[SAA] Examtopics 오답 문제 정리(301-500)

#301. 대학 연구실에서 온프레미스 Windows 파일 서버에서 Amazon FSx for Windows File Server로 30TB의 데이터를 마이그레이션해야 합니다. 연구실에는 대학의 다른 여러 부서가 공유하는 1Gbps 네트워크 링크가 있습니다.

연구실은 데이터 전송 성능을 극대화하는 데이터 마이그레이션 서비스를 구현하려고 합니다. 그러나 연구실은 다른 부서에 미치는 영향을 최소화하기 위해 서비스에서 사용하는 대역폭 양을 제어할 수 있어야 합니다. 데이터 마이그레이션은 앞으로 5일 이내에 이루어져야 합니다.

어떤 AWS 솔루션이 이러한 요구 사항을 충족할까요?

A. AWS 스노우콘
B. Amazon FSx 파일 게이트웨이
C. AWS 데이터 동기화 최다 투표
D. AWS Transfer 제품군

 

정답: C

 

옵션 A - AWS Snowcone은 네트워크 대역폭이 제한될 때 물리적으로 데이터를 전송하는 데 더 적합합니다. 5일 이내에 전송을 완료하지 않습니다. 

옵션 B - Amazon FSx File Gateway는 Amazon FSx에 저장된 파일에 대한 액세스만 제공하고 온프레미스에서 FSx로 실제 데이터 마이그레이션을 수행하지 않습니다. 

옵션 D - AWS Transfer Family는 FTP, FTPS 및 SFTP를 통해 파일을 전송하기 위한 것입니다. 30TB를 전송하고 진행 상황을 모니터링하려면 스크립팅이 필요할 수 있으며 대역폭 제어가 부족합니다.

 

AWS DataSync는 온프레미스 스토리지와 Amazon FSx for Windows File Server 간에 대량의 데이터를 고속으로 복사할 수 있는 데이터 전송 서비스입니다. 데이터 전송 중에 사용되는 대역폭 양을 제어할 수 있습니다. • DataSync는 소스 및 대상의 에이전트를 사용하여 네트워크를 통해 파일 및 파일 메타데이터를 자동으로 복사합니다. 이를 통해 데이터 전송을 최적화하고 네트워크 대역폭에 미치는 영향을 최소화합니다. • DataSync를 사용하면 필요에 맞게 데이터 전송을 예약하고 전송 속도를 구성할 수 있습니다. 대역폭 사용량을 제어하면서 5일 이내에 30TB를 전송할 수 있습니다. • DataSync는 중단된 전송을 재개하고 데이터를 검증하여 무결성을 보장할 수 있습니다. 데이터 전송의 진행 상황과 성능에 대한 자세한 모니터링 및 보고를 제공합니다.

---

#303. 한 회사가 Amazon Elastic Container Service(Amazon ECS) 클러스터에 배포된 새 애플리케이션을 시작하고 ECS 작업에 Fargate 시작 유형을 사용하고 있습니다. 회사에서는 애플리케이션 출시 시 높은 트래픽이 예상되므로 CPU 및 메모리 사용량을 모니터링하고 있습니다. 그러나 회사는 활용도가 감소하면 비용을 절감하려고 합니다.

솔루션 설계자는 무엇을 추천해야 합니까?

A. Amazon EC2 Auto Scaling을 사용하면 이전 트래픽 패턴을 기반으로 특정 기간에 확장할 수 있습니다.
B. AWS Lambda 함수를 사용하여 Amazon CloudWatch 경보를 트리거하는 메트릭 위반에 따라 Amazon ECS를 확장합니다.
C. ECS 지표 위반으로 인해 Amazon CloudWatch 경보가 트리거되면 간단한 확장 정책과 함께 Amazon EC2 자동 확장을 사용하여 확장합니다.
D. ECS 메트릭 위반으로 인해 Amazon CloudWatch 알람이 트리거되면 대상 추적 정책과 함께 AWS Application Auto Scaling을 사용하여 확장합니다.

 

정답 : D

 

이는 Fargate에서 실행 중이므로 EC2 확장(A 및 C)이 종료되었습니다. 람다(B)는 너무 복잡합니다.

https://docs.aws.amazon.com/autoscaling/application/userguide/what-is-application-auto-scaling.html

---

#306. 한 회사가 Amazon EC2 인스턴스에서 실행되는 지연에 민감한 애플리케이션에 대한 인메모리 데이터베이스를 실행하려고 합니다. 해당 애플리케이션은 분당 100,000개 이상의 트랜잭션을 처리하며 높은 네트워크 처리량이 필요합니다. 솔루션 아키텍트는 데이터 전송 요금을 최소화하는 비용 효율적인 네트워크 설계를 제공해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 동일한 AWS 지역 내의 동일한 가용 영역에서 모든 EC2 인스턴스를 시작하십시오. EC2 인스턴스를 시작할 때 클러스터 전략으로 배치 그룹을 지정합니다.
B. 동일한 AWS 지역 내의 다양한 가용 영역에서 모든 EC2 인스턴스를 시작합니다. EC2 인스턴스를 시작할 때 파티션 전략으로 배치 그룹을 지정합니다.
C. 네트워크 활용률 목표에 따라 다양한 가용성 영역에서 EC2 인스턴스를 시작하기 위해 자동 크기 조정 그룹을 배포합니다.
D. 다양한 가용 영역에서 EC2 인스턴스를 시작하기 위한 단계적 조정 정책을 사용하여 Auto Scaling 그룹을 배포합니다.

 

정답: A

 

단일 AZ 내에서 인스턴스를 시작하고 클러스터 배치 그룹을 사용하면 네트워크 지연 시간이 가장 짧고 인스턴스 간 대역폭이 가장 높습니다.

이는 인메모리 데이터베이스 및 처리량이 높은 애플리케이션의 성능을 극대화합니다.

• 동일한 AZ 및 배치 그룹에 있는 인스턴스 간 통신은 무료이므로 데이터 전송 비용이 최소화됩니다. AZ 간 및 공용 IP 트래픽에는 요금이 부과될 수 있습니다.

• 클러스터 배치 그룹을 사용하면 인스턴스를 AZ 내에서 서로 가깝게 배치하여 필요한 높은 네트워크 처리량을 허용할 수 있습니다. 파티션 그룹은 AZ에 걸쳐 있으므로 대역폭이 줄어듭니다.

• 영역 간 Auto Scaling은 AZ에서 데이터 전송 비용을 증가시키는 인스턴스를 시작할 수 있습니다. 네트워크 처리량을 줄여 성능에 영향을 줄 수 있습니다.

 

옵션 B - 파티션 배치 그룹이 AZ에 걸쳐 있어 인스턴스 간 네트워크 대역폭이 감소하고 비용이 증가할 가능성이 있습니다. 

옵션 C - 자동 확장만으로는 이 사용 사례에 필요한 네트워크 처리량과 비용 제어가 보장되지 않습니다. AZ에서 시작하면 데이터 전송 요금이 증가할 수 있습니다. 

옵션 D - 단계적 확장 정책은 메트릭만으로 시작할 인스턴스 수를 결정합니다. 시작 후 인스턴스 간 네트워크 연결과 비용을 제어할 수 없습니다.

---

#307. 주로 사내에서 애플리케이션 서버를 운영하는 한 회사가 AWS로 마이그레이션하기로 결정했습니다. 이 회사는 사내에서 인터넷 소형 컴퓨터 시스템 인터페이스(iSCSI) 스토리지를 확장할 필요성을 최소화하고자 합니다. 이 회사는 최근에 액세스한 데이터만 로컬에 저장되기를 원합니다.

이 회사는 이러한 요구 사항을 충족하기 위해 어떤 AWS 솔루션을 사용해야 합니까?

A. Amazon S3 파일 게이트웨이
B. AWS 스토리지 게이트웨이 테이프 게이트웨이
C. AWS Storage Gateway Volume Gateway 저장 볼륨
D. AWS Storage Gateway 볼륨 게이트웨이 캐시 볼륨

 

정답: D

 

• 볼륨 게이트웨이 캐시 볼륨은 전체 데이터 세트를 S3에 저장하는 동시에 최근에 액세스한 데이터의 일부를 로컬 스토리지에 캐시로 유지합니다. 이는 핫 데이터를 로컬에 유지하면서 온프레미스 스토리지 요구 사항을 최소화하려는 목표를 충족합니다. 

• 캐시는 자주 액세스하는 데이터에 대한 짧은 지연 시간 액세스를 제공하는 동시에 전체 데이터 세트의 장기 보존은 S3에서 내구성 있고 비용 효율적으로 제공됩니다. 

• 캐시에 사용되는 로컬 스토리지의 양을 제어하면서 자주 액세스하지 않는 데이터에 대해 S3에서 거의 무제한의 스토리지를 얻을 수 있습니다. 이는 온프레미스 스토리지 확장을 단순화합니다. 

• 볼륨 게이트웨이 캐시 볼륨은 온프레미스 애플리케이션 서버의 iSCSI 연결을 지원하므로 원활한 마이그레이션 환경이 가능합니다. 서버는 로컬 캐시와 S3 스토리지 볼륨에 iSCSI LUN으로 액세스합니다.

 

옵션 A - S3 파일 게이트웨이는 S3의 데이터에 파일 인터페이스(NFS/SMB)만 제공합니다. 블록 스토리지를 지원하지 않거나 최근에 액세스한 데이터를 로컬로 캐시하지 않습니다. 

옵션 B - 테이프 게이트웨이는 S3의 가상 테이프 카트리지에 장기 백업 및 보관하도록 설계되었습니다. 저지연 액세스를 위한 기본 스토리지 볼륨이나 로컬 캐시를 제공하지 않습니다. 

옵션 C - 볼륨 게이트웨이 저장 볼륨은 전체 데이터 세트를 로컬로 보관한 다음 비동기적으로 S3에 백업합니다. 이는 온프레미스 스토리지 요구 사항을 최소화한다는 목표를 충족하지 못합니다.

---

#318. 한 회사가 최근 전체 IT 환경을 AWS 클라우드로 마이그레이션했습니다. 이 회사는 사용자가 적절한 변경 제어 프로세스를 사용하지 않고 과도한 Amazon EC2 인스턴스를 프로비저닝하고 보안 그룹 규칙을 수정하고 있다는 사실을 발견했습니다. 솔루션 아키텍트는 이러한 인벤토리와 구성 변경을 추적하고 감사하기 위한 전략을 고안해야 합니다. 솔루션 아키텍트는

이러한 요구 사항을 충족하기 위해 어떤 조치를 취해야 합니까? (두 가지를 선택하세요.)

A. AWS CloudTrail을 활성화하고 감사에 사용하십시오.
B. Amazon EC2 인스턴스에 대해 데이터 수명 주기 정책을 사용합니다.
C. AWS Trusted Advisor를 활성화하고 보안 대시보드를 참조하세요.
D. AWS Config를 활성화하고 감사 및 규정 준수 목적으로 규칙을 생성합니다.
E. AWS CloudFormation 템플릿을 사용하여 이전 리소스 구성을 복원합니다.

 

정답: A, D

 

A. AWS CloudTrail을 활성화하고 감사에 사용하십시오. 

CloudTrail은 AWS Management Console, AWS 명령줄 인터페이스(CLI), AWS SDK 및 API를 통해 수행된 작업을 포함하여 AWS 계정 활동의 이벤트 기록을 제공합니다. CloudTrail을 활성화함으로써 회사는 사용자 활동과 AWS 리소스 변경 사항을 추적하고 내부 정책 및 외부 규정 준수 여부를 모니터링할 수 있습니다. 

 

D. AWS Config를 활성화하고 감사 및 규정 준수 목적으로 규칙을 생성합니다. 

AWS Config는 계정의 AWS 리소스에 대한 자세한 인벤토리를 제공하고 해당 리소스 구성의 변경 사항을 지속적으로 기록합니다. AWS Config에서 규칙을 생성함으로써 회사는 원하는 상태에 대한 리소스 구성 평가를 자동화하고 구성이 규정 준수를 벗어나면 알림을 받을 수 있습니다. 옵션 B, C, E는 인벤토리 및 구성 변경 사항을 추적하고 감사하는 요구 사항과 직접적인 관련이 없습니다.

 

다른 옵션은 감사 및 변경 추적 요구 사항을 완전히 충족하지 못합니다. B) 데이터 수명 주기 정책은 EC2 인스턴스가 백업되거나 삭제되는 시점을 제어하지만 구성 변경 사항은 감사하지 않습니다. C) AWS Trusted Advisor 보안 검사는 사후에 일부 규정 위반을 감지할 수 있지만 AWS CloudTrail 및 AWS Config와 같이 변경 사항을 포괄적으로 기록하지 않습니다. E) CloudFormation 템플릿은 롤백을 가능하게 하지만 변경 사항에 대한 감사 추적을 제공하지 않습니다. 솔루션 아키텍트는 누가 무단 수정을 했는지 알 수 없습니다.

---

#320. 한 회사는 Amazon EC2 인스턴스 집합을 사용하여 온프레미스 데이터 소스에서 데이터를 수집하고 있습니다. 데이터는 JSON 형식이며 수집 속도는 최대 1MB/s입니다. EC2 인스턴스가 재부팅되면 전송 중인 데이터가 손실됩니다. 회사의 데이터 과학팀은 수집된 데이터를 거의 실시간으로 쿼리하려고 합니다.

데이터 손실을 최소화하면서 확장이 가능한 실시간에 가까운 데이터 쿼리를 제공하는 솔루션은 무엇입니까?

A. Amazon Kinesis Data Streams에 데이터를 게시하고 Kinesis Data Analytics를 사용하여 데이터를 쿼리합니다.
B. Amazon Redshift를 대상으로 Amazon Kinesis Data Firehose에 데이터를 게시합니다. Amazon Redshift를 사용하여 데이터를 쿼리합니다.
C. 수집된 데이터를 EC2 인스턴스 스토어에 저장합니다. Amazon S3를 대상으로 Amazon Kinesis Data Firehose에 데이터를 게시합니다. Amazon Athena를 사용하여 데이터를 쿼리합니다.
D. 수집된 데이터를 Amazon Elastic Block Store(Amazon EBS) 볼륨에 저장합니다. Amazon ElastiCache for Redis에 데이터를 게시합니다. Redis 채널을 구독하여 데이터를 쿼리합니다.

 

정답: A

 

A: 회사의 요구 사항에 대한 솔루션입니다. Amazon Kinesis Data Streams에 데이터를 게시하면 최대 1MB/s의 수집 속도를 지원하고 실시간 데이터 처리를 제공할 수 있습니다. Kinesis Data Analytics는 낮은 지연 시간으로 수집된 데이터를 실시간으로 쿼리할 수 있으며, 솔루션은 수집 속도 증가 또는 쿼리 요구 사항에 맞게 필요에 따라 확장할 수 있습니다. 또한 이 솔루션은 Kinesis Data Streams가 기본적으로 최대 7일 동안 영구 데이터 저장소를 보유하기 때문에 EC2 인스턴스 재부팅 시 최소한의 데이터 손실을 보장합니다.

---

#321. Amazon S3 버킷에 업로드된 모든 객체가 암호화되도록 솔루션 아키텍트는 무엇을 해야 합니까?

A. PutObject에 s3:x-amz-acl 헤더가 설정되어 있지 않으면 거부하도록 버킷 정책을 업데이트합니다.
B. PutObject에 s3:x-amz-acl 헤더가 비공개로 설정되어 있지 않으면 거부하도록 버킷 정책을 업데이트합니다.
C. PutObject에 true로 설정된 aws:SecureTransport 헤더가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.
D. PutObject에 x-amz-server-side-encryption 헤더 세트가 없는 경우 거부하도록 버킷 정책을 업데이트합니다.

 

정답: D

 

업로드 시 객체를 암호화하려면 요청에 x-amz-server-side-encryption이라는 헤더를 추가하여 SSE-C, SSE-S3 또는 SSE-KMS를 사용하여 객체를 암호화하도록 S3에 지시해야 합니다. 다음 코드 예제는 SSE-S3을 사용하는 Put 요청을 보여줍니다. https://aws.amazon.com/blogs/security/how-to-prevent-uploads-of-unencrypted-objects-to-amazon-s3/

How to Prevent Uploads of Unencrypted Objects to Amazon S3 | Amazon Web Services

 

다른 옵션은 암호화를 시행하지 않습니다. 

A) s3:x-amz-acl 헤더를 요구한다고 해서 암호화가 필수는 아닙니다. 이 헤더는 액세스 권한을 제어합니다.

B) s3:x-amz-acl 헤더를 비공개로 설정하도록 요구해도 암호화가 적용되지 않습니다. 개인 액세스 권한만 적용합니다.

C) aws:SecureTransport 헤더를 요구하면 업로드 시 SSL이 사용되지만 객체를 암호화해야 한다고 지정하지는 않습니다. SSL 전송을 사용할 때는 암호화가 필요하지 않습니다.

---

#337. 한 회사가 AWS에 웹 애플리케이션을 배포했습니다. 이 회사는 확장 요구 사항을 지원하기 위해 기본 DB 인스턴스와 5개의 읽기 복제본이 있는 Amazon RDS for MySQL에 백엔드 데이터베이스를 호스팅합니다. 읽기 복제본은 기본 DB 인스턴스보다 1초 이상 지연되어서는 안 됩니다. 데이터베이스는 정기적으로 예약된 저장 프로시저를 실행합니다.

웹사이트의 트래픽이 증가함에 따라 복제본은 최대 부하 기간 동안 추가 지연을 경험합니다. 솔루션 아키텍트는 복제 지연을 최대한 줄여야 합니다. 솔루션 아키텍트는 애플리케이션 코드의 변경을 최소화하고 지속적인 운영 오버헤드를 최소화해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족할까요?

A. 데이터베이스를 Amazon Aurora MySQL로 마이그레이션합니다. 읽기 전용 복제본을 Aurora 복제본으로 교체하고 Aurora Auto Scaling을 구성합니다. 저장 프로시저를 Aurora MySQL 기본 함수로 바꿉니다.
B. 데이터베이스 앞에 Amazon ElastiCache for Redis 클러스터를 배포합니다. 애플리케이션이 데이터베이스를 쿼리하기 전에 캐시를 확인하도록 애플리케이션을 수정합니다. 저장된 프로시저를 AWS Lambda 함수로 바꿉니다.
C. Amazon EC2 인스턴스에서 실행되는 MySQL 데이터베이스로 데이터베이스를 마이그레이션합니다. 모든 복제 노드에 대해 대규모 컴퓨팅 최적화된 EC2 인스턴스를 선택합니다. EC2 인스턴스에서 저장된 프로시저를 유지합니다.
D. 데이터베이스를 Amazon DynamoDB로 마이그레이션합니다. 필요한 처리량을 지원하기 위해 다수의 읽기 용량 단위(RCU)를 프로비저닝하고 주문형 용량 확장을 구성합니다. 저장 프로시저를 DynamoDB 스트림으로 바꿉니다.

 

정답 A

 

A: 애플리케이션 코드에 대한 최소 변경, < 1초 지연

B: 복제 지연 문제를 전혀 해결하지 않고 코드 변경이 필요하며 오버헤드를 추가합니다.

C: 관리형 RDS에서 EC2의 자체 관리형 데이터베이스로 이동하는 것은 최소화가 아니라 추가 중입니다. 오버헤드, 게다가 복제 지연 문제를 해결하지 않습니다.

D: DynamoDB는 NoSQL DB이므로 애플리케이션 코드는 물론 애플리케이션 로직까지 대대적으로 변경해야 합니다.

 

---

#338. 솔루션 아키텍트는 대용량 소프트웨어 서비스(SaaS) 플랫폼에 대한 재해 복구(DR) 계획을 만들어야 합니다. 플랫폼의 모든 데이터는 Amazon Aurora MySQL DB 클러스터에 저장됩니다.

DR 계획은 데이터를 보조 AWS 리전에 복제해야 합니다.

어떤 솔루션이 이러한 요구 사항을 가장 비용 효율적으로 충족할까요?

A. 보조 리전의 Aurora 클러스터에 MySQL 바이너리 로그 복제를 사용하십시오. 보조 리전의 Aurora 클러스터용 DB 인스턴스 1개를 프로비저닝합니다.
B. DB 클러스터용 Aurora 글로벌 데이터베이스를 설정합니다. 설정이 완료되면 보조 리전에서 DB 인스턴스를 제거합니다.
C. AWS Database Migration Service(AWS DMS)를 사용하여 보조 지역의 Aurora 클러스터에 데이터를 지속적으로 복제합니다. 보조 리전에서 DB 인스턴스를 제거합니다.
D. DB 클러스터용 Aurora 글로벌 데이터베이스를 설정합니다. 보조 리전에 최소 하나의 DB 인스턴스를 지정합니다.

 

정답 B

 

가장 비용 효율적 https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Aurora.Replication.html에서 "보조 지역에 헤드리스 Aurora DB 클러스터 생성" 섹션을 참조하세요. Aurora 글로벌 데이터베이스에는 기본 클러스터와 다른 AWS 리전에 있는 보조 Aurora DB 클러스터가 하나 이상 필요하며, 보조 클러스터에 대해 헤드리스 구성을 사용할 수 있습니다. 헤드리스 보조 Aurora DB 클러스터는 DB 인스턴스가 없는 클러스터입니다. Aurora 글로벌 데이터베이스에 대한 비용 절감 Aurora DB 클러스터에서는 컴퓨팅과 스토리지가 분리됩니다. DB 인스턴스가 없으면 컴퓨팅 비용이 청구되지 않으며 스토리지가 올바르게 설정된 경우 헤드리스 보조 스토리지 볼륨이 유지됩니다. 기본 Aurora DB 클러스터와 동기화됩니다."

---

#341. 한 회사에 AWS Lake Formation에서 관리하는 Amazon S3 데이터 레이크가 있습니다. 이 회사는 데이터 레이크의 데이터를 Amazon Aurora MySQL 데이터베이스에 저장된 운영 데이터와 결합하여 Amazon QuickSight에서 시각화를 만들고자 합니다. 이 회사는 회사의 마케팅 팀이 데이터베이스의 열 하위 집합에만 액세스할 수 있도록 열 수준 권한을 적용하려고 합니다.

어떤 솔루션이 운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족할까요?

A. Amazon EMR을 사용하여 데이터베이스에서 QuickSight SPICE 엔진으로 직접 데이터를 수집합니다. 필수 열만 포함하세요.
B. AWS Glue Studio를 사용하여 데이터베이스의 데이터를 S3 데이터 레이크로 수집합니다. QuickSight 사용자에게 IAM 정책을 연결하여 열 수준 액세스 제어를 시행합니다. QuickSight에서 Amazon S3를 데이터 소스로 사용합니다.
C. AWS Glue Elastic Views를 사용하여 Amazon S3의 데이터베이스에 대한 실체화된 뷰를 만듭니다. QuickSight 사용자에 대한 열 수준 액세스 제어를 적용하기 위해 S3 버킷 정책을 만듭니다. QuickSight에서 Amazon S3를 데이터 소스로 사용합니다.
D. Lake Formation 블루프린트를 사용하여 데이터베이스에서 S3 데이터 레이크로 데이터를 수집합니다. Lake Formation을 사용하여 QuickSight 사용자에 대한 열 수준 액세스 제어를 적용합니다. QuickSight에서 Amazon Athena를 데이터 소스로 사용합니다.

 

정답 D

 

Lake Formation 청사진을 사용하여 데이터베이스에서 S3 데이터 레이크로 데이터를 수집하고, Lake Formation을 사용하여 QuickSight 사용자에 대한 열 수준 액세스 제어를 적용하고, Amazon Athena를 QuickSight의 데이터 소스로 사용합니다. 이 솔루션은 AWS Lake Formation에서 제공하는 기능을 활용하여 열 수준 인증을 적용하므로 최소한의 운영 오버헤드가 필요합니다. 이는 프로세스를 단순화하고 추가 구성 및 유지 관리의 필요성을 줄여줍니다.

---

#345. 회사에서는 주요 웹 애플리케이션 중 하나의 콘텐츠에 대한 액세스를 제한하고 AWS에서 사용할 수 있는 인증 기술을 사용하여 콘텐츠를 보호하려고 합니다. 회사는 100명 미만의 사용자를 위한 서버리스 아키텍처와 인증 솔루션을 구현하려고 합니다. 솔루션은 기본 웹 애플리케이션과 통합되어야 하며 웹 콘텐츠를 전 세계적으로 제공해야 합니다. 또한 솔루션은 회사의 사용자 기반이 증가함에 따라 확장되는 동시에 가능한 가장 낮은 로그인 대기 시간을 제공해야 합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

A. 인증에는 Amazon Cognito를 사용합니다. 권한 부여에는 Lambda@Edge를 사용합니다. 웹 애플리케이션을 전 세계적으로 제공하기 위해 Amazon CloudFront를 사용합니다.
B. 인증을 위해 Microsoft Active Directory용 AWS Directory Service를 사용합니다. 권한 부여를 위해 AWS Lambda를 사용합니다. 웹 애플리케이션을 전 세계적으로 제공하기 위해 Application Load Balancer를 사용합니다.
C. 인증에는 Amazon Cognito를 사용합니다. 권한 부여에는 AWS Lambda를 사용합니다. 웹 애플리케이션을 전 세계적으로 제공하기 위해 Amazon S3 Transfer Acceleration을 사용합니다.
D. 인증을 위해 Microsoft Active Directory용 AWS Directory Service를 사용합니다. 인증을 위해 Lambda@Edge를 사용하세요. AWS Elastic Beanstalk를 사용하여 웹 애플리케이션을 전 세계적으로 제공합니다.

 

정답 A

 

CloudFront=전역적으로 Lambda@edge = 권한 부여/지연 시간 Cognito=웹 앱에 대한 인증

---

#358. 소셜 미디어 회사가 애플리케이션 로드 밸런서(ALB) 뒤의 Amazon EC2 인스턴스에서 애플리케이션을 실행합니다. ALB는 Amazon CloudFront 배포의 원점입니다. 이 애플리케이션은 Amazon S3 버킷에 저장된 10억 개 이상의 이미지를 가지고 있으며 매초 수천 개의 이미지를 처리합니다. 이 회사는 이미지 크기를 동적으로 조정하고 적절한 형식을 클라이언트에 제공하고자 합니다.

어떤 솔루션이 최소한의 운영 오버헤드로 이러한 요구 사항을 충족할까요?

A. EC2 인스턴스에 외부 이미지 관리 라이브러리를 설치합니다. 이미지 관리 라이브러리를 사용하여 이미지를 처리합니다.
B. CloudFront 원본 요청 정책을 만듭니다. 이 정책을 사용하여 이미지 크기를 자동으로 조정하고 요청의 User-Agent HTTP 헤더에 따라 적절한 형식을 제공합니다.
C. 외부 이미지 관리 라이브러리와 함께 Lambda@Edge 함수를 사용합니다. Lambda@Edge 함수를 이미지를 제공하는 CloudFront 동작과 연결합니다.
D. CloudFront 응답 헤더 정책을 만듭니다. 이 정책을 사용하여 이미지 크기를 자동으로 조정하고 요청의 User-Agent HTTP 헤더에 따라 적절한 형식을 제공합니다.

정답 C

 

외부 이미지 관리 라이브러리와 함께 Lambda@Edge 함수를 사용합니다. 

Lambda@Edge 함수를 이미지를 제공하는 CloudFront 동작과 연결합니다. 

외부 이미지 관리 라이브러리와 함께 Lambda@Edge 함수를 사용하는 것은 이미지 크기를 동적으로 조정하고 클라이언트에 적절한 형식을 제공하는 최고의 솔루션입니다. 

Lambda@Edge는 최종 사용자 요청 및 원본 요청과 같은 CloudFront 이벤트에 대한 응답으로 사용자 지정 코드를 실행할 수 있는 서버리스 컴퓨팅 서비스입니다. 

Lambda@Edge 함수를 사용하면 이미지를 즉시 처리하고 CloudFront 응답을 클라이언트에 다시 보내기 전에 수정할 수 있습니다. 

또한 Lambda@Edge에는 이미지 처리에 사용할 수 있는 외부 라이브러리에 대한 지원이 내장되어 있습니다. 이 접근 방식은 운영 오버헤드를 줄이고 트래픽에 따라 자동으로 확장됩니다.

---

#360. 한 회사가 Amazon API Gateway를 사용하여 동일한 VPC에서 두 개의 REST API가 있는 프라이빗 게이트웨이를 실행합니다. BuyStock RESTful 웹 서비스는 CheckFunds RESTful 웹 서비스를 호출하여 주식을 구매하기 전에 충분한 자금이 있는지 확인합니다. 이 회사는 VPC 흐름 로그에서 BuyStock RESTful 웹 서비스가 VPC를 통하지 않고 인터넷을 통해 CheckFunds RESTful 웹 서비스를 호출한다는 것을 알아챘습니다. 솔루션 아키텍트는 API가 VPC를 통해 통신할 수 있도록 솔루션을 구현해야 합니다.

어떤 솔루션이 코드를 가장 적게 변경하여 이러한 요구 사항을 충족할까요?

A. 인증을 위해 HTTP 헤더에 X-API-Key 헤더를 추가합니다.
B. 인터페이스 엔드포인트를 사용합니다.
C. 게이트웨이 엔드포인트를 사용하십시오.
D. 두 REST API 사이에 Amazon Simple Queue Service(Amazon SQS) 대기열을 추가합니다.

 

정답 B

 

B. 인터페이스 엔드포인트를 사용합니다. 

이유는 다음과 같습니다. 인터페이스 엔드포인트(옵션 B): 인터페이스 엔드포인트(VPC 엔드포인트라고도 함)를 사용하면 퍼블릭 인터넷을 거치지 않고도 VPC의 리소스와 서비스 간에 통신할 수 있습니다. 

이 경우 VPC에서 API Gateway에 대한 인터페이스 엔드포인트를 만들 수 있습니다. 이렇게 하면 VPC 내에서 BuyStock과 CheckFunds RESTful 웹 서비스 간의 통신이 가능하며 코드를 크게 변경할 필요가 없습니다. X-API-Key 헤더(옵션 A): 권한 부여를 위해 X-API-Key 헤더를 추가해도 API가 VPC를 통해 통신하는지 확인하는 문제는 해결되지 않습니다. 인증 및 권한 부여 메커니즘과 더 관련이 있습니다.

 

C. 게이트웨이 엔드포인트를 사용하는 것은 게이트웨이 엔드포인트가 S3 및 DynamoDB만 지원하므로 잘못된 것입니다. 따라서 B가 맞습니다.

---

#362. 어떤 회사는 특정 결제 ID에 대한 메시지를 보낸 순서대로 수신해야 하는 결제 처리 시스템을 사용합니다. 그렇지 않으면 결제가 잘못 처리될 수 있습니다.

솔루션 아키텍트는 이 요구 사항을 충족하기 위해 어떤 조치를 취해야 합니까? (두 가지를 선택하세요.)

A. 지불 ID를 파티션 키로 사용하여 Amazon DynamoDB 테이블에 메시지를 작성합니다.
B. 결제 ID를 파티션 키로 사용하여 Amazon Kinesis 데이터 스트림에 메시지를 씁니다.
C. 결제 ID를 키로 사용하여 Memcached용 Amazon ElastiCache 클러스터에 메시지를 씁니다.
D. Amazon Simple Queue Service(Amazon SQS) 대기열에 메시지를 씁니다. 결제 ID를 사용하려면 메시지 속성을 설정하세요.
E. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열에 메시지를 씁니다. 결제ID를 사용할 메시지 그룹을 설정합니다.

 

정답 B, E

 

Amazon Kinesis Data Streams는 본질적으로 샤드 내의 레코드 순서를 유지하기 때문에 옵션 B가 A보다 선호됩니다. 

이는 특정 결제 ID에 대한 메시지 순서를 유지해야 하는 특정 요구 사항에 매우 중요합니다. 

결제 ID를 파티션 키로 사용하면 해당 결제 ID에 대한 모든 메시지가 동일한 샤드로 전송되므로 메시지 순서가 유지됩니다. 

반면 Amazon DynamoDB는 원활한 확장성과 함께 빠르고 예측 가능한 성능을 제공하는 NoSQL 데이터베이스 서비스입니다. 

파티션 키를 사용하여 데이터를 저장할 수 있지만 특정 사용 사례에 필수적인 파티션 내 레코드 순서를 보장하지는 않습니다. 

따라서 Kinesis Data Streams를 사용하는 것이 이 요구 사항에 더 적합합니다. 

DynamoDB는 순서를 지키지 않기 때문에 여기서는 BE가 정답이라고 생각합니다.

---

#365. 개발팀이 다른 회사와 협업하여 통합 제품을 만들고 있습니다. 다른 회사는
개발팀의 계정에 포함된 Amazon Simple Queue Service(Amazon SQS) 대기열에 액세스해야 합니다. 다른 회사는 자체 계정 권한을 포기하지 않고 대기열을 폴링하려고 합니다.
솔루션 아키텍트는 어떻게 SQS 대기열에 대한 액세스를 제공해야 합니까?
A. 다른 회사에 SQS 대기열에 대한 액세스를 제공하는 인스턴스 프로필을 생성합니다.
B. 다른 회사가 SQS 대기열에 액세스할 수 있도록 하는 IAM 정책을 만듭니다.
C. SQS 대기열에 대한 다른 회사 액세스를 제공하는 SQS 액세스 정책을 만듭니다.
D. 다른 회사에 SQS 대기열에 대한 액세스를 제공하는 Amazon Simple 알림 서비스(Amazon SNS) 액세스 정책을 생성합니다.

 

정답 C

 

대답은 C입니다. https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-using-identity-based-policies.html 

사용자에게 Amazon SQS 리소스에 대한 권한을 부여하는 방법에는 두 가지가 있습니다. 

Amazon SQS 정책 시스템 및 IAM 정책 시스템 사용. 둘 중 하나를 사용하거나 둘 다를 사용할 수 있습니다. 

여기 질문에는 Amazon SQS 정책 시스템이 필요합니다.

 "회사가 자체 계정 권한을 포기하지 않고 대기열을 폴링하려고 합니다"라는 질문의 키워드는 IAM 방법을 사용할 수 없음을 의미합니다.

 

Amazon SQS 정책 시스템을 사용하면 다른 AWS 계정에 권한을 부여할 수 있는 반면 IAM에서는 그렇지 않습니다.

---

#367. 한 회사는 Amazon Route 53 지연 시간 기반 라우팅을 사용하여 전 세계 사용자를 위해 UDP 기반 애플리케이션으로 요청을 라우팅하고 있습니다. 이 애플리케이션은 미국, 아시아 및 유럽에 있는 회사의 온프레미스 데이터 센터에 있는 중복 서버에서 호스팅됩니다. 회사의 규정 준수 요구 사항에는 애플리케이션이 온프레미스에서 호스팅되어야 한다고 명시되어 있습니다. 회사에서는 애플리케이션의 성능과 가용성을 개선하려고 합니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

A. 온프레미스 엔드포인트를 처리하기 위해 3개의 AWS 리전에 3개의 네트워크 로드 밸런서(NLB)를 구성합니다. AWS Global Accelerator를 사용하여 가속기를 만들고 NLB를 엔드포인트로 등록합니다. 가속기 DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
B. 온프레미스 엔드포인트를 처리하기 위해 3개의 AWS 리전에 3개의 애플리케이션 로드 밸런서(ALB)를 구성합니다. AWS Global Accelerator를 사용하여 가속기를 만들고 ALB를 엔드포인트로 등록합니다. 가속기 DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
C. 온프레미스 엔드포인트를 처리하기 위해 3개의 AWS 리전에서 3개의 NLB(Network Load Balancer)를 구성합니다. Route 53에서 3개의 NLB를 가리키는 지연 시간 기반 레코드를 생성하고 이를 Amazon CloudFront 배포의 원본으로 사용합니다. CloudFront DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.
D. 온프레미스 엔드포인트를 처리하기 위해 3개의 AWS 지역에 3개의 Application Load Balancer(ALB)를 구성합니다. Route 53에서 3개의 ALB를 가리키는 지연 시간 기반 레코드를 생성하고 이를 Amazon CloudFront 배포의 오리진으로 사용합니다. CloudFront DNS를 가리키는 CNAME을 사용하여 애플리케이션에 대한 액세스를 제공합니다.

 

정답 A

 

NLB는 UDP 트래픽을 허용합니다(ALB는 UDP를 지원하지 않음). 

Global Accelerator는 Anycast IP 주소와 글로벌 네트워크를 사용하여 사용자를 최적의 엔드포인트로 지능적으로 라우팅합니다.

NLB를 Global Accelerator 엔드포인트로 사용하면 가용성이 향상되고 DDoS 보호 기능이 제공됩니다.

---

#370. 한 회사가 VPC에서 퍼블릭 3계층 웹 애플리케이션을 실행합니다. 이 애플리케이션은 여러 가용성 영역에 걸쳐 Amazon EC2 인스턴스에서 실행됩니다. 프라이빗 서브넷에서 실행되는 EC2 인스턴스는 인터넷을 통해 라이선스 서버와 통신해야 합니다. 이 회사에는 운영 유지 관리를 최소화하는 관리형 솔루션이 필요합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 퍼블릭 서브넷에 NAT 인스턴스를 프로비저닝합니다. NAT 인스턴스를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.
B. 프라이빗 서브넷에 NAT 인스턴스를 프로비저닝합니다. NAT 인스턴스를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.
C. 퍼블릭 서브넷에 NAT 게이트웨이를 프로비저닝합니다. NAT 게이트웨이를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.
D. 프라이빗 서브넷에 NAT 게이트웨이를 프로비저닝합니다. NAT 게이트웨이를 가리키는 기본 경로로 각 프라이빗 서브넷의 경로 테이블을 수정합니다.

 

정답 C

 

이는 개인 서브넷이 인터넷에 액세스하기 위한 관리형, 저유지 관리 솔루션에 대한 요구 사항을 충족합니다. 

NAT 게이트웨이는 관리자 오버헤드 없이 자동 확장, 고가용성 및 완전 관리형 서비스를 제공합니다. 

적절한 경로가 있는 공개 서브넷에 NAT 게이트웨이를 배치하면 개인 인스턴스가 인터넷 액세스에 사용할 수 있습니다. 

NAT 인스턴스에 비해 최소한의 운영 유지 관리.

 

좋지 않음: NAT 인스턴스(A, B)는 더 많은 직접 관리가 필요합니다. 

NAT 게이트웨이를 프라이빗 서브넷(D)에 배치하면 인터넷 액세스가 허용되지 않습니다.

---

#376. 한 회사가 Amazon RDS for MySQL DB 인스턴스를 출시했습니다. 데이터베이스에 대한 대부분의 연결은 서버리스 애플리케이션에서 발생합니다. 데이터베이스에 대한 애플리케이션 트래픽은 무작위 간격으로 크게 변경됩니다. 수요가 많은 시간에 사용자는 애플리케이션에서 데이터베이스 연결 거부 오류가 발생한다고 보고합니다.

어떤 솔루션이 가장 적은 운영 오버헤드로 이 문제를 해결할 수 있을까요?

A. RDS Proxy에서 프록시를 만듭니다. RDS Proxy를 통해 DB 인스턴스를 사용하도록 사용자 애플리케이션을 구성합니다.
B. 사용자 애플리케이션과 DB 인스턴스 사이에 Memcached용 Amazon ElastiCache를 배포합니다.
C. DB 인스턴스를 I/O 용량이 더 높은 다른 인스턴스 클래스로 마이그레이션합니다. 새 DB 인스턴스를 사용하도록 사용자 애플리케이션을 구성합니다.
D. DB 인스턴스에 대한 다중 AZ를 구성합니다. DB 인스턴스 간에 전환하도록 사용자 애플리케이션을 구성합니다.

정답 A

 

데이터베이스 연결 거부 오류 = RDS 프록시

RDS Proxy는 확장성을 향상시키기 위해 데이터베이스 연결을 풀링하고 공유하는 프록시 계층을 제공합니다. 이를 통해 프록시는 데이터베이스에 대한 연결 급증을 적절하게 처리할 수 있습니다. RDS Proxy를 사용하려면 최소한의 운영 오버헤드가 필요합니다. 프록시를 생성하고 이를 사용하도록 애플리케이션을 재구성하기만 하면 됩니다. 코드 변경이 필요하지 않습니다.

 

Amazon ElastiCache는 Amazon RDS Proxy에 비해 운영 오버헤드가 낮은 경향이 있습니다. 

하지만 우리는 이미 "Amazon RDS for MySQL DB 인스턴스"를 가지고 있습니다.

---

#378. 한 회사에서 클라이언트와 Auto Scaling 그룹의 서버 간 통신에 UDP를 사용하는 실시간 멀티플레이어 게임을 개발하고 있습니다. 낮 동안 수요 급증이 예상되므로 게임 서버 플랫폼은 이에 맞춰 적응해야 합니다. 개발자는 개입 없이 확장 가능한 데이터베이스 솔루션에 게이머 점수 및 기타 비관계형 데이터를 저장하기를 원합니다.

솔루션 설계자는 어떤 솔루션을 권장해야 합니까?

A. 트래픽 분산에는 Amazon Route 53을 사용하고 데이터 저장에는 Amazon Aurora Serverless를 사용합니다.
B. 트래픽 분산을 위해 네트워크 로드 밸런서를 사용하고 데이터 저장을 위해 주문형 Amazon DynamoDB를 사용합니다.
C. 트래픽 분산을 위해 네트워크 로드 밸런서를 사용하고 데이터 저장을 위해 Amazon Aurora Global Database를 사용합니다.
D. 트래픽 분산에는 Application Load Balancer를 사용하고 데이터 저장에는 Amazon DynamoDB 글로벌 테이블을 사용합니다.

 

정답 B

 

UDP = NLB 비관계형 데이터 = Dynamo DB

 

---

#379. 한 회사가 AWS Lambda와 통합된 Amazon API Gateway API 백엔드를 사용하는 프런트엔드 애플리케이션을 호스팅합니다. API가 요청을 받으면 Lambda 함수는 많은 라이브러리를 로드합니다. 그런 다음 Lambda 함수는 Amazon RDS 데이터베이스에 연결하여 데이터를 처리하고 데이터를 프런트엔드 애플리케이션에 반환합니다. 회사는 회사 운영에 대한 변경 사항을 최소화하면서 모든 사용자에 대한 응답 대기 시간을 최대한 낮추기를 원합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. API를 우회하여 쿼리 속도를 높이려면 프런트엔드 애플리케이션과 데이터베이스 간의 연결을 설정하세요.
B. 요청을 처리하는 Lambda 함수에 대해 프로비저닝된 동시성을 구성합니다.
C. 유사한 데이터 세트를 더 빠르게 검색하기 위해 Amazon S3에 쿼리 결과를 캐시합니다.
D. 데이터베이스 크기를 늘려 Lambda가 한 번에 설정할 수 있는 연결 수를 늘립니다.

 

정답 B

 

핵심: Lambda 함수는 많은 라이브러리를 로드합니다. 프로비저닝된 동시성을 구성하면 함수의 "콜드 스타트"가 제거되어 프로세스 속도가 빨라집니다.

---

#382. 회사에는 사용자 디바이스에서 센서 데이터를 수집하는 3계층 애플리케이션이 AWS에 있습니다. 트래픽은 NLB(Network Load Balancer)를 거쳐 웹 계층용 Amazon EC2 인스턴스, 마지막으로 애플리케이션 계층용 EC2 인스턴스로 흐릅니다. 애플리케이션 계층은 데이터베이스를 호출합니다.

전송 중인 데이터의 보안을 향상시키기 위해 솔루션 설계자는 무엇을 해야 합니까?

A. TLS 리스너를 구성합니다. NLB에 서버 인증서를 배포합니다.
B. AWS Shield Advanced를 구성합니다. NLB에서 AWS WAF를 활성화합니다.
C. 로드 밸런서를 Application Load Balancer(ALB)로 변경합니다. ALB에서 AWS WAF를 활성화합니다.
D. AWS KMS(AWS Key Management Service)를 사용하여 EC2 인스턴스에서 Amazon Elastic Block Store(Amazon EBS) 볼륨을 암호화합니다.

 

정답 A

 

Network Load Balancer는 이제 TLS 프로토콜을 지원합니다. 이번 출시를 통해 이제 리소스 집약적인 암호 해독/암호화 작업을 애플리케이션 서버에서 높은 처리량과 짧은 대기 시간의 Network Load Balancer로 오프로드할 수 있습니다. 

이제 Network Load Balancer는 TLS 트래픽을 종료하고 TCP 또는 TLS 프로토콜을 통해 대상과의 연결을 설정할 수 있습니다. https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html https://exampleloadbalancer.com/nlbtls_demo.html

AWS Elastic Load Balancer Demos

 

 

전송 중인 데이터의 보안 -> SSL/TLS를 생각해 보세요. 

확인: NLB는 TLS를 지원합니다 https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html 

B(DDoS), C(SQL 주입), D(EBS)는 저장 데이터용입니다. .

---

#383. 한 회사가 온프레미스 데이터 센터에서 AWS로 상용 기성형 애플리케이션을 마이그레이션할 계획입니다. 이 소프트웨어는 예측 가능한 용량 및 가동 시간 요구 사항이 있는 소켓과 코어를 사용하는 소프트웨어 라이선스 모델을 가지고 있습니다. 이 회사는 올해 초에 구매한 기존 라이선스를 사용하고자 합니다.

가장 비용 효율적인 Amazon EC2 가격 옵션은 무엇입니까?

A. 전용 예약 호스트
B. 전담 주문형 호스트
C. 전용 예약 인스턴스
D. 전용 온디맨드 인스턴스

 

정답 A

 

전용 호스트와 예약 인스턴스의 차이점은 무엇입니까? 

 

전용 인스턴스: 실제 머신 또는 기본 하드웨어는 전체 계정에 사용하도록 예약되어 있습니다. 이 하드웨어에서는 다양한 목적으로 인스턴스를 가질 수 있습니다.  단일 테넌트 하드웨어에서 실행됩니다. 

전용 호스트: 물리적 머신 또는 기본 하드웨어는 "일회용"으로만 예약됩니다. 특정 응용 프로그램. 소켓, 코어, 인스턴스는 사용자 전용으로 EC2 인스턴스 용량을 갖춘 물리적 서버, 즉 사용자가 제어할 수 있는 구성을 갖춘 격리된 서버에서 실행됩니다.

---

#399. 금융 회사는 AWS에서 웹 애플리케이션을 호스팅합니다. 애플리케이션은 Amazon API Gateway 지역 API 엔드포인트를 사용하여 사용자에게 현재 주가를 검색할 수 있는 기능을 제공합니다. 회사 보안팀에서는 API 요청 수가 증가하는 것을 확인했습니다. 보안 팀은 HTTP 플러드 공격으로 인해 애플리케이션이 오프라인 상태가 될 수 있다는 점을 우려하고 있습니다.

솔루션 설계자는 이러한 유형의 공격으로부터 애플리케이션을 보호하기 위한 솔루션을 설계해야 합니다.

최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 최대 TTL이 24시간인 API Gateway 지역 API 엔드포인트 앞에 Amazon CloudFront 배포를 생성합니다.
B. 요금 기반 규칙으로 지역 AWS WAF 웹 ACL을 만듭니다. 웹 ACL을 API Gateway 스테이지와 연결합니다.
C. Amazon CloudWatch 지표를 사용하여 Count 지표를 모니터링하고 사전 정의된 비율에 도달하면 보안 팀에 알립니다.
D. API Gateway 지역 API 엔드포인트 앞에 Lambda@Edge를 사용하여 Amazon CloudFront 배포를 생성합니다. 사전 정의된 속도를 초과하는 IP 주소의 요청을 차단하는 AWS Lambda 함수를 생성합니다.

정답 B

 

리전별 AWS WAF 웹 ACL은 HTTP 플러드 공격을 비롯한 다양한 공격으로부터 API Gateway API를 보호하는 데 사용할 수 있는 관리형 웹 애플리케이션 방화벽입니다. 비율 기반 규칙은 지정된 기간 내에 단일 IP 주소에서 수행할 수 있는 요청 수를 제한하는 데 사용할 수 있는 규칙 유형입니다. API 게이트웨이 단계는 API에 대한 액세스를 제어하는 ​​데 사용할 수 있는 API 리소스의 논리적 그룹입니다.

---

#402. 회사는 애플리케이션에서 생성되는 대량의 스트리밍 데이터를 수집하고 처리해야 합니다. 애플리케이션은 Amazon EC2 인스턴스에서 실행되며 기본 설정으로 구성된 Amazon Kinesis Data Streams로 데이터를 보냅니다. 애플리케이션은 격일로 데이터를 소비하고 비즈니스 인텔리전스(BI) 처리를 위해 Amazon S3 버킷에 데이터를 씁니다. 회사는 애플리케이션이 Kinesis Data Streams로 전송하는 모든 데이터를 Amazon S3가 수신하지 못하는 것을 확인했습니다.

이 문제를 해결하려면 솔루션 설계자가 무엇을 해야 합니까?

A. 데이터 보존 기간을 수정하여 Kinesis Data Streams 기본 설정을 업데이트합니다.
B. KPL(Kinesis Producer Library)을 사용하여 데이터를 Kinesis Data Streams로 보내도록 애플리케이션을 업데이트합니다.
C. Kinesis Data Streams에 전송되는 데이터의 처리량을 처리하기 위해 Kinesis 샤드 수를 업데이트합니다.
D. S3 버킷 내에서 S3 버전 관리를 켜면 S3 버킷에 수집된 모든 객체의 모든 버전을 보존할 수 있습니다.

 

정답 A

 

데이터 레코드는 일시적으로 Kinesis 데이터 스트림의 샤드에 저장됩니다. 

기록이 추가된 시점부터 더 이상 접근할 수 없는 시점까지의 기간을 보존 기간이라고 합니다. 

이 기간은 기본적으로 24시간이지만 365일로 조정될 수 있습니다. 

Kinesis Data Streams는 데이터 볼륨 및 트래픽의 변화에 ​​따라 샤드 수를 자동으로 조정하므로 옵션 C는 제외됩니다. 

https://docs.aws.amazon.com/streams/latest/dev/service-sizes-and- limits.html#:~:text=the%20number%20of-,shards,-in%20response%20to

 

---

#419. 한 회사에서 모든 기능이 활성화된 AWS Organizations를 사용하고 ap-southeast-2 지역에서 여러 Amazon EC2 워크로드를 실행합니다. 이 회사에는 다른 지역에서 리소스가 생성되는 것을 방지하는 서비스 제어 정책(SCP)이 있습니다. 보안 정책에 따라 회사는 모든 저장 데이터를 암호화해야 합니다.

감사 결과 직원들이 볼륨을 암호화하지 않고 EC2 인스턴스에 대한 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성한 것으로 밝혀졌습니다. 이 회사는 IAM 사용자 또는 루트 사용자가 ap-southeast-2에서 시작하는 모든 새 EC2 인스턴스에서 암호화된 EBS 볼륨을 사용하기를 원합니다. 이 회사는 EBS 볼륨을 생성하는 직원에게 최소한의 영향을 미치는 솔루션을 원합니다.

이러한 요구 사항을 충족하는 단계의 조합은 무엇입니까? (두 가지를 선택하십시오.)

A. Amazon EC2 콘솔에서 EBS 암호화 계정 속성을 선택하고 기본 암호화 키를 정의하십시오.
B. IAM 권한 경계를 만듭니다. 권한 경계를 루트 조직 단위(OU)에 연결합니다. ec2:Encrypted 조건이 false일 때 ec2:CreateVolume 작업을 거부하도록 경계를 정의합니다.
C. SCP를 만듭니다. SCP를 루트 조직 단위(OU)에 연결합니다. ec2:Encrypted 조건이 false와 같을 때 ec2:CreateVolume 작업을 거부하도록 SCP를 정의합니다.
D. ec2:Encrypted 조건이 false인 경우 ec2:CreateVolume 작업을 거부하도록 각 계정에 대한 IAM 정책을 업데이트합니다.
E. 조직 관리 계정에서 기본 EBS 볼륨 암호화 설정을 지정합니다.

 

정답 C, E

 

정답은 (C)와 (E)입니다. 

옵션 (C): SCP를 생성하여 루트 조직 단위(OU)에 연결하면 ec2:Encrypted 조건이 false일 때 ec2:CreateVolume 작업이 거부됩니다. 즉, 조직의 모든 계정에 있는 모든 IAM 사용자 또는 루트 사용자는 암호화하지 않고는 EBS 볼륨을 생성할 수 없습니다. 옵션 

(E): 조직 관리 계정에서 기본 EBS 볼륨 암호화 설정을 지정하면 조직의 모든 계정에서 생성된 모든 새 EBS 볼륨이 기본적으로 암호화됩니다.

---

#421. 한 회사가 고가용성 SFTP 서비스를 운영합니다. SFTP 서비스는 탄력적 IP 주소로 실행되는 두 개의 Amazon EC2 Linux 인스턴스를 사용하여 인터넷의 신뢰할 수 있는 IP 소스에서 트래픽을 허용합니다. SFTP 서비스는 인스턴스에 연결된 공유 스토리지로 백업됩니다. 사용자 계정은 SFTP 서버에서 Linux 사용자로 생성 및 관리됩니다.

이 회사는 높은 IOPS 성능과 고도로 구성 가능한 보안을 제공하는 서버리스 옵션을 원합니다. 또한 이 회사는 사용자 권한에 대한 제어를 유지하려고 합니다.

어떤 솔루션이 이러한 요구 사항을 충족할까요?

A. 암호화된 Amazon Elastic Block Store(Amazon EBS) 볼륨을 생성합니다. 신뢰할 수 있는 IP 주소만 허용하는 퍼블릭 엔드포인트를 사용하여 AWS Transfer Family SFTP 서비스를 생성합니다. SFTP 서비스 엔드포인트에 EBS 볼륨을 연결합니다. 사용자에게 SFTP 서비스에 대한 액세스 권한을 부여합니다.
B. 암호화된 Amazon Elastic File System(Amazon EFS) 볼륨을 생성합니다. 탄력적 IP 주소와 인터넷 연결 액세스가 가능한 VPC 엔드포인트를 사용하여 AWS Transfer Family SFTP 서비스를 생성합니다. 신뢰할 수 있는 IP 주소만 허용하는 엔드포인트에 보안 그룹을 연결합니다. EFS 볼륨을 SFTP 서비스 엔드포인트에 연결합니다. 사용자에게 SFTP 서비스에 대한 액세스 권한을 부여합니다.
C. 기본 암호화가 활성화된 Amazon S3 버킷을 생성합니다. 신뢰할 수 있는 IP 주소만 허용하는 퍼블릭 엔드포인트를 사용하여 AWS Transfer Family SFTP 서비스를 생성합니다. S3 버킷을 SFTP 서비스 엔드포인트에 연결합니다. 사용자에게 SFTP 서비스에 대한 액세스 권한을 부여합니다.
D. 기본 암호화가 활성화된 Amazon S3 버킷을 생성합니다. 프라이빗 서브넷에서 내부 액세스 권한이 있는 VPC 엔드포인트를 사용하여 AWS Transfer Family SFTP 서비스를 생성합니다. 신뢰할 수 있는 IP 주소만 허용하는 보안 그룹을 연결합니다. S3 버킷을 SFTP 서비스 엔드포인트에 연결합니다. 사용자에게 SFTP 서비스에 대한 액세스 권한을 부여합니다.

 

정답 b

 

A 아님 - Transfer Family는 EBS를 사용할 수 없습니다. 

B - 가능하고 요구 사항을 충족합니다. 

C 아님 - S3는 "높은 IOPS 성능"을 보장하지 않습니다. 또한 "신뢰할 수 있는 IP 주소만 허용하는 퍼블릭 엔드포인트"도 없습니다(퍼블릭 엔드포인트에 보안 그룹을 할당할 수 있지만 여기서는 언급되지 않음). 

D 아님 - 엔드포인트가 프라이빗 서브넷에 있으므로 인터넷에서 전혀 액세스할 수 없음

---

#422. 한 회사가 AWS에서 새로운 기계 학습(ML) 모델 솔루션을 개발하고 있습니다. 모델은 시작 시 Amazon S3에서 약 1GB의 모델 데이터를 가져와 메모리에 로드하는 독립적인 마이크로서비스로 개발되었습니다. 사용자는 비동기 API를 통해 모델에 액세스합니다. 사용자는 요청 또는 요청 일괄 처리를 보내고 결과를 보낼 위치를 지정할 수 있습니다.

회사는 수백 명의 사용자에게 모델을 제공합니다. 모델의 사용 패턴은 불규칙합니다. 일부 모델은 며칠 또는 몇 주 동안 사용되지 않을 수 있습니다. 다른 모델은 한 번에 수천 개의 요청을 일괄적으로 받을 수 있습니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 디자인을 권장해야 합니까?

A. API의 요청을 NLB(Network Load Balancer)로 전달합니다. NLB에서 호출되는 AWS Lambda 함수로 모델을 배포합니다.
B. API의 요청을 ALB(Application Load Balancer)로 전달합니다. Amazon Simple Queue Service(Amazon SQS) 대기열에서 읽는 Amazon Elastic Container Service(Amazon ECS) 서비스로 모델을 배포합니다. AWS App Mesh를 사용하여 SQS 대기열 크기에 따라 ECS 클러스터의 인스턴스를 확장합니다.
C. API의 요청을 Amazon Simple Queue Service(Amazon SQS) 대기열로 전달합니다. SQS 이벤트에 의해 호출되는 AWS Lambda 함수로 모델을 배포합니다. AWS Auto Scaling을 사용하여 SQS 대기열 크기에 따라 Lambda 함수에 대한 vCPU 수를 늘립니다.
D. API에서 Amazon Simple Queue Service(Amazon SQS) 대기열로 요청을 보냅니다. 대기열에서 읽는 Amazon Elastic Container Service(Amazon ECS) 서비스로 모델을 배포합니다. 대기열 크기에 따라 클러스터와 서비스 사본 모두에 대해 Amazon ECS에서 AWS Auto Scaling을 활성화합니다

정답 C

 

비동기=SQS, 마이크로서비스=ECS. AWS Auto Scaling을 사용하여 ECS 서비스 수를 조정합니다.

---

#430. 한 제조 회사에는 .csv 파일을 Amazon S3 버킷에 업로드하는 기계 센서가 있습니다. 이러한 .csv 파일은 이미지로 변환되어야 하며 그래픽 보고서의 자동 생성을 위해 가능한 한 빨리 사용할 수 있어야 합니다.

이미지는 1개월이 지나면 관련성이 없어지지만, 기계 학습(ML) 모델을 1년에 두 번 훈련하려면 .csv 파일을 보관해야 합니다. ML 교육 및 감사는 몇 주 전에 미리 계획됩니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 단계 조합은 무엇입니까? (2개를 선택하세요.)

A. 매시간 .csv 파일을 다운로드하고, 이미지 파일을 생성하고, 이미지를 S3 버킷에 업로드하는 Amazon EC2 Spot Instance를 시작합니다.
B. .csv 파일을 이미지로 변환하고 S3 버킷에 이미지를 저장하는 AWS Lambda 함수를 설계합니다. .csv 파일이 업로드되면 Lambda 함수를 호출합니다.
C. S3 버킷의 .csv 파일 및 이미지 파일에 대한 S3 수명 주기 규칙을 생성합니다. .csv 파일을 업로드한 후 1일 후에 S3 Standard에서 S3 Glacier로 전환합니다. 30일 후에 이미지 파일을 만료합니다.
D. S3 버킷의 .csv 파일 및 이미지 파일에 대한 S3 수명 주기 규칙을 생성합니다. .csv 파일을 업로드한 후 1일 후에 S3 Standard에서 S3 One Zone-Infrequent Access(S3 One Zone-IA)로 전환합니다. 30일 후에 이미지 파일을 만료합니다.
E. S3 버킷의 .csv 파일 및 이미지 파일에 대한 S3 수명 주기 규칙을 생성합니다. .csv 파일을 업로드한 지 1일 후에 S3 Standard에서 S3 Standard-Infrequent Access(S3 Standard-IA)로 전환합니다. RRS(Reduced Redundancy Storage)에 이미지 파일을 보관합니다.

 

정답 B, C

 

B는 EC2 스팟 인스턴스보다 비용 효율적이므로 Lambda를 통해 이미지를 처리합니다. 

C는 30일 후에 이미지를 만료하고 ML 교육은 몇 주 전에 미리 계획되므로 S3 Glacier는 느린 검색과 저렴한 스토리지에 이상적입니다. 

 

D와 E는 Glacier보다 비용이 많이 드는 S3 Infrequent Access를 사용합니다.

---

#434. 한 회사가 AWS 클라우드에서 애플리케이션을 호스팅합니다. 이 애플리케이션은 Auto Scaling 그룹의 Elastic Load Balancer 뒤의 Amazon EC2 인스턴스에서 실행되고 Amazon DynamoDB 테이블이 있습니다. 이 회사는 최소한의 다운타임으로 다른 AWS 지역에서 애플리케이션을 사용할 수 있도록 하려고 합니다.

솔루션 아키텍트는 최소한의 다운타임으로 이러한 요구 사항을 충족하기 위해 무엇을 해야 할까요?

A. 재해 복구 지역에서 자동 확장 그룹과 로드 밸런서를 만듭니다. DynamoDB 테이블을 글로벌 테이블로 구성합니다. DNS 장애 조치를 구성하여 새 재해 복구 지역의 로드 밸런서를 가리킵니다.
B. AWS CloudFormation 템플릿을 생성하여 필요할 때 시작할 EC2 인스턴스, 로드 밸런서 및 DynamoDB 테이블을 생성합니다. 새로운 재해 복구 지역의 로드 밸런서를 가리키도록 DNS 장애 조치를 구성합니다.
C. EC2 인스턴스와 필요할 때 시작할 로드 밸런서를 만들기 위한 AWS CloudFormation 템플릿을 만듭니다. DynamoDB 테이블을 글로벌 테이블로 구성합니다. DNS 장애 조치를 구성하여 새 재해 복구 지역의 로드 밸런서를 가리킵니다.
D. 재해 복구 지역에서 자동 확장 그룹과 로드 밸런서를 만듭니다. DynamoDB 테이블을 글로벌 테이블로 구성합니다. 재해 복구 로드 밸런서를 가리키는 Amazon Route 53을 업데이트하는 AWS Lambda 함수를 트리거하는 Amazon CloudWatch 알람을 만듭니다.

 

정답 A

 

최소의 다운타임 = A 비용 효율성 = C, 그러나 DR로 전환해야 할 때 해당 지역에서 사용할 수 없는 일부 EC2 유형/용량이 있는 경우 위험

---

#447. 한 회사에는 Amazon API Gateway에서 호출하는 AWS Lambda 함수에서 실행되는 상태 없는 웹 애플리케이션이 있습니다. 이 회사는 여러 AWS 지역에 애플리케이션을 배포하여 지역 장애 조치 기능을 제공하고자 합니다.

솔루션 아키텍트는 여러 지역으로 트래픽을 라우팅하기 위해 무엇을 해야 합니까?

A. 각 지역에 대한 Amazon Route 53 상태 확인을 생성하십시오. 활성-활성 장애 조치 구성을 사용합니다.
B. 각 지역의 오리진을 사용하여 Amazon CloudFront 배포판을 생성합니다. CloudFront 상태 확인을 사용하여 트래픽을 라우팅합니다.
C. 전송 게이트웨이를 생성합니다. 각 리전의 API 게이트웨이 엔드포인트에 전송 게이트웨이를 연결합니다. 요청을 라우팅하도록 전송 게이트웨이를 구성합니다.
D. 기본 리전에 애플리케이션 로드 밸런서를 만듭니다. 대상 그룹을 각 리전의 API Gateway 엔드포인트 호스트 이름을 가리키도록 설정합니다.

 

정답 A

 

글로벌, 지연 시간 단축, 상태 검사, 장애 조치 없음 = Amazon CloudFront 

글로벌, 지연 시간 단축, 상태 검사, 장애 조치, 경로 트래픽 = Amazon Route 53 옵션 A가 더 큰 가중치를 갖습니다.

---

#449. 한 회사가 Oracle 데이터베이스에서 애플리케이션을 실행합니다. 이 회사는 데이터베이스, 백업 관리 및 데이터 센터 유지 관리를 위한 리소스가 제한되어 AWS로 빠르게 마이그레이션할 계획입니다. 이 애플리케이션은 권한 있는 액세스가 필요한 타사 데이터베이스 기능을 사용합니다.

어떤 솔루션이 이 회사가 데이터베이스를 AWS로 가장 비용 효율적으로 마이그레이션하는 데 도움이 될까요?

A. 데이터베이스를 Oracle용 Amazon RDS로 마이그레이션합니다. 타사 기능을 클라우드 서비스로 대체합니다.
B. 데이터베이스를 Oracle용 Amazon RDS Custom으로 마이그레이션합니다. 타사 기능을 지원하도록 데이터베이스 설정을 사용자 정의합니다.
C. 데이터베이스를 Oracle용 Amazon EC2 Amazon 머신 이미지(AMI)로 마이그레이션합니다. 타사 기능을 지원하도록 데이터베이스 설정을 사용자 정의합니다.
D. Oracle APEX에 대한 종속성을 제거하기 위해 애플리케이션 코드를 다시 작성하여 데이터베이스를 Amazon RDS for PostgreSQL로 마이그레이션합니다.

 

정답 B

 

주요 제약 조건: DB 관리 및 비용에 대한 리소스 제한. 권한 있는 액세스가 있는 타사 DB 기능.

A: 타사 기능으로 인해 작동하지 않음

C: Oracle이 있는 AMI는 작동할 수 있지만 다시 백업, 유지 관리 등의 오버헤드

D: 다시 쓰기에 오버헤드가 너무 많음

B: 실제로 Oracle 타사 기능을 지원함 주의: 옵션 D에서 제안한 대로 APEX에 대한 내용만 있는 경우 A도 가능한 답입니다.

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Appendix.Oracle.Options.APEX.html

---

#465. 한 회사에서 고객 요구를 지원하기 위해 애플리케이션을 개발하고 있습니다. 회사는 동일한 가용 영역 내의 여러 Amazon EC2 Nitro 기반 인스턴스에 애플리케이션을 배포하려고 합니다. 또한 회사는 더 높은 애플리케이션 가용성을 달성하기 위해 여러 EC2 Nitro 기반 인스턴스의 여러 블록 스토리지 볼륨에 동시에 쓸 수 있는 기능을 애플리케이션에 제공하려고 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. Amazon Elastic Block Store(Amazon EBS) 다중 연결과 함께 범용 SSD(gp3) EBS 볼륨 사용
B. Amazon Elastic Block Store(Amazon EBS) 다중 연결과 함께 Throughput Optimized HDD(st1) EBS 볼륨 사용
C. Amazon Elastic Block Store(Amazon EBS) 다중 연결과 함께 프로비저닝된 IOPS SSD(io2) EBS 볼륨 사용
D. Amazon Elastic Block Store(Amazon EBS) 다중 연결과 함께 범용 SSD(gp2) EBS 볼륨 사용

 

정답 C

 

HDD<gp2<gp3<io2

 

AWS IO2는 다중 연결을 지원합니다. 다중 연결을 사용하면 동일한 가용성 영역 내에서 최대 16개의 Nitro 기반 EC2 인스턴스 간에 EBS 데이터 볼륨에 대한 액세스를 공유할 수 있습니다. 연결된 각 인스턴스는 공유 볼륨에 대한 전체 읽기 및 쓰기 권한을 갖습니다. 이 기능은 공유 스토리지 인프라에서 여러 작성자의 스토리지 일관성을 관리하는 애플리케이션을 배포하려는 고객이 더 높은 애플리케이션 가용성을 쉽게 달성할 수 있도록 고안되었습니다. 그러나 io2의 다중 연결은 특정 지역에서만 사용할 수 있습니다.

---

#468. 한 회사가 고객에게 검색 카탈로그를 제공할 마이크로서비스 애플리케이션을 개발 중입니다. 회사는 사용자에게 애플리케이션의 프런트엔드를 제공하기 위해 REST API를 사용해야 합니다. REST API는 회사가 프라이빗 VPC 서브넷의 컨테이너에서 호스팅하는 백엔드 서비스에 액세스해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. Amazon API Gateway를 사용하여 WebSocket API를 설계합니다. 프라이빗 서브넷의 Amazon Elastic Container Service(Amazon ECS)에서 애플리케이션을 호스팅합니다. Amazon ECS에 액세스하기 위해 API 게이트웨이에 대한 프라이빗 VPC 링크를 생성합니다.
B. Amazon API Gateway를 사용하여 REST API를 설계합니다. 프라이빗 서브넷의 Amazon Elastic Container Service(Amazon ECS)에서 애플리케이션을 호스팅합니다. Amazon ECS에 액세스하기 위해 API 게이트웨이에 대한 프라이빗 VPC 링크를 생성합니다.
C. Amazon API Gateway를 사용하여 WebSocket API를 설계합니다. 프라이빗 서브넷의 Amazon Elastic Container Service(Amazon ECS)에서 애플리케이션을 호스팅합니다. Amazon ECS에 액세스하기 위해 API Gateway에 대한 보안 그룹을 생성합니다.
D. Amazon API Gateway를 사용하여 REST API를 설계합니다. 프라이빗 서브넷의 Amazon Elastic Container Service(Amazon ECS)에서 애플리케이션을 호스팅합니다. Amazon ECS에 액세스하기 위해 API Gateway에 대한 보안 그룹을 생성합니다.

 

정답 B

 

Amazon API Gateway를 사용하는 REST API:

REST API는 마이크로서비스 애플리케이션의 프런트엔드를 제공하는 데 적합한 선택입니다.

Amazon API Gateway를 사용하면 대규모로 REST API를 설계, 배포 및 관리할 수 있습니다. 

프라이빗 서브넷의 Amazon ECS: 프라이빗 서브넷의 Amazon ECS에서 애플리케이션을 호스팅하면 컨테이너가 VPC 내에 안전하게 배포되고 퍼블릭 인터넷에 직접 노출되지 않습니다. 

프라이빗 VPC 링크: API Gateway에서 REST API를 활성화하여 Amazon ECS에서 호스팅되는 백엔드 서비스에 액세스하려면 프라이빗 VPC 링크를 생성하면 됩니다. 이를 통해 API 게이트웨이와 ECS 컨테이너 사이에 프라이빗 네트워크 연결이 설정되어 퍼블릭 인터넷을 통과하지 않고도 안전한 통신이 가능해집니다.

---

#470. 회사에는 IPv6 주소를 사용하여 Amazon EC2 인스턴스에 호스팅되는 애플리케이션이 있습니다. 애플리케이션은 인터넷을 사용하여 다른 외부 애플리케이션과의 통신을 시작해야 합니다. 그러나 회사의 보안 정책에는 외부 서비스가 EC2 인스턴스에 대한 연결을 시작할 수 없다고 명시되어 있습니다.

이 문제를 해결하기 위해 솔루션 설계자는 무엇을 권장해야 합니까?

A. NAT 게이트웨이를 생성하고 이를 서브넷의 경로 테이블의 목적지로 만듭니다.
B. 인터넷 게이트웨이를 생성하고 이를 서브넷의 경로 테이블의 목적지로 만듭니다.
C. 가상 사설 게이트웨이를 생성하고 이를 서브넷의 경로 테이블의 목적지로 만듭니다.
D. 이그레스 전용 인터넷 게이트웨이를 생성하고 이를 서브넷 경로 테이블의 목적지로 만듭니다.

 

정답 D

 

이그레스 전용 인터넷 게이트웨이(EIGW)는 IPv6 전용 VPC를 위해 특별히 설계되었으며 인바운드 IPv6 트래픽을 차단하는 동시에 아웃바운드 IPv6 인터넷 액세스를 제공합니다. 이는 인스턴스가 아웃바운드 통신을 시작할 수 있도록 허용하면서 외부 서비스가 EC2 인스턴스에 연결을 시작하는 것을 방지하는 요구 사항을 충족합니다.

---

#474. 회사는 다른 지역의 워크로드와 격리된 워크로드를 지원하고 실행하기 위해 AWS 지역 전체에 여러 VPC를 보유하고 있습니다. 최근 애플리케이션 시작 요구 사항으로 인해 회사의 VPC는 ​​모든 리전의 다른 모든 VPC와 통신해야 합니다.

최소한의 관리 노력으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 단일 지역에서 VPC 통신을 관리하려면 VPC 피어링을 사용하십시오. 리전 간 VPC 피어링을 사용하여 VPC 통신을 관리하세요.
B. 모든 지역에서 AWS Direct Connect 게이트웨이를 사용하여 지역 전체에 걸쳐 VPC를 연결하고 VPC 통신을 관리합니다.
C. AWS Transit Gateway를 사용하여 단일 지역의 VPC 통신을 관리하고, 여러 지역 간의 Transit Gateway 피어링을 사용하여 VPC 통신을 관리합니다.
D. 모든 지역에서 AWS PrivateLink를 사용하여 지역 전체에 걸쳐 VPC를 연결하고 VPC 통신을 관리합니다.

 

정답 C

 

AWS Transit Gateway: Transit Gateway는 VPC와 온프레미스 네트워크 간의 네트워크 연결을 간소화하는 확장성이 뛰어난 서비스입니다. 단일 리전에서 Transit Gateway를 사용하면 VPC 통신 관리를 중앙화하고 관리 작업을 줄일 수 있습니다. Transit Gateway 피어링: Transit Gateway는 AWS 리전 간 피어링 연결을 지원하여 복잡한 VPC 피어링 구성 없이도 다른 리전의 VPC 간에 연결을 설정할 수 있습니다. 이를 통해 리전 간 VPC 통신 관리가 간소화됩니다.

---

#490. 게임 회사는 Amazon DynamoDB를 사용하여 지리적 위치, 플레이어 데이터, 리더보드와 같은 사용자 정보를 저장합니다. 이 회사는 최소한의 코딩으로 Amazon S3 버킷에 대한 지속적인 백업을 구성해야 합니다. 백업은 애플리케이션의 가용성에 영향을 미치지 않아야 하며 테이블에 대해 정의된 읽기 용량 단위(RCU)에 영향을 미치지 않아야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. Amazon EMR 클러스터를 사용합니다. Apache Hive 작업을 생성하여 데이터를 Amazon S3에 백업합니다.
B. DynamoDB에서 Amazon S3로 직접 데이터를 내보내고 지속적으로 백업합니다. 테이블에 대한 point-in-time 복구를 켭니다.
C. Amazon DynamoDB Streams 구성. 스트림을 소비하고 데이터를 Amazon S3 버킷으로 내보내는 AWS Lambda 함수를 만듭니다.
D. 정기적으로 데이터베이스 테이블의 데이터를 Amazon S3로 내보내는 AWS Lambda 함수를 생성합니다. 테이블에 대한 특정 시점 복구를 활성화합니다.

 

 

정답 B

 

연속 백업은 DynamoDB의 기본 기능으로, 서버나 클러스터를 관리할 필요 없이 모든 규모에서 작동하며, AWS 리전과 계정에서 지난 35일 동안의 모든 시점으로 초당 세분성으로 데이터를 내보낼 수 있습니다. 게다가, 프로덕션 테이블의 읽기 용량이나 가용성에는 영향을 미치지 않습니다. https://aws.amazon.com/blogs/aws/new-export-amazon-dynamodb-table-data-to-data-lake-amazon-s3/

---

#497. 한 회사에는 동일한 AWS 리전의 Amazon S3 버킷에서 대량의 데이터를 읽고 쓰는 서비스가 있습니다. 이 서비스는 VPC의 프라이빗 서브넷 내의 Amazon EC2 인스턴스에 배포됩니다. 이 서비스는 퍼블릭 서브넷의 NAT 게이트웨이를 통해 Amazon S3와 통신합니다. 그러나 이 회사는 데이터 출력 비용을 줄이는 솔루션을 원합니다.

어떤 솔루션이 이러한 요구 사항을 가장 비용 효율적으로 충족할까요?

A. 퍼블릭 서브넷에 전용 EC2 NAT 인스턴스를 프로비저닝합니다. 이 인스턴스의 탄력적 네트워크 인터페이스를 모든 S3 트래픽의 대상으로 사용하도록 프라이빗 서브넷의 경로 테이블을 구성합니다.
B. 프라이빗 서브넷에 전용 EC2 NAT 인스턴스를 프로비저닝합니다. 이 인스턴스의 탄력적 네트워크 인터페이스를 모든 S3 트래픽의 대상으로 사용하도록 퍼블릭 서브넷의 라우팅 테이블을 구성합니다.
C. VPC 게이트웨이 엔드포인트를 프로비저닝합니다. 모든 S3 트래픽의 경로로 게이트웨이 엔드포인트를 사용하도록 프라이빗 서브넷의 경로 테이블을 구성합니다.
D. 두 번째 NAT 게이트웨이를 프로비저닝합니다. 이 NAT 게이트웨이를 모든 S3 트래픽의 대상으로 사용하도록 프라이빗 서브넷의 라우팅 테이블을 구성합니다.

 

정답 C

 

VPC 게이트웨이 엔드포인트를 사용하면 NAT 게이트웨이나 NAT 인스턴스를 사용하지 않고도 VPC 내에서 Amazon S3에 비공개로 액세스할 수 있습니다. S3에 대한 VPC 게이트웨이 엔드포인트를 프로비저닝하면 프라이빗 서브넷의 서비스가 NAT 게이트웨이를 통과하는 트래픽에 대한 데이터 전송 비용을 들이지 않고도 S3와 직접 통신할 수 있습니다.