dev.Log
AWS SAA-C02 연습문제 본문
1. 임시 자격 증명은 자격 증명 연동, 위임, 교차 계정 액세스 및 IAM 역할과 관련된 시나리오에서 유용합니다. 이 예에서는 SSO(Single Sign-On) 기능도 설정해야 한다는 점을 고려하여 엔터프라이즈 ID 연합이라고 합니다.
- 페더레이션 프록시 또는 ID 공급자 설정
- 임시 토큰을 생성하도록 AWS Security Token Service 설정
- 버킷에 액세스하기 위한 IAM 역할 및 IAM 정책을 구성합니다.
엔터프라이즈 자격 증명 연동에서는 조직 네트워크의 사용자를 인증한 다음 새 AWS 자격 증명을 생성하고 별도의 사용자 이름과 암호로 로그인하도록 요구하지 않고 해당 사용자에게 AWS에 대한 액세스를 제공할 수 있습니다. 이를 임시 액세스에 대한 SSO(Single Sign-On) 접근 방식이라고 합니다. AWS STS는 Microsoft AD FS를 사용하여 Microsoft Active Directory를 활용할 수 있는 SAML(Security Assertion Markup Language) 2.0과 같은 개방형 표준을 지원합니다. SAML 2.0을 사용하여 사용자 ID 연합을 위한 자체 솔루션을 관리할 수도 있습니다.
액세스를 제공하기 위해 타사 솔루션을 사용할 필요가 없기 때문에 Atlassian Crowd, OKTA, OneLogin 및 기타 여러 타사 Single Sign-On 솔루션을 사용하는 것은 올바르지 않습니다. AWS는 이러한 상황에서 사용할 수 있는 필수 도구를 이미 제공하고 있습니다.
Amazon WorkDocs를 사용하여 각 개별 사용자를 S3의 지정된 사용자 폴더에 매핑하여 개인 문서에 액세스하는 것은 이 특정 시나리오에 대해 Amazon S3를 Amazon WorkDocs와 통합하는 직접적인 방법이 없기 때문에 올바르지 않습니다. Amazon WorkDocs는 완전히 관리되는 안전한 콘텐츠 생성, 저장 및 협업 서비스입니다. Amazon WorkDocs를 사용하면 콘텐츠를 쉽게 생성, 편집 및 공유할 수 있습니다. 또한 AWS에 중앙 집중식으로 저장되기 때문에 어느 기기에서나 액세스할 수 있습니다.
S3 버킷의 폴더에 액세스해야 하는 기업 디렉터리의 사용자 1200명 각각에 대해 일치하는 IAM 사용자를 설정하는 것은 그렇게 많은 IAM 사용자를 생성할 필요가 없기 때문에 올바르지 않습니다. 또한 계정이 AD 또는 LDAP 디렉터리와 통합되기를 원하므로 IAM 사용자는 이러한 기준에 맞지 않습니다.
2. NAT 게이트웨이는 사설 서브넷의 리소스가 인터넷에 액세스할 수 있도록 하는 고가용성 관리형 NAT(Network Address Translation) 서비스입니다. NAT 게이트웨이는 특정 가용 영역에서 생성되고 해당 영역에서 중복으로 구현됩니다.
프라이빗 서브넷의 인스턴스가 인터넷이나 다른 AWS 서비스에 연결할 수 있도록 하려면 퍼블릭 서브넷에 NAT 게이트웨이를 생성해야 하지만 인터넷이 해당 인스턴스와의 연결을 시작하지 못하도록 해야 합니다. 여러 가용 영역에 리소스가 있고 하나의 NAT 게이트웨이를 공유하고 NAT 게이트웨이의 가용 영역이 다운되면 다른 가용 영역의 리소스는 인터넷 액세스를 잃게 됩니다. 가용 영역 독립 아키텍처를 생성하려면 각 가용 영역에서 NAT 게이트웨이를 생성하고 리소스가 동일한 가용 영역에서 NAT 게이트웨이를 사용하도록 라우팅을 구성하십시오. 프라이빗 서브넷의 올바른 인스턴스를 연결하려면 퍼블릭 서브넷이 아닌 프라이빗 서브넷에서 라우팅 테이블을 구성해야 하기 때문입니다.
3. CloudWatch에는 모니터링에 사용할 수 있는 Amazon EC2 지표가 있습니다. CloudWatch 에이전트를 설치하여 Amazon EC2 인스턴스에서 더 많은 시스템 수준 지표를 수집할 수도 있습니다. 설정할 수 있는 맞춤 측정항목 목록은 다음과 같습니다.
- 메모리 활용
- 디스크 스왑 활용
- 디스크 공간 활용
- 페이지 파일 활용
- 로그 수집
EC2 인스턴스의 CPU 사용률, EC2 인스턴스의 디스크 읽기 활동 및 EC2 인스턴스의 네트워크 패킷은 모두 기본적으로 CloudWatch에서 쉽게 사용할 수 있다.
4. Scale-in Policy
기본 종료 정책은 네트워크 아키텍처가 가용 영역을 고르게 확장할 수 있도록 설계되었습니다. 기본 종료 정책에 따라 Auto Scaling 그룹의 동작은 다음과 같습니다.
1. 여러 가용 영역에 인스턴스가 있는 경우 인스턴스가 가장 많은 가용 영역과 축소로부터 보호되지 않는 인스턴스가 하나 이상 있는 가용 영역을 선택합니다. 이 수의 인스턴스가 있는 가용 영역이 두 개 이상 있는 경우 가용 영역을 선택합니다. 가장 오래된 시작 구성을 사용하는 인스턴스.
2. 선택한 가용 영역에서 가장 오래된 시작 구성을 사용하는 보호되지 않은 인스턴스를 결정합니다. 그러한 인스턴스가 하나 있으면 종료하십시오.
3. 위의 기준에 따라 종료할 인스턴스가 여러 개인 경우 다음 청구 시간에 가장 가까운 비보호 인스턴스를 결정합니다. (이렇게 하면 EC2 인스턴스의 사용을 극대화하고 Amazon EC2 사용 비용을 관리하는 데 도움이 됩니다.) 이러한 인스턴스가 하나 있으면 종료합니다.
4. 다음 청구 시간에 가장 가까운 보호되지 않은 인스턴스가 두 개 이상 있는 경우 이러한 인스턴스 중 하나를 무작위로 선택합니다.
5. AWS Lake Formation은 안전한 데이터 레이크를 며칠 만에 쉽게 설정할 수 있는 서비스입니다. 데이터 레이크는 모든 데이터를 원래 형식으로 그리고 분석을 위해 준비된 상태로 저장하는 중앙 집중식의 선별된 보안 리포지토리입니다. 데이터 레이크를 사용하면 데이터 사일로를 무너뜨리고 다양한 유형의 분석을 결합하여 통찰력을 얻고 더 나은 비즈니스 결정을 내릴 수 있습니다.
Amazon S3는 Lake Formation의 스토리지 계층을 형성합니다. 이미 S3를 사용하고 있다면 일반적으로 데이터가 포함된 기존 S3 버킷을 등록하는 것으로 시작합니다. Lake Formation은 데이터 레이크에 대한 새 버킷을 만들고 데이터를 가져옵니다. AWS는 항상 이 데이터를 귀하의 계정에 저장하며 귀하만 직접 액세스할 수 있습니다. AWS Lake Formation은 사용 가능한 데이터 세트와 적절한 비즈니스 애플리케이션을 설명하는 데이터 카탈로그를 생성하는 데 사용할 수 있는 AWS Glue와 통합됩니다. Lake Formation을 사용하면 세분화된 수준에서 간단한 "데이터에 대한 권한 부여 및 취소" 세트로 정책을 정의하고 데이터 액세스를 제어할 수 있습니다. 연동을 사용하여 IAM 사용자, 역할, 그룹 및 Active Directory 사용자에게 권한을 할당할 수 있습니다. 버킷 및 객체가 아닌 카탈로그 객체(예: 테이블 및 열)에 대한 권한을 지정합니다.
6. DynamoDB 스트림은 Amazon DynamoDB 테이블의 항목 변경 사항에 대한 정보의 순서화된 흐름입니다. 테이블에서 스트림을 활성화하면 DynamoDB는 테이블의 데이터 항목에 대한 모든 수정 사항에 대한 정보를 캡처합니다.
애플리케이션이 테이블의 항목을 생성, 업데이트 또는 삭제할 때마다 DynamoDB Streams는 수정된 항목의 기본 키 속성으로 스트림 레코드를 씁니다. 스트림 레코드에는 DynamoDB 테이블의 단일 항목에 대한 데이터 수정에 대한 정보가 포함됩니다. 스트림 레코드가 수정된 항목의 "이전" 및 "이후" 이미지와 같은 추가 정보를 캡처하도록 스트림을 구성할 수 있습니다.
Amazon DynamoDB는 AWS Lambda와 통합되므로 DynamoDB 스트림의 이벤트에 자동으로 응답하는 코드 조각인 트리거를 생성할 수 있습니다. 트리거를 사용하면 DynamoDB 테이블의 데이터 수정에 반응하는 애플리케이션을 구축할 수 있습니다.
테이블에서 DynamoDB 스트림을 활성화하면 스트림 ARN을 작성한 Lambda 함수와 연결할 수 있습니다. 테이블의 항목이 수정된 직후 테이블의 스트림에 새 레코드가 나타납니다. AWS Lambda는 스트림을 폴링하고 새 스트림 레코드를 감지하면 Lambda 함수를 동기적으로 호출합니다. Lambda 함수는 알림 보내기 또는 워크플로 시작과 같이 지정한 모든 작업을 수행할 수 있습니다.
따라서 이 시나리오의 정답은 DynamoDB 스트림을 활성화하고 AWS Lambda 트리거를 생성하고 Lambda 함수가 런타임에 필요로 하는 모든 권한을 포함하는 IAM 역할이라는 옵션입니다. 스트림 레코드의 데이터는 Lambda 함수에 의해 처리된 다음 이메일을 통해 구독자에게 알리는 SNS 주제에 메시지를 게시합니다.
7. 회사에서 회사 Active Directory를 사용하고 있다는 점을 고려할 때, 보다 쉬운 통합을 위해서는 AWS Directory Service AD Connector를 사용하는 것이 가장 좋습니다. 또한 회사 Active Directory의 그룹을 사용하여 역할이 이미 할당되어 있으므로 IAM 역할도 함께 사용하는 것이 좋습니다. AWS Directory Service AD Connector를 통해 VPC와 통합되면 Active Directory의 사용자 또는 그룹에 IAM 역할을 할당할 수 있습니다. AWS Directory Service는 Amazon Cloud Directory 및 Microsoft Active Directory(AD)를 다른 AWS 서비스와 함께 사용할 수 있는 다양한 방법을 제공합니다. 디렉터리는 사용자, 그룹 및 장치에 대한 정보를 저장하고 관리자는 이를 사용하여 정보 및 리소스에 대한 액세스를 관리합니다. AWS Directory Service는 클라우드에서 기존 Microsoft AD 또는 LDAP(Lightweight Directory Access Protocol) 인식 애플리케이션을 사용하려는 고객에게 다양한 디렉터리 선택을 제공합니다. 또한 사용자, 그룹, 장치 및 액세스를 관리하기 위해 디렉토리가 필요한 개발자에게 동일한 선택을 제공합니다.
AWS Directory Service Simple AD는 사용자 계정 및 그룹 멤버십 관리, 그룹 정책 생성 및 적용, Amazon EC2 인스턴스에 안전하게 연결, Kerberos 제공 기능을 포함하여 AWS Managed Microsoft AD에서 제공하는 기능의 하위 집합을 제공하기 때문에 올바르지 않습니다. SSO(Single Sign-On) 기반. 이 시나리오에서 사용하기에 더 적합한 구성 요소는 온-프레미스 Microsoft Active Directory로 디렉터리 요청을 리디렉션할 수 있는 디렉터리 게이트웨이이기 때문에 AD 커넥터입니다.
IAM 그룹은 IAM 사용자의 모음일 뿐이므로 올바르지 않습니다. 그룹을 사용하면 여러 사용자에 대한 권한을 지정할 수 있으므로 해당 사용자의 권한을 더 쉽게 관리할 수 있습니다. 이 시나리오에서는 AWS Directory Service 리소스를 생성할 수 있는 권한에 IAM 역할을 사용하는 것이 더 적합합니다.
8. 일기예보 애플리케이션은 버지니아주에 있기 때문에 모든 데이터를 동일한 AWS 리전에 전송해야 합니다. Amazon S3 Transfer Acceleration을 사용하면 더 큰 객체의 장거리 전송을 위해 Amazon S3와 주고받는 콘텐츠 전송 속도를 최대 50-500%까지 높일 수 있습니다. 멀티파트 업로드를 사용하면 단일 객체를 파트 세트로 업로드할 수 있습니다. 객체의 모든 부분이 업로드되면 Amazon S3는 데이터를 단일 객체로 표시합니다. 이 접근 방식은 모든 데이터를 집계하는 가장 빠른 방법입니다. 따라서 정답은 대상 버킷에서 Transfer Acceleration을 활성화하고 Multipart Upload를 사용하여 수집된 데이터를 업로드하는 것입니다.
Site-to-Site VPN은 온프레미스 네트워크와 Amazon VPC 간의 보안 연결을 설정하는 데만 사용됩니다. 또한 이 접근 방식은 데이터를 전송하는 가장 빠른 방법이 아닙니다. Amazon S3 Transfer Acceleration을 사용해야 합니다.
8. 보안 그룹은 인스턴스가 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. VPC에서 인스턴스를 시작할 때 최대 5개의 보안 그룹을 인스턴스에 할당할 수 있습니다. 보안 그룹은 서브넷 수준이 아니라 인스턴스 수준에서 작동합니다. 따라서 VPC의 서브넷에 있는 각 인스턴스를 서로 다른 보안 그룹 세트에 할당할 수 있습니다. 요구 사항은 전체 네트워크가 아닌 클라이언트의 개별 IP만 허용하는 것입니다. 따라서 적절한 CIDR 표기법을 사용해야 합니다. /32는 하나의 IP 주소를 나타내고 /0은 전체 네트워크를 나타냅니다. SSH 프로토콜은 TCP와 포트 22를 사용합니다.