AWS SAA-C02 연습문제

1. Aurora는 MySQL 및 PostgreSQL과 호환이 가능하다. Aurora의 엔드포인트에는 Cluster 과 Reader 및 Instance 가 있다. 그 중 Reader 엔드포인트는 사용가능한 읽기전용 복제본 풀 전체에 걸쳐 연결 부하를 분산한다. 여기서 읽기 쿼리를 오프로드하여 기본 DB 인스턴스의 로드를 줄여 성능을 향상 시킨다. 

 

* Cluster Endpoint : 애플리케이션을 해당 DB 클러스터의 현재 기본 DB 인스턴스에 연결한다. 애플리케이션은 이 인스턴스를 읽고 쓸 수 있다. 

Instance Endpoint : 클러스터의 특정 인스턴스에 연결한다. 클라이언트는 Aurora가 연결 배포를 처리하도록 하는 대신 쿼리할당을 세부적으로 제어할 수 있다. 

 

2. Aurora Serverless를 사용하면 데이터베이스 인스턴스 유형을 지정하지 않고 시작이 가능한데, 간헐적 액세스에도 적합한 서비스로 사용량이 없을땐 값을 지불하지 않는다. Aurora Serverless의 AutoScaling은 일반적으로 30초이내의 다운타임이 걸려 배포된다. (Aurora는 인스턴스 유형을 지정해야하고, Aurora Auto Scaling에는 가동중지시간이없다)

 

3. 서비스 제어 정책(SCP)는 조직을 관리하는데 사용할 수 있는 정책유형이다. SCP는 조직의 모든 계정에 대해 사용 가능한 최대 권한에 대해 중앙제어를 제공하므로 계정이 조직의 액세스 제어 정책(SCP)를 준수하도록 할 수 있다. 이때 SCP 단독으로 권한을 부여하는 것은 아니며, IAM 및 리소스 기반 정책이 허용하는 권한과의 논리적 교집합으로 권한 범위가 설정된다. 

 

4. Kinesis Data Stream은 Lambda와 함께 연결되어 처리 작업을 수행 가능하다. KDS는 데이터 수집을 위해 1~7일(최대 365일) 동안 저장이 가능하여 공급업체가 수신하는 503 오류를 줄임으로 Lambda가 처리할 수 있는 충분한 시간을 제공한다. 또한 람다는 확장이 가능하다.

 

5. 애플리케이션이 이미지를 얻을때 SQS에 메시지를 쓰고 대기열의 현재 메시지수에 대한 사용자지정 CloudWatch 지표를 사용하여 인스턴스 축소 보호 및 동적 조정 정책이 있는 Auto Scaling 그룹의 EC2 스팟 인스턴스로 이미지를 처리한다. 

중단의 위험이 있는 '스팟 인스턴스'는 원래 옳지 않지만 , SQS와 함께라면 최대의 비용 효울을 내며 정상 워크로드 작업을 수행할 수 있다. 왜냐하면 스팟 인스턴스가 중단된다 하더라도 SQS 의 대기열에서 메시지를 가지고 있기 때문이다. 

 

6. Transit Gateway를 사용하려면 3개의 VPC를 모두 Transit Gateway의 라우팅 테이블에 연결해야한다. 참고로 Transit Gateway는 DX에 연결하여 VPC 전체에서 리소스를 격리하는데 사용할 수 있으며 확장가능한 방법이다. 

 

7. S3에 객체를 업로드하려면 콘솔, CLI 혹인 SDK의 호출여부에 관계없이 put 요청을 사용하는데 이때 put 요청을 통해 업로드시 객체를 암호화하려면 SSE-C, SSE-S3 혹은 SSE-KMS를 사용해 객체를 암호화하도록 S3에 지시하는 요청에 'x-amz-server-side-encryption'이라는 헤더를 추가하면 된다. 

 

8. SQS와 Kinesis 둘 다 데이터를 순서대로 수신한다. '실시간'에 적합한 것은 Kinesis이다.

 

9. 'AWS에서 제어' == 감사 및 확장에 대해 AWS가 모두 관여

DynamoDB Stream을 감사에 사용할 수 있지만, AWS에서 직접 관리하는 감사에는 사용할 수 없다.

Redshift는 데이터베이스가 아닌 데이터 레이크이다.

 

10. '동일한 하드웨어를 가진 노드 그룹화는 지양'을 위해서는 분산 배치 그룹을 사용한다. 클러스터와 파티션 배치 그룹은 EC2 인스턴스를 논리적으로 그룹화시키기 때문이다...

 

* EC2 배치 전략에는 현재 클러스터, 분산(spread), 파티션의 세종류가 존재한다. 

- 클러스터 배치 전략 : 동일한 파티션, 동일한 리전안에 인스턴스를 배치하는 전략이다. 인스턴스간 물리적 거리가 극도로 짧기 때문에 네트워크 성능을 최대한 끌어올릴 수 있다는 장점이 있지만 한 파티션에 문제가 생기면 모든 인스턴스에 문제가 생길 수 있다는 치명적인 위험이 존재한다. 극한으로 낮은 지연률과 높은 네트워크 처리량이 필요한 어플리케이션을 운영하는데 적합하다. 

- 분산 배치 전략 : 파티션당 하나의 인스턴스를 배치하고, 여러 AZ에 분산해 배치하는 전략이다. 분산 전략은 클러스터 전략과는 달리 가용성에 초점을 맞춘 전략으로, 하나의 리전이나 AZ에 문제가 생겨도 서비스 운영에 지장이 없다. 그러나 AZ당 최대 7개의 인스턴스만을 배치할 수 있다는 한계 존재.

- 파티션 배치 전략 : 클러스터 전략과 분산 전략의 장점을 적절히 섞은 것으로, 여러 AZ안에 파티션을 두고 파티션 안에서 여러 인스턴스를 클러스터 전략처럼 배치할 수 있는 전략이다.  동일한 파티션 안에 인스턴스를 배치해 클러스터의 이점을 가지면서 여러 AZ에 파티션을 분산 배치할수 있는 전략이다. 각 파티션은 다른 파티션과는 완전히 격리된 환경으로 한 파티션에 장애가 발생해도 다른 파티션에는 영향을 미치지 않는다. 

 

11. CloudWatch 알람 작업을 사용하면 EC2 인스턴스를 자동으로 중지, 종료, 재부팅 혹은 복구하는 알람을 생성할 수 있다. 또한 인스턴스를 더 이상 실행할 필요가 없는 경우에 중지 또는 종료 작업을 통해 비용 절감도 가능하다. 재부팅 및 복구 작업 중 시스템 장애가 발생한 경우 인스턴스를 자동으로 재부팅하거나 새로운 하드웨어로 인스턴스를 복구한다. 

 

12. 파일을 내부적으로 공유해야하고 Active Directory를 사용중이라고 할때 절차 개선시 이전과 동일한 사용자 권한을 유지하기를 원하기 때문에 FSx for Windows File Server를 사용하는 것이 옳다. 

 

13. '다른 AWS 고객이 데이터에 액세스 시 비용 최소화'를 하려면 데이터가 있는 S3 버킷을 요청자 지불 버킷으로 구성시 요청자가 버킷 소유자 대신 요청 및 데이터 다운로드 비용을 지불할수 있기에 비용은 0원이 된다. 

 

14. aws 람다 함수를 사용해서 S3에서 데이터를 검색 및 해독할때, 해당 파일이 AWS KMS CMK용 고객 마스터키를 사용하여 암호화된다고 할때 권한 설계방법?

-> KMS 키 정책에서 람다 IAM 역할에 대한 암호해독권한을 부여한다. 

-> kms:decrypt 권한이 있는 새 IAM 역할을 생성하고 실행 역할을 람다함수에 연결한다.  

15. 온프레미스의 장애시 AWS에서의 장애조치 솔루션이란 AutoScaling과 ALB를 통해 가용성 및 탄력성을 확보하고 Storage Gateway를 통해 S3에 데이터를 저장하여 AWS와 온프레미스간의 일관된 데이터 저장을 한다.