 Direct Connect 게이트웨이로 전송 VIF를 생성합니다. 고가용성을 위해 DX-B 연결에서 동일한 Direct Connect 게이트웨이로 전송 VIF를 생성합니다. eu-west-1 및 us-east-1 전송 게이트웨이를 모두 이 Direct Connect 게이트웨이와 연결합니다. 전송 게이트웨이 간에 트래픽을 라우팅하도록 Direct Connect 게이트웨이를 구성합니다.
  • D: DX-A 연결에서 Direct Connect 게이트웨이로 전송 VIF를 생성합니다. 고가용성을 위해 DX-B 연결에서 동일한 Direct Connect 게이트웨이로 전송 VIF를 생성합니다. eu-west-1 및 us-east-1 전송 게이트웨이를 모두 이 Direct Connect 게이트웨이와 연결합니다. 지역 간 라우팅을 지원하려면 전송 게이트웨이를 서로 피어링하세요.

정답

  • 정답: D

  • 두 개의 Direct Connect 연결 (DX-A, DX-B)은 각각 유럽의 별도 위치에 있으며 각 연결은 단일 Direct Connect 게이트웨이에 연결된다.
  • eu-west-1us-east-1 리전에 각각 하나의 Transit Gateway가 있으며 각 Transit Gateway는 리전 내 모든 VPC 간 트래픽을 라우팅한다.
  • 두 개의 Transit 게이트웨이가 있고 각 Transit 게이트웨이는 Direct Connect 게이트웨이와 연결된다. 두 Transit 게이트웨이는 서로 피어링되어 리전 간 라우팅을 지원한다.
  • 각 리전의 VPC는 Transit 게이트웨이에 연결된다.
  • 옵션 D는 아래와 같은 장점이 있다.
    • 고가용성: 두 개의 Direct Connect 연결과 두 개의 Transit 게이트웨이를 사용하면 단일 실패 지점없이 고가용성을 제공할 수 있다.
    • 리전 간 라우팅: Transit 게이트웨이 피어링을 통해 eu-west-1eu-east-1 리전 간 직접 라우팅을 지원한다.
    • 확장성: 추가 리전 또는 VPC를 추가하여 솔루션을 쉽게 확장할 수 있다.

문제

  • 한 회사가 AWS 클라우드에서 애플리케이션을 실행하고 있습니다. 회사의 보안 팀은 모든 신규 IAM 사용자 생성을 승인해야 합니다. 새로운 IAM 사용자가 생성되면 해당 사용자에 대한 모든 액세스 권한이 자동으로 제거되어야 합니다.
  • 그런 다음 보안 팀은 사용자를 승인하라는 알림을 받아야 합니다. 회사는 AWS 계정에 다중 리전 AWS CloudTrail 추적을 보유하고 있습니다.
  • 이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (3개를 선택하세요.)

보기

  • A: Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다. CloudTrail을 통한 AWS API 호출로 설정된 세부 유형 값과 CreateUser의 eventName을 사용하여 패턴을 정의합니다.
  • B: CreateUser 이벤트에 대한 알림을 Amazon SNS(Amazon SNS) 주제로 보내도록 CloudTrail을 구성합니다.
  • C: AWS Fargate 기술을 사용하여 Amazon Elastic Container Service(Amazon ECS)에서 실행되는 컨테이너를 호출하여 액세스를 제거합니다.
  • D: AWS Step Functions 상태 시스템을 호출하여 액세스를 제거합니다.
  • E: Amazon Simple 알림 서비스(Amazon SNS)를 사용하여 보안팀에 알립니다.
  • F: Amazon Pinpoint를 사용하여 보안 팀에 알립니다.

정답

  • 정답: A,D,E
  • CloudTrail에서 SNS를 직접 호출할 수 없으므로 B는 정답이 될 수 없다.
  • A에서 이벤트 알림을 수신하기 위한 이벤트 버스(EventBridge) 시스템을 사용할 수 있다.
    • EventBridge를 사용하면 AWS 서비스, SaaS 애플리케이션, 사용자 지정 애플리케이션 등 다용한 소스의 이벤트와 일치하는 이벤트 규칙을 생성할 수 있다.
    • 이벤트 규칙이 트리거되면 EventBridge는 이벤트를 람다 함수, SNS 토픽, SQS 큐 또는 사용자 지정 HTTP 엔드포인트와 같은 하나 이상의 대상으로 라우팅할 수 있다.
  • Step Function은 액세스 제거, 이메일 전송 등의 단계를 수행하는 워크플로를 통해 트리거될 수 있다.
    • Step Function은 람다, SNS, SQS와 같은 여러 AWS 서비스를 지원하고, 이러한 서비스를 사용하여 작업을 트리거하고 State Machine의 단계 간에 데이터를 전달할 수 있다.

문제

  • 회사에서 AWS로 마이그레이션하려고 합니다. 회사는 모든 계정과 애플리케이션에 대한 액세스를 중앙에서 관리하는 다중 계정 구조를 사용하려고 합니다. 또한 회사는 트래픽을 개인 네트워크에 유지하려고 합니다.
  • 로그인 시 MFA(Multi-Factor Authentication)가 필요하며, 사용자 그룹에는 특정 역할이 할당됩니다. 회사는 개발을 위해 별도의 계정을 만들어야 합니다.
  • 스테이징, 프로덕션 및 공유 네트워크. 프로덕션 계정과 공유 네트워크 계정은 모든 계정에 연결되어 있어야 합니다. 개발 계정과 스테이징 계정은 서로에게만 액세스할 수 있어야 합니다.
  • 솔루션 설계자가 이러한 요구 사항을 충족하려면 어떤 단계 조합을 거쳐야 합니까? (3개를 선택하세요.)

보기

  • A: AWS Control Tower를 사용하여 랜딩 존 환경을 배포합니다. 계정을 등록하고 기존 계정을 AWS Organizations의 결과 조직에 초대합니다.
  • B: 모든 계정에서 AWS Security Hub를 활성화하여 교차 계정 액세스를 관리합니다. AWS CloudTrail을 통해 결과를 수집하여 MFA 로그인을 강제합니다.
  • C: 각 계정에 전송 게이트웨이 및 전송 게이트웨이 VPC 연결을 생성합니다. 적절한 라우팅 테이블을 구성합니다.
  • D: AWS IAM Identity Center(AWS Single Sign-On)를 설정하고 활성화합니다. 기존 계정에 필요한 MFA를 사용하여 적절한 권한 집합을 만듭니다.
  • E: 모든 계정에서 AWS Control Tower를 활성화하여 계정 간 라우팅을 관리합니다. AWS CloudTrail을 통해 결과를 수집하여 MFA 로그인을 강제합니다.
  • F: IAM 사용자 및 그룹을 생성합니다. 모든 사용자에 대해 MFA를 구성합니다. Amazon Cognoto 사용자 풀과 자격 증명 풀을 설정하여 계정에 대한 액세스 및 계정 간 액세스를 관리합니다.

정답

  • A,C,D
  • A: AWS Control Tower를 사용하여 랜딩 존 환경을 배포하고 AWS Organizations의 조직에 계정을 등록하면 모든 계정과 애플리케이션에 대한 액세스를 중앙 집중식으로 관리할 수 있다.
  • C: 각 계정에 Transit 게이트웨이 및 Transit 게이트웨이 VPC 연결을 생성하고 적절한 라우팅 테이블을 구성하면 프라이빗 네트워크 트래픽이 허용되고, 프로덕션 계정과 공유 네트워크 계정이 모든 계정에 연결되는 반면 개발 및 스테이징 계정은 다음에만 연결할 수 있다.
  • D: AWS Single Sign-On을 설정 및 활성화하고 기존 계정에 필요한 MFA를 사용하여 적절한 권한 세트를 생성하면 로그인 시 다단계 인증이 가능하고 특정 역할을 사용자 그룹에 할당할 수 있다.
  • B: AWS Security Hub를 활성화하여 교차 계정 액세스를 관리하고 CloudTrail을 통해 결과를 수집하여 MFA 로그인을 강제하는 것만으로는 개발, 준비, 생산을 위한 별도의 계쩡을 생성하는 요구 사항을 충족하기에 충분하지 않다.
    • 공유 네트워크, 다른 단계와 함께 사용할 수 있지만 독립형 솔류션으로는 사용할 수 없다.
  • E: 모든 계정에서 Control Tower를 활성화하여 계쩡 간 라우팅을 관리하고 CloudTrail을 통해 결과를 수집하여 MFA 로그인을 강제하는 것만으로는 개발, 스테이징, 프로덕션 및 네트워크를 위한 별도의 계정을 생성해야 하는 요구 사항을 충족하지 않는다.
  • F: IAM 사용자 및 그룹을 생성하고 모든 사용자에 대해 MFA를 구성하고 계정 및 계정 간 액세스를 관리하기 위해 Cognito 사용자 풀 및 자격 증명 풀을 설정하면 개발, 준비, 생산 및 공유 네트워크를 위한 별도의 계정을 생성해야 하는 요구 사항이 해결되지 않는다.

문제

  • 한 회사가 AWS에서 SaaS(Software-as-a-Service) 솔루션을 구축하고 있습니다. 이 회사는 여러 AWS 지역과 동일한 프로덕션 계정에 AWS Lambda 통합을 통해 Amazon API Gateway REST API를 배포했습니다.
  • 이 회사는 고객이 초당 특정 수의 API 호출을 수행할 수 있는 용량에 대해 비용을 지불할 수 있는 계층화된 가격을 제공합니다. 프리미엄 계층은 초당 최대 3,000개의 호출을 제공하며 고객은 고유한 API 키로 식별됩니다.
  • 다양한 지역의 몇몇 프리미엄 등급 고객은 사용량이 가장 많은 시간 동안 여러 API 메서드로부터 429 요청이 너무 많다는 오류 응답을 받았다고 보고합니다. 로그에는 Lambda 함수가 호출되지 않았음을 나타냅니다.
  • 이러한 고객에게 나타나는 오류 메시지의 원인은 무엇입니까?

보기

  • A: Lambda 함수가 동시성 제한에 도달했습니다.
  • B: Lambda 함수의 동시성 지역 제한.
  • C: 회사가 API Gateway 계정의 초당 호출 한도에 도달했습니다.
  • D: 회사는 초당 호출에 대한 API 게이트웨이 기본 메서드별 제한에 도달했습니다.

정답

  • 정답: C
  • 공식 문서
  • API 게이트웨이의 기본 계정 수준 제한이 초당 요청(RPS) 10,000건이고 메서드별 기본 제한이 5,000 RPS이기 때문이다.
    • 회사의 프리미엄 계층 고객이 모든 API 메서드 및 리전에 걸쳐 초당 총 10,000개 이상의 요청을 수행하는 경우 429 요청이 너무 많습니다 라는 오류 메시지를 받게 된다.
    • 이는 API 게이트웨이 계정이 용량 제한에 도달하고 있으며 API 게이트웨이가 요청이 람다 함수에 도달하기 전에 요청을 차단하기 때문에 람다 함수가 호출되지 않음을 나타낸다.
    • 람다 함수의 동시성 제한과 동시성에 대한 리전 제한은 API 게이트웨이의 요청 비율 제한에 영향을 미치지 않으며 API 게이트웨이의 기본 메서드별 제한은 프리미엄 계층의 초당 3,000 호출보다 적은 5,000RPS이므로 다른 보기들은 옳지 않다.
  • 오류 메시지는 동시성 제한에 도달한 람다 함수와 관련이 없기 때문에 옵션 A는 올바르지 않다.
  • 오류 메시지는 동시성 리전 제한에 도달한 람다 함수와 관련이 없기 때문에 옵션 B는 올바르지 않다.
  • 오류 메시지는 회사가 초당 호출에 대한 API 게이트웨이 기본 메서드별 제한에 도달한 것과 관련이 없지만 계정 수준 제한과 관련되어 있기 때문에 옵션 D는 올바르지 않다.

문제

  • 회사에는 수백 개의 AWS 계정이 있습니다. 회사는 최근 새로운 예약 인스턴스를 구매하고 기존 예약 인스턴스를 수정하기 위한 중앙 집중식 내부 프로세스를 구현했습니다.
  • 이 프로세스에서는 예약 인스턴스를 구매하거나 수정하려는 모든 사업 단위가 조달을 위해 전담 팀에 요청을 제출해야 합니다. 이전에는 사업부가 각자의 AWS 계정에서 예약 인스턴스를 자율적으로 직접 구매하거나 수정했습니다.
  • 솔루션 설계자는 가능한 가장 안전한 방식으로 새로운 프로세스를 시행해야 합니다.
  • 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 단계 조합을 수행해야 합니까? (2개를 선택하세요.)

보기

  • A: 모든 AWS 계정이 모든 기능이 활성화된 AWS Organizations의 조직에 속해 있는지 확인하십시오.
  • B: AWS Config를 사용하여 ec2:PurchaseReservedInstancesOffering 작업 및 ec2:ModifyReservedInstances 작업에 대한 액세스를 거부하는 IAM 정책 첨부를 보고합니다.
  • C: 각 AWS 계정에서 ec2:PurchaseReservedInstancesOffering 작업과 ec2:ModifyReservedInstances 작업을 거부하는 IAM 정책을 생성합니다.
  • D: ec2:PurchaseReservedInstancesOffering 작업 및 ec2:ModifyReservedInstances 작업을 거부하는 SCP를 생성합니다. SCP를 조직의 각 OU에 연결합니다.
  • E: 모든 AWS 계정이 통합 결제 기능을 사용하는 AWS Organizations 조직의 일부인지 확인하십시오.

정답

  • 정답: A,D
  • A: 모든 AWS 계정이 AWS Organizations의 조직에 속하도록 함으로써 계정을 중앙 집중식으로 관리하고 제어할 수 있다. 이를 통해 전담 팀에 모든 계정에 걸쳐 정책을 관리하고 시행할 수 있는 기능을 제공함으로써 새로운 구매 프로세스를 시행하는 데 도움이 될 수 있다.
  • D: ec2:PurchaseReservedInstanceOfferingec2:ModifyReservedInstances 작업에 대한 액세스를 거부하는 SCP(서비스 제어 정책)를 생성하여 새로운 중앙 집중식 구매 프로세스를 시행한다.
    • SCP를 조직 내의 각 OU(조직 단위)에 연결하면 모든 사업 단위가 새로운 프로세스를 준수하게 된다.
  • AWS Config 정책과 IAM 정책은 각각 계정의 리소스에 대한 액세스를 모니터링하고 관리하는 데 사용되기 때문이다. 예약 인스턴스 구매를 위한 새로운 프로세스를 시행하지 않는다.

참고한 강의

저작자표시 비영리 변경금지

'Infrastructure > Certificate' 카테고리의 다른 글

[SAP] 오답노트 2주차  (0) 2024.02.26
[SAP] 오답노트 1주차  (0) 2024.02.18
[DOP] 목차  (0) 2024.02.05
[DOP] Other Services  (0) 2024.02.05
[DOP] Security & Compliance  (0) 2024.02.04

'Infrastructure/Certificate' Related Articles

티스토리툴바