[AWS] SAA-CO3 오답노트

대부분의 내용을 다 정리한 거 같다 ㅋㅋㅋㅋ

 

Glue

모든 데이터를 대규모로 검색, 준비, 통합

확장 가능한 서버리스 데이터 통합 서비스(검색 가능)

ELT(추출, 변환, 로드)해서 S3 버킷에 저장할 수 있다. 

 

Q214

.csv 파일을 Apache Parquet 형식으로 변환하고 버킷에 저장 가능 

 

API Storage Gateway

온프레미스 환경 + AWS Storage 통합 서비스 

대역폭 비용 최소화 -> 캐시된 볼륨을 사용하여 Storage Gateway 배포 후 데이터를 로컬에 저장/ S3에 비동기식으로 백업 

 

Athena 

표준 SQL을 사용하여 S3에서 직접 데이터를 분석할 수 있는 서버리스 및 대화형 쿼리 서비스 

CloudTrail 이벤트 기록을 사용해서 Athena 테이블을 생성함으로써 CloudTrail 로그를 쿼리할 수 있다 

 

Redshift

Athena에 노드 클러스터의 프로비저닝 및 관리 포함(오버헤드 및 비용이 추가됨)

페타바이트 규모의 데이터 웨어하우스 서비스 

SQL 기반 도구 및 비즈니스 인텔리전스 어플리케이션을 사용하여 빠른 쿼리 성능을 제공함  

 

 

Q557

A,B 투표율이 반반이다 

 

API Gateway

API 생성 및 유지 관리, 모니터링 등을 제공하는 서비스

Endpoint와 REST API를 관리

RESTful API -> API Gateway 사용 

 

HTTPS Endpoint 호출시 IAM으로 인증

 

프로비저닝된 동시성과 함께 Amazon API Gateway 및 AWS Lambda 함수를 사용한다 

 

Interface Gateway

BuyStock Restful 웹 서비스와 CheckFunds Restful 웹 서비스가 코드를 변경하지 않고 VPC를 통해 통신할 수 있다. 

고객의 VPC에 ENI를 생성해서 API에서 ENI로 트래픽을 라우팅하는 라우팅 테이블을 구성한다 

 

Amazon Cognito

웹 또는 앱을 위한 자격 증명 플랫폼 

인증된 사용자만 API에 액세스 할 수 있도록 함 

자격 증명 풀로 AWS 리소스에 접근 하는 것을 관리할 수 있다. 

추가 인프라 필요 없음, 유지 관리 필요 없음 -> 운영 오버헤드 가장 적다 

 

글로벌, 지연 시간 감소, 상태 확인, 장애 조치 없음 = Amazon CloudFront

글로벌, 지연 시간 감소, 상태 확인, 장애 조치, 트래픽 라우팅 = Amazon Route 53 (활성-활성 장애 조치 구성) 

CloudFront

- SFTP 사용시 정적 문서로 비용 효율적인 인프라 설계 -> 프라이빗 AMazon S3 버킷 생성, 원본 액세스 ID(OAI)에서 액세스 허용, CLI로 웹사이트 콘텐츠 업로드 

SSH File Transfer Protocol

 

CloudFront가 오리진에 인증된 요청을 제공하는 방법

( 오리진: 콘텐츠가 저장되고 CloudFront가 최종 사용자에게 제공할 콘텐츠를 가져오는 위치 )

S3와 CloudFront를 사용하는 상황에서 S3에 직접 액세스 하는 것을 막으려면? 

1. OAI(Origin Access Identity)

2. OAC(Origin Access Control)

 

동적, 정적 콘텐츠의 성능 향상 

 

캐싱 및 콘텐츠 전송에는 도움이 되지만, 애플리케이션의 상태를 모니터링하거나 상태 확인을 기반으로 트래픽을 리디렉션하지는 않는다. 

 

캐시 때문에 웹 사이트 업데이트가 안 될 수도 있음 

 

AWS Global Accelerator

TCP/UDP, 엔드포인트에 입력할 수 있는 고정 IP주소를 가져야 함 

하나 이상의 리전에서 실행되는 애플리케이션에 대해 엣지의 패킷을 프록시하여 애플리케이션의 성능을 개선함 

상태 확인을 기반으로 최적의 엔드포인트로 트래픽을 전달, 지리적 위치 기반 라우팅 가능 

모니터링 가능  및 정상 엔드포인트로 리디렉션 

 

Elastic Beanstalk

AWS 클라우드에서 애플리케이션을 신속하게 배포하고 관리할 수 있다

선택 또는 제어에 대한 제한 없이 관리 복잡성을 줄일 수 있음

애플리케이션을 업로드하기만 하면 Elastic Beanstalk에서 용량 프로비저닝, 로드 밸런싱, 조정, 애플리케이션 상태 모니터링에 대한 세부 정보를 자동으로 처리

Go, Java, .NET, Node.js, PHP, Python 및 Ruby에서 개발된 애플리케이션을 지원

 

 

Amazon Pinpoint 

양방향 메시징(SMS를 통해 대화형 메시지 ) 

 

AWS Outposts

- Outposts 랙에 탄력적인 전원 및 네트워크 연결을 제공합니다. 

- 데이터 센터 환경의 물리적 보안 및 액세스 제어 

- Outposts 구성 요소의 물리적 유지 관리 

 

 

Amazon Rekognition

이미지나 비디오 분석 서비스 

 

Transcribe Medical

음성 -> 텍스트 변환 

 

Comprehend Medical

미리 학습된 기계 학습을 사용하여 처방전, 처치, 진단과 같은 의료 텍스트에서 의료 데이터를 파악하고 추출한다. 

Kinesis

결제 ID를 파티션 키로 사용 가능 (메시지의 엄격한 순서가 보장됨)

 

- KInesis Data Streams

대량의 데이터 수집

- Kinesis Data firehose

AWS 데이터로 로드 (저장 기능 없이 전송만 가능)

+S3 => 실시간 데이터 수집, 변환, 암호화 및 저장하는 운영 오버헤드가 낮은 솔루션 

- Kinesis Data analytics 

SQL, Java 등으로 스트림 데이터 분석

 

S3 

- 모든 유형의 데이터에 대해 확장 가능

- 내구성/ 가용성 제공

- 정적 웹 사이트에서 가장 비용효율적인 방법 

 

종류

S3 Intelligent-Tiering

S3 Standard: 지연시간 짧음

S3 Standard-Infrequent Access(Standard-IA): 자주 사용 X, 빠른 접근 

S3 One Zone-Infrequent Access(S3 One Zone-IA)

 

Glacier 검색 및 유연성 좋음, 가장 저렴한 아카이브 스토리지

- 비용 최소화, 최대 5분 내에 사용할 수 있어야 함 -> S3 Glacier 

S3 Glacier Instant Retrieval: 즉각적인 액세스 

S3 Glacier Flexible Retrieval: 큰 데이터, 즉각 액세스 불가

S3 Glacier Deep Archive: 장기 보관용, 거의 접근하지 않음

 

최고의 성능을 위한 Amazon EC2 인스턴스 스토어, 내구성 있는 데이터 스토리지를 위한 Amazon S3, 아카이브 스토리지를 위한 Amazon S3

 

 

 

S3 백업

- AWS Backup 규정 준수 모드에서 볼트 잠금이 있는 백업 볼트 생성: 일정 기간 백업 파일 보존(변조 안됨)

 

S3 Transfer Acceleration

- 콘텐츠 업로드에 대한 지연시간 최소화 및 사용자 경험 최적화

 

S3 Gateway Endpoint 서브넷에서 생성 

EC2-S3 버킷 간 인터넷에 노출되지 않음 

 

미리 서명된 URL

S3 버킷으로 직접 파일을 올릴 수 있기 때문에 확장성이 좋고 로드 시간이 줄어든다. 

 

Q607

한 회사가 온프레미스 데이터 센터에서 AWS 클라우드로 2계층 애플리케이션을 마이그레이션했습니다. 데이터 계층은 12TB의 범용 SSD Amazon Elastic Block Store(Amazon EBS) 스토리지를 갖춘 Oracle용 Amazon RDS의 다중 AZ 배포입니다. 이 애플리케이션은 평균 문서 크기가 6MB인 이진 대형 개체(BLOB)로 데이터베이스의 문서를 처리하고 저장하도록 설계되었습니다.

시간이 지남에 따라 데이터베이스 크기가 증가하여 성능이 저하되고 스토리지 비용이 증가했습니다. 회사는 데이터베이스 성능을 개선해야 하며 가용성과 탄력성이 뛰어난 솔루션이 필요합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

C. Amazon S3 버킷을 생성합니다. S3 버킷에 문서를 저장하도록 애플리케이션을 업데이트합니다. 기존 데이터베이스에 개체 메타데이터를 저장합니다.

 

Q513

이미지 크기 조정 후 업로드 -> Lambda+S3 사용 

 

거버넌스 모드- 잠재적인 수정 또는 삭제가 허용됨

규정 준수 모드 - 객체의 수정이나 삭제를 방지함 

 

 

백업 관련

AWS Backup

- AWS 서비스의 데이터 보호를 중앙 집중화 하는 완전 관리형 서비스 

- Backup Valut Lock: 백업 볼트에 대한 보안 및 제어 강화 

백업 볼트: 백업을 구성할 때 사용하는 컨테이너

- 최소한의 노력으로 EC2 등의 리소스를 복구할 수 있다 

 

RPO(복구 시점 목표, Recovery Point Object)

어떤 시점으로 복구할 건

RTO(복구 시간 목표, Recovery Time Object)

몇시간 만에 복구할 건지

 

 

기타 데이터베이스

PostgreSQL: 오픈소스 객체 관계형 데이터베이스 관리 시스템

관계형, 비관계형 모두 지원함 

Amazon Aurora와 호환됨 

 

 

MongoDB

DocumentDB와 호환됨 

RDS for MySQL과 백엔드 계층 통신시 성능 저하를 일으키는 데이터베이스에서 동일한 데이터 세트를 반환하라는 호출이 있는 경우 -> ElastiCache를 구현하여 대규모 데이터 세트를 캐싱 

 

DynamoDB

TTL을 이용해서 오래된 데이터 삭제 기능 있음 

주문형 백업 기능 - 지정시간 복구 구성 가능

계층 구조의 데이터 

DynamoDB Accelerator(DAX) - 완전 관리형 인메모리 기반 캐싱 솔루션으로 데이터베이스에 대한 요청을 캐시할 때 사용

자주 액세스 하는 데이터 

DynamoDB용 VPC Gateway Endpoint

연속백업 VS 스트림

연속 백업은 지속적인 백업, 가용성에 영향을 미치지 않음

스트림은 일회성 백업(24시간 이후 삭제 됨)

 

EBS

GP3 - 16,000 IOPS 제공 

 

EFS

IOPS 좋음

IOPS: Input/Output Operation Per Second: 메모리의 랜덤 쓰기 속도를 측정

POSIX(Portable Operating System Interface) 파일 시스템에서 액세스 지원 (S3는 하지 않음!)

애플리케이션 인터페이스 규격 

EKS 클러스터의 Storageclass 객체에 파일 시스템을 등록할 수 있다 

(단 Lambda를 사용하여 EFS 파일 시스템 간 데이터 동기화는 불필요하고 복잡하고 오류가 발생하기 쉽다) 

 

Aurora

Q440

RDS 스냅샷 > Aurora에 직접 가져옴 / 데이터베이스 덤프는 S3에 업로드 후 덤프를 Aurora로 가져온다. 

 

고가용성 -> 다른 가용 영역이라는 키워드가 있어야 하는 듯 

 

 

RDS proxy

데이터베이스 트래픽 급증 처리

데이터베이스 자체가 아닌 CPU, 메모리 및 디스크 액세스 메트릭이 낮을 때도 사용이 가능하다 

 

세션 데이터를 지속적으로 저장하는 방법 

ALB에서 고정 세션 기능(세션 선호도)를 켠다 

Amazon ElastiCache for Redis 클러스터를 배포하여 고객 세션 정보를 저장한다 

 

기존 단일 AZ DB인스턴스를 다중 AZ로 변환하기 

AWS Management Console에서 DB 인스턴스를 수정하면 된다. 

 

Q324

최종 사용자가 대기 시간 없이 온프레미스 시스템의 모든 파일 유형에 즉시 액세스 

AWS Storage Gateway 볼륨 게이트웨이 프로비저닝

 

읽기 전용 복제본 추가하기 전에 해야할 일

C. 원본 DB 인스턴스에서 장기 실행 트랜잭션이 완료되도록 허용합니다.

E. 백업 보존 기간을 0 이외의 값으로 설정하여 원본 인스턴스에서 자동 백업을 활성화합니다. 

 

캐시 관련

Redis용 ElastCache

세션 상태 저장

고가용성 보장(다중 AZ 지원)

 

Memcached 

메모리 리소스를 적게 소비

쉽게 확장 가능하지만 해싱 여부에 따라 캐시된 데이터를 잃을 수 있다 

 

 

 

암호화 관련

- Amazon RDS DB 인스턴스는 인스턴스를 생성할 때에만 암호화가 가능하다. 

그래서 스냅샷의 사본을 암호화 -> 스냅샷 복원 -> 인스턴스 교체 순서로 암호화를 할 수 있다. 

 

AMI를 공유해야 할 때 

launchPermission 속성 수정

MSP 파트너의 AWS 계정에 있는 Amazon S3 버킷으로 AMI를 내보내고 MSP 파트너가 소유한 새 KMS 키로 S3 버킷을 암호화한다. 

 

KMS

감사 목적, 암호화 키 기록 시 사용

키를 쉽게 생성하고 제어할 수 있음 (운영 부담 감소)

응용 프로그램 데이터 암호화 

고객 관리 키가 있는 경우 고객 제공 키는 필요 없음 

 

EKS 클러스터에서 저장되는 암호가 etcd에 저장되어야 함 -> KMS 키를 생성+EKS클러스터에서 KMS 비밀 암호화 활성화 

 

Secret Manager

사용자 자격 증명 자주 교체

안전(하드코딩 없이)

 

AWS Certificate Manager(ACM)

SSL/TLS 인증서를 손쉽게 프로비저닝 및 관리 

인증서를 신속하게 요청 

ALB의 리스너에 ACM으로 가져온 SSL 인증서를 추가 -> 자체 SSL인증서 사용시 트래픽 증가, 용량 최대 한도일 때 사용

 

AWS config

인증서 만료 알림

관리형 규칙을 통해 비준수 규칙이 생성되면 Amazon Simple 알림 서비스 알림을 생성할 수 있다 

 

AWS Macie

기계 학습 및 패턴 일치를 사용하여 AWS 환경에서 민감한 데이터를 검색, 모니터링 및 보호하는 완전 관리형 데이터 보안 및 데이터 개인 정보 보호 서비스

PII(개인식별 정보) 검색 시에도 사용 

 

 

 

전송 중인 데이터의 보안 개선

TLS 수신기 + NLB에 서버 인증서를 배포 

IPsec과 같은 인증을 지원하는 프로토콜을 사용 

의도하지 않은 데이터 액세스 탐지 자동화 -> GaurdDuty

보안 키 및 인증서 관리 구현-> ACM과 같은 인증서 관리 서비스 

 

 

 

Q159 

이건 답이 CE라는 말도 있어서.. 보류!!! 

 

Q327

솔루션 설계자는 Amazon EC2 인스턴스를 호스팅하는 VPC 네트워크를 보호해야 합니다. EC2 인스턴스는 매우 민감한 데이터를 포함하고 프라이빗 서브넷에서 실행됩니다. 회사 정책에 따라 VPC에서 실행되는 EC2 인스턴스는 타사 URL을 사용하는 소프트웨어 제품 업데이트를 위해 인터넷에서 승인된 타사 소프트웨어 리포지토리에만 액세스할 수 있습니다. 다른 인터넷 트래픽은 차단되어야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 아웃바운드 트래픽을 AWS 네트워크 방화벽 방화벽으로 라우팅하도록 프라이빗 서브넷의 라우팅 테이블을 업데이트합니다. 도메인 목록 규칙 그룹을 구성합니다.

B. AWS WAF 웹 ACL을 설정합니다. 소스 및 대상 IP 주소 범위 집합을 기반으로 트래픽 요청을 필터링하는 사용자 지정 규칙 집합을 만듭니다.

C. 엄격한 인바운드 보안 그룹 규칙을 구현합니다. URL을 지정하여 인터넷에서 승인된 소프트웨어 리포지토리에 대한 트래픽만 허용하는 아웃바운드 규칙을 구성합니다.

D. EC2 인스턴스 앞에 Application Load Balancer(ALB)를 구성합니다. 모든 아웃바운드 트래픽을 ALB로 보냅니다. 인터넷에 대한 아웃바운드 액세스를 위해 ALB의 대상 그룹에서 URL 기반 규칙 리스너를 사용합니다.

-> 네트워크 방화벽에서 소프트웨어 패치 다운로드를 위해 특정 도메인을 허용하고 다른 모든 도메인을 거부하는 상태 저장 아웃바운드 규칙 생성 

 

IAM

사용자나 그룹, 리소스에 역할을 할당해서 사용 ( 역할에 정책이 여러 개 있을 수 있음)

 

최소 권한을 부여하는 IAM 정책을 생성합니다. 정책을 IAM 그룹에 연결합니다. 

정책을 그IAM 룹과 연결하면 운영 비용을 줄이고 권한 구성 및 관리를 단순화할 수 있다. 

 

 

EC2 

스팟 인스턴스

상태 비저장, 시작 및 중지 가능

온디맨드보다 저렴한 비용 

중지될 위험이 있음 

 

예약 인스턴스 

예약 인스턴스는 1년 또는 3년 단위의 약정 방식 

 

Q505

 

Compute Saving plans

Q552

이럴 때 사용 

 

 

 

컨테이너에서 어플리케이션 실행 > ECS/EKS

Q671

 

 

Auto Scaling

- Target Tracking Policy(대상 추적 정책): CPU 사용률에 따라 Auto Scaling

단, EC2는 최소 1개 이상 

- NLB는 UDP 지원 (ALB는 지원하지 X, HTTP 및 HTTPS만 지원함 )

- 예측 조정 정책 

예약된 조정으로 Auto Scaling 그룹의 최소, 최대 및 원하는 용량을 주말동안 0으로 변경 가능 

- EBS 빠른 스냅샷 복원 -> Auto Scaling AMI를 교체하면 AMI를 빠르게 프로비저닝 할 수 있다. 

 

Q581

회사는 Amazon EC2 인스턴스에서 상태 저장 프로덕션 애플리케이션을 실행합니다. 애플리케이션을 항상 실행하려면 최소 2개의 EC2 인스턴스가 필요합니다.

솔루션 설계자는 응용 프로그램을 위한 고가용성 및 내결함성 아키텍처를 설계해야 합니다. 솔루션 설계자는 EC2 인스턴스의 Auto Scaling 그룹을 생성합니다.

이러한 요구 사항을 충족하기 위해 솔루션 설계자가 수행해야 하는 추가 단계는 무엇입니까?

B. Auto Scaling 그룹의 최소 용량을 4개로 설정합니다. 하나의 가용 영역에 2개의 온디맨드 인스턴스를 배포하고 두 번째 가용 영역에 2개의 온디맨드 인스턴스를 배포합니다.

 

 

시작 구성 vs 시작 템플릿

시작 템플릿 권고됨!

시작 구성은 수정 불가능 하지만 시작 템플릿은 버전 관리를 통해서 수정 가능 

 

 

액세스 관련

RDP(원격 데스크톱 프로토콜)

- VPC Flow Log(VPC 흐름 로그)

VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할 수 있는 기능

 

배치 그룹

클러스터 배치 그룹 - 노드 간 통신에 가장 낮은 지연 시간 

분산 배치 그룹 - 노드 그룹이 동일한 기본 하드웨어 공유하지 못하도록 함 (인스턴스가 랙 수준에서 서로 격리되게 보장) 

 

보안 그룹은 인스턴스 수준 / NACL은 서브넷 수준

 

 

전용 예약 호스트(Dedicated Reserved Hosts)

Microsoft 및 Oracle과 같은 공급업체의 적격 소프트웨어 라이선스를 사용할 수 있으므로 자체 라이선스 사용의 유연성과 비용 효율성을 얻으면서도 AWS의 탄력성, 단순성을 얻을 수 있다. 

 

lambda

EC2 인스턴스와 DB 인스턴스를 시작하고 중지하는 작업을 자동화 가능

EventBridge가 일정에 맞게 Lambda를 호출할 수 있다. 

최대 15분만 실행되기 때문에 작업 시간이 15분이 넘는 작업에서는 사용하면 안 된다!! 

 

SQS 

SQS 메시지가 Lambda 함수를 두 번 이상 호출한 경우 -> 가시성 시간 제한 늘리기 

SNS dead letter queue - SQS를 대상으로 하면 전달되지 않은 메시지를 보관하고 분석할 수 있다. 

트랜잭션 삭제 문제시 SQS 사용 

 

Q18

애플리케이션 개발 팀은 큰 이미지를 더 작은 압축 이미지로 변환하는 마이크로서비스를 설계하고 있습니다. 사용자가 웹 인터페이스를 통해 이미지를 업로드하면 마이크로 서비스는 이미지를 Amazon S3 버킷에 저장하고, AWS Lambda 함수로 이미지를 처리 ​​및 압축하고, 다른 S3 버킷에 압축된 형태로 이미지를 저장해야 합니다.

솔루션 설계자는 내구성이 있는 상태 비저장 구성 요소를 사용하여 이미지를 자동으로 처리하는 솔루션을 설계해야 합니다.

이러한 요구 사항을 충족하는 작업 조합은 무엇입니까? (2개를 선택하세요.)

A. Amazon Simple Queue Service(Amazon SQS) 대기열을 생성합니다. 이미지가 S3 버킷에 업로드될 때 SQS 대기열에 알림을 보내도록 S3 버킷을 구성합니다.

B. Amazon Simple Queue Service(Amazon SQS) 대기열을 호출 소스로 사용하도록 Lambda 함수를 구성합니다. SQS 메시지가 성공적으로 처리되면 대기열에서 메시지를 삭제합니다.

S3 -> SQS -> Lambda 

 

Q152

 

 

Q666

회사는 사용자를 비용 센터에 매핑하는 Amazon RDS 데이터베이스를 유지 관리합니다. 회사는 AWS Organizations의 조직에 계정을 가지고 있습니다. 회사에는 조직의 특정 AWS 계정에서 생성된 모든 리소스에 태그를 지정하는 솔루션이 필요합니다. 솔루션은 리소스를 생성한 사용자의 비용 센터 ID로 각 리소스에 태그를 지정해야 합니다.

어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. 특정 AWS 계정을 마스터 계정에서 조직의 새로운 조직 단위(OU)로 이동합니다. 리소스가 생성되기 전에 모든 기존 리소스에 올바른 비용 센터 태그가 있어야 하는 서비스 제어 정책(SCP)을 생성합니다. 새 OU에 SCP를 적용합니다.

B. Lambda 함수가 RDS 데이터베이스에서 적절한 비용 센터를 조회한 후 리소스에 태그를 지정하는 AWS Lambda 함수를 생성합니다. AWS CloudTrail 이벤트에 반응하여 Lambda 함수를 호출하는 Amazon EventBridge 규칙을 구성합니다.

C. AWS CloudFormation 스택을 생성하여 AWS Lambda 함수를 배포합니다. RDS 데이터베이스에서 적절한 비용 센터를 조회하고 리소스에 태그를 지정하도록 Lambda 함수를 구성합니다. CloudFormation 스택을 호출하는 Amazon EventBridge 예약 규칙을 생성합니다.

D. 기본값으로 리소스에 태그를 지정하는 AWS Lambda 함수를 생성합니다. 리소스에 비용 센터 태그가 누락된 경우 AWS CloudTrail 이벤트에 반응하여 Lambda 함수를 호출하는 Amazon EventBridge 규칙을 구성합니다.

 

Migration 

ActiveMQ 

ActiveMQ 대기열로 메시지를 수신, MySQL 데이터베이스 사용 

 

Snowball

- 600TB, 2주 안에 전송: AWS Snow Family 콘솔

Snowball Edge Storage Optimized 디바이스

- 과도한 크기의 EC2 인스턴스 프로비저닝, 보안 그룹 규칙 수정시 변경사항 추적 및 감사해야 함

- 30일 이내 20TB의 데이터, 대역폭은 15Mbps로 사용률이 70%를 초과할 수 없음 

- 6주 안에 10PB의 데이터를 S3로 마이그레이션, 500Mbps의 업링크, 대역폭의 80%를 사용 수 있음 

 

 

AWS CloudTrail, AWS Config

CloudTrail: API 호출 기록 제공, 추적 가능

Config: 감사 및 규정 준수를 위한 규칙 생성, 경고 

 

AWS DataSync

AWS-Onpremise간 스토리지 전송 서비스 

Onpremise에 DataSync Agent를 설치해야 한다. 

단독으로 사용하면 데이터베이스 마이그레이션 및 데이터 동기화에 충분하지 않음 

S3 -> S3, EFS에 지속적으로 복사 

전송 후 데이터 무결성을 자동으로 검증 

 

- ISCSI(Internet Small Computer Systems Interface)

IP기반의 스토리지 네트워킹 표준

전송 계층에서 사용

AWS Storage Gateway

온프레미 애플리케이션에 클라우드 스토리지 액세스 제공 

자주 사용되는 데이터에 대한 짧은 대기 시간 액세스 -> 캐시된 볼륨 

 

- MySQL 호환 Amazon Aurora Serverless

데이터베이스가 애플리케이션의 요구 사항에 따라 자동으로 시작, 종료, 용량 확장 또는 축소함 

간헐적이거나 예측 불가능한 워크로드를 위한 간단하고 비용 효율적인 옵션 

 

Windows AWS Migration

Amazon FSx File Gateway 

Windows File Server + AWS로 이동 

Amazon FSx for NetApp ONTAP

고객이 클라우드에서 완전관리형 ONTAP 파일 시스템을 시작하고 실행할 수 있는 스토리지 서비스

Linux와 Windows 파일 시스템 간에 공유 스토리지를 제공

 

 

AWS SCT(Schema Conversion Tool)

기존 데이터베이스 스키마를 한 데이터베이스 엔진에서 다른 데이터베이스 엔진으로 변환

스키마와 코드를 호환되도록 함 

 

 

 

VPC 피어링

동일한 AWS 계정 내 동일한 리전의 VPC를 연결 

 

 

Q127

최고의 I/O 성능을 위한 Amazon EC2 인스턴스 스토어, 내구성 있는 데이터 스토리지를 위한 Amazon S3, 아카이브 스토리지를 위한 Amazon S3 Glacier

 

 

Q355

회사는 AWS에서 서버리스 애플리케이션을 호스팅합니다. 이 애플리케이션은 Amazon API Gateway, AWS Lambda 및 Amazon RDS for PostgreSQL 데이터베이스를 사용합니다. 회사는 최대 트래픽 또는 예측할 수 없는 트래픽 시간 동안 데이터베이스 연결 시간 초과로 인해 발생하는 애플리케이션 오류의 증가를 확인했습니다. 회사는 최소한의 코드 변경으로 애플리케이션 오류를 줄이는 솔루션이 필요합니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

B. RDS DB 인스턴스에서 RDS 프록시를 활성화합니다.

데이터베이스 연결 시간 초과 -> RDS Proxy 활성화 

 

AWS Organizations

자체 조직이 필요한 경우 AWS 계정이 이전 조직을 떠난 후 R&D AWS 계정을 새 조직의 일부로 초대한다. 

 

SSO(Single Sign-On)

양방향 트러스트가 필요하다 

 

SCP

조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형 

계정을 대상으로 함, IAM보다 우선시 됨 

IAM을 대신할 수는 없다 

 

Q137

회사는 AWS Organizations를 사용하여 각 사업부에 대한 전용 AWS 계정을 생성하여 요청 시 각 사업부의 계정을 독립적으로 관리합니다. 루트 이메일 수신자가 한 계정의 루트 사용자 이메일 주소로 전송된 알림을 놓쳤습니다. 회사는 향후 모든 알림을 놓치지 않기를 원합니다. 향후 알림은 계정 관리자로 제한되어야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까? 

B. 모든 AWS 계정 루트 사용자 이메일 주소를 알림에 응답할 수 있는 소수의 관리자에게 전달되는 배포 목록으로 구성합니다. AWS Organizations 콘솔에서 또는 프로그래밍 방식으로 AWS 계정 대체 연락처를 구성합니다. 

 

Q419

회사는 다른 리전에서 리소스가 생성되지 않도록 하는 SCP가 있다. 그런데 직원이 볼륨을 암호화 하지 않고 EBS 볼륨을 생성한 경우 모든 새 EC2를 만들 고 싶을 때의 솔루션은?

* SCP를 생성 > 루트 조직 단위(OU)에 SCP를 연결 > ec2:Encrypted 조건이 false인 경우 ec2:CreateVolume 작업을 거부하도록 SCP 정의

* 조직 관리 계정에서 기본 EBS 볼륨 암호화 설정을 지정

 

사용자 정의 태그 -> 조직 마스터 계정에서 선택한 태그 활성

AWS 리소스에 적용하여 분류 및 추적이 가능 

 

Q450

AWS Well-Architected 프레임 워크와 일치 하는 권장 모범 사례는?

*두 가용 영역에 걸쳐 VPC를 생성한다. 웹 계층 애플리케이션 계층 및 데이터베이스 계층을 호스팅하도록 애플리케이션을 리팩터링합니다. 웹 계층 및 애플리케이션 계층에 대한 Auto Scaling 그룹을 사용하여 자체 프라이빗 서브넷에서 각 계층을 호스팅 합니다.

*웹티어 앞에서 ELB를 사용합니다. 각 계층의 보안 그룹에 대한 참조를 포함하는 보안 그룹을 사용하여 액세스를 제어합니다.

*프라이빗 서브넷에서 Amazon RDS 데이터베이스 다중 AZ 클러스터 배포를 사용합니다. 애플리케이션 계층 보안 그룹에서만 데이터베이스 액세스를 허용합니다. 

 

 

ElastiCache

- Redis용  Amazon ElastiCache

데이터 계층의 성능을 향상 시키는 솔루션

게임에서 빠르고 확장 가능하게 플레이어의 위치 데이터를 저장하고 검색할 수 있음

 

 

AppFlow

SaaS와 AWS 서비스 간 데이터 흐름 자동화(완전 관리형)

 

 

모니터링 관련 

CloudWatch Logs

VPC Flow Log를 게시하고 RDP, SSH 액세스를 감지하고 경보를 구성할 수 있다. 

(CloudWatch Application Insights는 RDP, SSH 감지 못 함)

 

- CloudWatch Logs 구독에서 OpenSearch Service 스트리밍 하도록 구성 

실시간으로 Amazon OpenSearch Service(Elasticsearch Service)에 모든 애플리케이션 로그를 저장 

 

FTP

SFTP(SSH File Transfer Protocol)

EC2-공유 스토리지 연결시 SFTP 사용 -> EFS 볼륨 사용 

 

Lake Formation 

회사의 모든 데이터 중앙 집중화 및 세분화된 액세스 제어 가능 

S3 기존 데이터를 사용할 수 있다. 

데이터 레이크를 관리하는 콘솔 

운영 오버헤드 최소화 

 

AWS Glue JDBC연결 -> S3 버킷을 등록 -> Lake Formation 액세스 제어로 액세스를 제한할 수 있다. 

 

장애 복구 관련

EC2 용량을 제공하기 위한 재해 복구(DR) 전략 

용량 예약은 용량 예약만 됨 

 

Q.585