[AWS] SAA -C03 DUMP 로 공부하자 23(741~770)

Q741.회사의 도메인 이름 레코드를 호스팅하는 DNS 공급자가 AWS에서 실행되는 웹 사이트의 서비스 중단을 초래하는 중단을 겪고 있습니다. 회사는 보다 탄력적인 관리형 DNS 서비스로 마이그레이션해야 하며 해당 서비스가 AWS에서 실행되기를 원합니다.DNS 호스팅 서비스를 신속하게 마이그레이션하려면 솔루션 설계자가 무엇을 해야 합니까? ★★★
A. 도메인 이름에 대한 Amazon Route 53 퍼블릭 호스팅 영역을 생성합니다. 이전 공급자가 호스팅하는 도메인 레코드가 포함된 영역 파일을 가져옵니다.
B. 도메인 이름에 대한 Amazon Route 53 프라이빗 호스팅 영역을 생성합니다. 이전 공급자가 호스팅하는 도메인 레코드가 포함된 영역 파일을 가져옵니다.
C. AWS에서 Simple AD 디렉터리를 생성합니다. 도메인 레코드에 대해 DNS 공급자와 Microsoft Active Directory용 AWS Directory Service 간의 영역 전송을 활성화합니다.
D. VPC에 Amazon Route 53 Resolver 인바운드 엔드포인트를 생성합니다. 공급자의 DNS가 DNS 쿼리를 전달할 IP 주소를 지정합니다. 도메인에 대한 DNS 쿼리를 인바운드 엔드포인트에 지정된 IP 주소로 전달하도록 공급자의 DNS를 구성합니다.

Answer: A

DNS 호스팅 서비스를 AWS의 보다 탄력적인 관리형 DNS 서비스로 마이그레이션하려면 회사는 가용성과 확장성이 뛰어난 클라우드 DNS 웹 서비스인 Amazon Route 53을 사용해야 합니다. Route 53은 회사의 도메인 이름에 대한 퍼블릭 DNS 레코드를 호스팅하고 안정적이고 안전한 DNS 확인을 제공할 수 있습니다. DNS 호스팅 서비스를 신속하게 마이그레이션하려면 회사는 도메인의 DNS 레코드에 대한 컨테이너인 Route 53에서 도메인 이름에 대한 퍼블릭 호스팅 영역을 생성해야 합니다. 그런 다음 회사는 이전 공급자가 호스팅하는 도메인 레코드가 포함된 영역 파일(도메인에 대한 DNS 레코드를 정의하는 텍스트 파일)을 가져와야 합니다. 이렇게 하면 회사는 수동으로 생성하지 않고도 기존 DNS 레코드를 Route 53으로 신속하게 전송할 수 있습니다. 영역 파일을 가져온 후 회사는 Route 53이 호스팅 영역에 할당하는 이름 서버를 사용하도록 도메인 등록 대행자를 업데이트해야 합니다. 이렇게 하면 도메인 이름에 대한 DNS 쿼리가 Route 53으로 라우팅되고 가져온 레코드로 해결됩니다.

Q742.한 회사가 Amazon RDS 데이터베이스에 연결하는 애플리케이션을 AWS에 구축하고 있습니다. 회사는 애플리케이션 구성을 관리하고 데이터베이스 및 기타 서비스에 대한 자격 증명을 안전하게 저장하고 검색하기를 원합니다.
최소한의 관리 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. AWS AppConfig를 사용하여 애플리케이션 구성을 저장하고 관리하십시오. AWS Secrets Manager를 사용하여 자격 증명을 저장하고 검색합니다.
B. AWS Lambda를 사용하여 애플리케이션 구성을 저장하고 관리합니다. AWS Systems Manager Parameter Store를 사용하여 자격 증명을 저장하고 검색합니다.
C. 암호화된 애플리케이션 구성 파일을 사용합니다. 애플리케이션 구성을 위해 Amazon S3에 파일을 저장합니다. 자격 증명을 저장하고 검색할 다른 S3 파일을 만듭니다.
D. AWS AppConfig를 사용하여 애플리케이션 구성을 저장하고 관리합니다. Amazon RDS를 사용하여 자격 증명을 저장하고 검색합니다.

Answer: A

AppConfig useCase = AWS AppConfig를 사용하여 AWS AppConfig 호스팅 구성 스토어, AWS 비밀 관리자, 시스템 관리자 매개 변수 스토어 또는 Amazon S3에 저장된 구성 데이터를 배포할 수 있습니다.
B와 C는 탈락했습니다.

Q743.보안 요구 사항을 충족하려면 회사는 Amazon RDS MySQL DB 인스턴스와 통신하는 동안 전송 중인 모든 애플리케이션 데이터를 암호화해야 합니다. 최근 보안 감사에서는 AWS Key Management Service(AWS KMS)를 사용하여 저장 데이터 암호화가 활성화되었지만 전송 중인 데이터는 활성화되지 않은 것으로 나타났습니다.
솔루션 설계자는 보안 요구 사항을 충족하기 위해 무엇을 해야 합니까?  ★★★
A. 데이터베이스에서 IAM 데이터베이스 인증을 활성화합니다.
B. 자체 서명된 인증서를 제공합니다. RDS 인스턴스에 대한 모든 연결에 인증서를 사용하십시오.
C. RDS 인스턴스의 스냅샷을 찍습니다. 암호화가 활성화된 새 인스턴스로 스냅샷을 복원합니다.
D. AWS에서 제공하는 루트 인증서를 다운로드합니다. RDS 인스턴스에 대한 모든 연결에 인증서를 제공하십시오.

Answer: D

루트인증서를 다운받고 모든연결에 제공하면 SSL/TLS 암호화됨

보안 요구 사항을 충족하려면 솔루션 아키텍트는 AWS에서 제공하는 루트 인증서를 다운로드하고 RDS 인스턴스에 대한 모든 연결에 인증서를 제공해야 합니다. 이렇게 하면 애플리케이션과 RDS 인스턴스 간에 전송되는 데이터에 대해 SSL/TLS 암호화가 활성화됩니다.

SSL/TLS 암호화는 클라이언트와 서버 간에 이동하는 데이터를 암호화하여 보안 계층을 제공합니다. Amazon RDS는 SSL 인증서를 생성하고 인스턴스가 프로비저닝되면 DB 인스턴스에 인증서를 설치합니다. 애플리케이션은 AWS가 제공한 루트 인증서를 사용하여 DB 인스턴스의 신원을 확인하고 보안 연결을 설정할 수 있습니다.

다른 옵션은 전송 중인 데이터에 대한 암호화를 활성화하지 않거나 사용 사례와 관련이 없기 때문에 올바르지 않습니다. 데이터베이스에서 IAM 데이터베이스 인증을 활성화하는 것은 올바르지 않습니다. 이 옵션은 암호화가 아닌 인증 방법만 제공하기 때문입니다. IAM 데이터베이스 인증을 통해 사용자는 데이터베이스 사용자 이름과 암호를 사용하는 대신 AWS Identity and Access Management(IAM) 사용자 및 역할을 사용하여 데이터베이스에 액세스할 수 있습니다. 이 옵션은 안전하지 않거나 신뢰할 수 없기 때문에 자체 서명된 인증서를 제공하는 것은 올바르지 않습니다. 자체 서명 인증서는 신뢰할 수 있는 인증 기관(CA)이 아닌 이를 발급한 동일한 엔터티에 의해 서명된 인증서입니다. 자체 서명된 인증서는 쉽게 위조되거나 손상될 수 있으며 대부분의 브라우저 및 애플리케이션에서 인식되지 않습니다.

RDS 인스턴스의 스냅샷을 찍어 암호화가 활성화된 새 인스턴스로 복원하는 것은 올바르지 않습니다. 이 옵션은 전송 중 암호화가 아닌 유휴 암호화만 활성화하기 때문입니다. 미사용 암호화는 디스크에 저장된 데이터를 보호하지만 클라이언트와 서버 간에 이동하는 데이터는 보호하지 않습니다.

Q744.한 회사는 ELB(Elastic Load Balancing) 로드 밸런서 뒤의 Amazon EC2 인스턴스에서 실행될 새로운 웹 서비스를 설계하고 있습니다. 그러나 많은 웹 서비스 클라이언트는 방화벽에서 승인된 IP 주소에만 접근할 수 있습니다.
솔루션 아키텍트는 고객의 요구 사항을 충족하기 위해 무엇을 권장해야 합니까? ★★★
A. 탄력적 IP 주소가 연결된 Network Load Balancer.
B. 탄력적 IP 주소가 연결된 Application Load Balancer.
C. 탄력적 IP 주소를 가리키는 Amazon Route 53 호스팅 영역의 A 레코드.
D. 로드 밸런서 앞에서 프록시로 실행되는 퍼블릭 IP 주소가 있는 EC2 인스턴스.

Answer: A

Network Load Balancer에는 사용하는 각 가용 영역에 대해 하나의 탄력적 IP 주소가 할당될 수 있습니다. 이를 통해 클라이언트는 방화벽에서 승인될 수 있는 고정 IP 주소를 사용하여 로드 밸런서에 연결할 수 있습니다. Application Load Balancer에는 탄력적 IP 주소를 할당할 수 없습니다. 탄력적 IP 주소를 가리키는 Amazon Route 53 호스팅 영역의 A 레코드는 로드 밸런서가 여전히 웹 서비스에 전달되는 요청의 소스로 자체 IP 주소를 사용하기 때문에 작동하지 않습니다. 로드 밸런서 앞에서 프록시로 실행되는 퍼블릭 IP 주소가 있는 EC2 인스턴스는 불필요한 복잡성과 비용을 추가하며 Network Load Balancer와 동일한 확장성과 가용성을 제공하지 않습니다.

Q745.회사에서 새로운 AWS 계정을 개설했습니다. 계정이 새로 프로비저닝되었으며 기본 설정이 변경되지 않았습니다. 회사는 AWS 계정 루트 사용자의 보안을 우려하고 있습니다.루트 사용자를 보호하려면 어떻게 해야 합니까?
A. 일상적인 관리 작업을 위해 IAM 사용자를 생성합니다. 루트 사용자를 비활성화합니다.
B. 일상적인 관리 작업을 위한 IAM 사용자를 생성합니다. 루트 사용자에 대해 다단계 인증을 활성화합니다.
C. 루트 사용자에 대한 액세스 키를 생성합니다. AWS Management Console 대신 일일 관리 작업에 액세스 키를 사용하세요.
D. 최고 수석 솔루션 설계자에게 루트 사용자 자격 증명을 제공합니다. 솔루션 설계자가 일상적인 관리 작업에 루트 사용자를 사용하도록 하세요.

Answer: B

이 답변은 새 AWS 계정의 루트 사용자를 보호하기 위한 가장 안전하고 권장되는 옵션입니다. 루트 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한을 가진 자격 증명입니다. 계정을 만들 때 사용한 이메일 주소와 비밀번호로 로그인하면 액세스됩니다. 루트 사용자 자격 증명을 무단 사용으로부터 보호하기 위해 AWS에서는 다음 모범 사례를 권장합니다.

일상적인 관리 작업을 위한 IAM 사용자를 생성합니다. IAM 사용자는 AWS 리소스에 액세스할 수 있는 특정 권한이 있는 계정에서 생성하는 자격 증명입니다. 귀하 자신과 귀하의 계정에 액세스해야 하는 다른 사람들을 위해 개별 IAM 사용자를 생성할 수 있습니다. 또한 일반적인 작업을 수행할 수 있는 권한을 부여하는 정책 세트가 있는 IAM 그룹에 IAM 사용자를 할당할 수도 있습니다. 루트 사용자 대신 IAM 사용자를 사용하면 최소 권한 원칙을 따르고 계정이 손상될 위험을 줄일 수 있습니다.

Q746.한 회사가 거의 실시간으로 스트리밍 데이터를 처리하는 애플리케이션을 배포하고 있습니다. 회사는 워크로드에 Amazon EC2 인스턴스를 사용할 계획입니다. 네트워크 아키텍처는 노드 간 가능한 최저 대기 시간을 제공하도록 구성 가능해야 합니다.이러한 요구 사항을 충족하는 네트워크 솔루션 조합은 무엇입니까? (2개 선택)★
A. 각 EC2 인스턴스에서 향상된 네트워킹을 활성화하고 구성합니다.
B. EC2 인스턴스를 별도의 계정으로 그룹화합니다.
C. 클러스터 배치 그룹에서 EC2 인스턴스를 실행합니다.
D. 각 EC2 인스턴스에 여러 탄력적 네트워크 인터페이스를 연결합니다.
E. Amazon Elastic Block Store(Amazon EBS) 최적화 인스턴스 유형을 사용합니다.

Answer: A,C 

A. 각 EC2 인스턴스에서 향상된 네트워킹을 활성화하고 구성합니다. 향상된 네트워킹은 더 높은 대역폭, 더 높은 초당 패킷(PPS) 성능, 지속적으로 낮은 인스턴스 간 지연 시간을 제공합니다.

C. 클러스터 배치 그룹에서 EC2 인스턴스를 실행합니다. 클러스터 배치 그룹은 단일 가용성 영역 내의 인스턴스를 논리적으로 그룹화한 것입니다. 이 구성은 낮은 네트워크 지연 시간, 높은 네트워크 처리량 또는 둘 다가 필요한 애플리케이션에 권장됩니다.
10회 투표

Q747.한 금융 서비스 회사는 두 개의 데이터 센터를 폐쇄하고 100TB가 넘는 데이터를 AWS로 마이그레이션하려고 합니다. 데이터는 하위 폴더의 깊은 계층에 저장된 수백만 개의 작은 파일로 구성된 복잡한 디렉터리 구조를 가지고 있습니다. 대부분의 데이터는 비정형이며 회사의 파일 스토리지는 여러 공급업체의 SMB 기반 스토리지 유형으로 구성됩니다. 회사는 마이그레이션 후 데이터에 액세스하기 위해 애플리케이션을 변경하고 싶지 않습니다.최소한의 운영 오버헤드로 이러한 요구 사항을 충족하려면 솔루션 설계자가 무엇을 해야 합니까? ★★★
A. AWS Direct Connect를 사용하여 데이터를 Amazon S3로 마이그레이션하십시오.
B. AWS DataSync를 사용하여 데이터를 Amazon FSx for Lustre로 마이그레이션합니다.
C. AWS DataSync를 사용하여 데이터를 Amazon FSx for Windows File Server로 마이그레이션합니다.
D. AWS Direct Connect를 사용하여 온프레미스 데이터 스토리지를 AWS Storage Gateway 볼륨 게이트웨이로 마이그레이션합니다.

Answer: C

NFS , SMB = Amazon FSx for NetApp ONTAP

 그냥 SMB = Amazon FSx for Windows File Server

AWS DataSync는 인터넷이나 AWS Direct Connect를 통해 온프레미스 스토리지 시스템과 AWS 스토리지 서비스 간의 데이터 이동을 단순화, 자동화 및 가속화하는 데이터 전송 서비스입니다. AWS DataSync는 업계 표준 SMB(서버 메시지 블록) 프로토콜을 통해 액세스할 수 있는 완전관리형 파일 시스템인 Amazon FSx for Windows File Server로 데이터를 전송할 수 있습니다. Windows 파일 서버용 Amazon FSx는 Windows Server를 기반으로 구축되어 사용자 할당량, 최종 사용자 파일 복원, Microsoft Active Directory(AD) 통합과 같은 광범위한 관리 기능을 제공합니다. 이 솔루션은 다음과 같은 이유로 질문의 요구 사항을 충족합니다.

AWS DataSync는 빠르고 효율적인 데이터 전송에 최적화되어 있으므로 합리적인 시간 내에 100TB 이상의 데이터를 AWS로 마이그레이션할 수 있습니다.

AWS DataSync는 파일 이름, 권한, 타임스탬프와 같은 복잡한 파일 구조와 메타데이터를 처리할 수 있으므로 복잡한 디렉터리 구조와 하위 폴더의 심층 계층에 저장된 수백만 개의 작은 파일을 보존할 수 있습니다.

Amazon FSx for Windows File Server는 회사의 온프레미스 파일 스토리지에서 사용하는 것과 동일한 SMB 프로토콜 및 Windows Server 기능을 지원하므로 마이그레이션 후 데이터에 액세스하기 위해 애플리케이션을 변경하지 않아도 됩니다.

AWS DataSync 및 Amazon FSx for Windows File Server는 데이터 전송 및 파일 시스템을 설정, 구성 및 유지 관리하는 작업을 처리하는 완전 관리형 서비스이므로 운영 오버헤드를 줄일 수 있습니다.

Q748.회사는 AWS Organizations의 조직을 사용하여 애플리케이션이 포함된 AWS 계정을 관리합니다. 회사는 조직 내에 전용 모니터링 회원 계정을 설정합니다. 회사는 Amazon CloudWatch를 사용하여 계정 전체의 관측 가능성 데이터를 쿼리하고 시각화하려고 합니다.어떤 솔루션이 이러한 요구 사항을 충족합니까?★★★
A. 모니터링 계정에 대해 CloudWatch 교차 계정 관찰 기능을 활성화합니다. 모니터링 계정에서 제공하는 AWS CloudFormation 템플릿을 각 AWS 계정에 배포하여 모니터링 계정과 데이터를 공유합니다.
B. 조직 루트 조직 단위(OU) 아래의 모니터링 계정에서 CloudWatch에 대한 액세스를 제공하도록 서비스 제어 정책(SCP)을 설정합니다.
C. 모니터링 계정에 새 IAM 사용자를 구성합니다. 각 AWS 계정에서 계정의 CloudWatch 데이터를 쿼리하고 시각화할 수 있도록 IAM 정책을 구성합니다. 새 IAM 사용자에게 새 IAM 정책을 연결합니다.
D. 모니터링 계정에 새 IAM 사용자를 생성합니다. 각 AWS 계정에서 교차 계정 IAM 정책을 생성합니다. IAM 정책을 새 IAM 사용자에게 연결합니다.

Answer: A 

CloudWatch 교차 계정 관찰 기능있음 

이 솔루션은 모니터링 계정이 CloudWatch를 사용하여 계정 전체에서 관찰 가능성 데이터를 쿼리하고 시각화할 수 있도록 허용하므로 요구 사항을 충족합니다. CloudWatch 교차 계정 관측 가능성은 중앙 모니터링 계정이 다른 계정에서 공유하는 관측 가능성 데이터를 보고 상호 작용할 수 있도록 하는 기능입니다. 교차 계정 관측성을 활성화하려면 모니터링 계정에서 공유할 데이터 유형(메트릭, 로그, 추적)과 연결할 원본 계정을 구성해야 합니다. 원본 계정은 계정 ID, 조직 ID 또는 조직 경로로 지정할 수 있습니다. 모니터링 계정과 데이터를 공유하려면 원본 계정이 모니터링 계정에서 제공하는 AWS CloudFormation 템플릿을 배포해야 합니다. 이 템플릿은 원본 계정과 모니터링 계정 간의 링크를 나타내는 관찰 가능성 링크 리소스를 생성합니다. 또한 템플릿은 모니터링 계정의 연결 지점을 나타내는 싱크 리소스를 만듭니다.

원본 계정은 모니터링 계정의 싱크와 관찰 가능성 데이터를 공유할 수 있습니다. 그런 다음 모니터링 계정은 CloudWatch 콘솔, API 또는 CLI를 사용하여 계정 전체에서 관찰 가능성 데이터를 검색, 분석 및 상호 연관시킬 수 있습니다.

Q749.회사의 웹사이트는 대중에게 제품을 판매하는 데 사용됩니다. 이 사이트는 ALB(Application Load Balancer) 뒤에 있는 Auto Scaling 그룹의 Amazon EC2 인스턴스에서 실행됩니다. Amazon CloudFront 배포판도 있으며 AWS WAF는 SQL 주입 공격으로부터 보호하는 데 사용되고 있습니다. ALB는 CloudFront 배포의 오리진입니다. 최근 보안 로그를 검토한 결과, 해당 웹사이트에 대한 접근을 차단해야 할 외부 악성 IP가 발견되었습니다.솔루션 설계자는 애플리케이션을 보호하기 위해 무엇을 해야 합니까? ★★★
A. CloudFront 배포의 네트워크 ACL을 수정하여 악성 IP 주소에 대한 거부 규칙을 추가합니다.
B. AWS WAF 구성을 수정하여 악성 IP 주소를 차단하는 IP 일치 조건을 추가합니다.
C. ALB 뒤의 대상 그룹에 있는 EC2 인스턴스에 대한 네트워크 ACL을 수정하여 악성 IP 주소를 거부합니다.
D. 악성 IP 주소를 거부하도록 ALB 뒤의 대상 그룹에 있는 EC2 인스턴스에 대한 보안 그룹을 수정합니다.

Answer: B

ACL 은 상태비저장이라 IP저장 X

AWS WAF는 애플리케이션 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소비할 수 있는 일반적인 웹 공격으로부터 웹 애플리케이션을 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. AWS WAF를 통해 사용자는 사용자 정의 가능한 웹 보안 규칙을 기반으로 웹 요청을 차단, 허용 또는 계산하는 규칙을 생성할 수 있습니다. 생성할 수 있는 규칙 유형 중 하나는 사용자가 허용하거나 차단하려는 IP 주소 또는 IP 주소 범위 목록을 지정할 수 있는 IP 일치 규칙입니다. 악의적인 IP 주소를 차단하는 IP 일치 조건을 추가하도록 AWS WAF의 구성을 수정함으로써 솔루션 아키텍트는 공격자가 CloudFront 배포 및 ALB를 통해 웹 사이트에 액세스하는 것을 방지할 수 있습니다.

다른 옵션은 악성 IP 주소의 웹 사이트 액세스를 효과적으로 차단하지 못하기 때문에 올바르지 않습니다. CloudFront 배포의 네트워크 ACL 또는 ALB 뒤의 대상 그룹에 있는 EC2 인스턴스를 수정하는 것은 네트워크 ACL이 상태 비저장이고 애플리케이션 계층에서 트래픽을 평가하지 않기 때문에 작동하지 않습니다. 보안 그룹은 상태 저장형이고 로드 밸런서 수준이 아닌 인스턴스 수준에서만 트래픽을 평가하기 때문에 ALB 뒤의 대상 그룹에 있는 EC2 인스턴스에 대한 보안 그룹을 수정하면 작동하지 않습니다.

Q750.회사는 10개의 AWS 계정을 포함하는 AWS Organizations에 조직을 설정합니다. 솔루션 설계자는 수천 명의 직원에게 계정에 대한 액세스를 제공하는 솔루션을 설계해야 합니다. 회사에 기존 IdP(ID 공급자)가 있습니다. 회사는 AWS 인증에 기존 IdP를 사용하려고 합니다.어떤 솔루션이 이러한 요구 사항을 충족합니까?
A. 필요한 AWS 계정의 직원에 대한 IAM 사용자를 생성합니다. IAM 사용자를 기존 IdP에 연결합니다. IAM 사용자에 대한 연합 인증을 구성합니다.
B. 기존 IdP에서 동기화된 사용자 이메일 주소와 비밀번호를 사용하여 AWS 계정 루트 사용자를 설정합니다.
C. AWS IAM ID 센터(AWS Single Sign-On)를 구성합니다. IAM ID 센터를 기존 IdP에 연결합니다. 기존 IdP에서 사용자 및 그룹을 프로비저닝합니다.
D. AWS Resource Access Manager(AWS RAM)를 사용하여 기존 IdP의 사용자와 AWS 계정에 대한 액세스를 공유합니다.

Answer: C

D(X)네트워크를 확장하고 다른 CIDR 블록의 트래픽을 허용해야 하는 경우 관련 접두사 목록을 업데이트하면 해당 접두사 목록을 사용하는 모든 보안 그룹이 업데이트됩니다. RAM(Resource Access Manager)을 사용하여 다른 AWS 계정과 함께 관리형 접두사 목록을 사용할 수도 있습니다.

Q751.솔루션 아키텍트는 회사의 AWS 계정에 대한 AWS Identity and Access Management(IAM) 인증 모델을 설계하고 있습니다. 회사는 AWS 계정의 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 갖도록 5명의 특정 직원을 지정했습니다.솔루션 설계자는 지정된 5명의 직원 각각에 대해 IAM 사용자를 생성하고 IAM 사용자 그룹을 생성했습니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?
A. IAM 사용자 그룹에 AdministratorAccess 리소스 기반 정책을 연결합니다. 지정된 직원 IAM 사용자 5명을 각각 IAM 사용자 그룹에 배치합니다.
B. SystemAdministrator 자격 증명 기반 정책을 IAM 사용자 그룹에 연결합니다. 지정된 직원 IAM 사용자 5명을 각각 IAM 사용자 그룹에 배치합니다.
C. IAM 사용자 그룹에 AdministratorAccess 자격 증명 기반 정책을 연결합니다. 지정된 직원 IAM 사용자 5명을 각각 IAM 사용자 그룹에 배치합니다.
D. SystemAdministrator 리소스 기반 정책을 IAM 사용자 그룹에 연결합니다. 지정된 직원 IAM 사용자 5명을 각각 IAM 사용자 그룹에 배치합니다.

Answer: C

설명:

이 솔루션은 다음 구성 요소와 기능을 사용하므로 요구 사항을 충족합니다.

AdministratorAccess 자격 증명 기반 정책: AWS 서비스 및 리소스에 대한 전체 액세스를 제공하는 AWS 관리형 정책입니다. 이 정책을 IAM 사용자 그룹에 연결함으로써 솔루션 아키텍트는 지정된 직원이 AWS 계정에서 모든 작업을 수행하는 데 필요한 권한을 부여할 수 있습니다.

IAM 사용자 그룹: 공통 권한을 공유하는 IAM 사용자의 모음입니다2. 사용자 그룹을 만들고 지정된 직원 5명을 구성원으로 추가함으로써 솔루션 설계자는 권한 관리를 단순화하고 인적 오류나 불일치의 위험을 줄일 수 있습니다.

IAM 사용자: AWS에서 지정된 직원을 나타내는 ID입니다. 각 직원에 대한 IAM 사용자를 생성하고 직원이 자신의 자격 증명으로 로그인하도록 요구함으로써 솔루션 설계자는 AWS 계정의 보안과 책임성을 강화할 수 있습니다.

Q752.회사에는 가상 머신(VM)을 기반으로 하는 다중 계층 결제 처리 애플리케이션이 있습니다. 계층 간의 통신은 정확히 1회 전달을 보장하는 타사 미들웨어 솔루션을 통해 비동기적으로 발생합니다.회사에는 최소한의 인프라 관리가 필요한 솔루션이 필요합니다. 솔루션은 애플리케이션 메시징을 정확히 한 번만 전달하도록 보장해야 합니다.
이러한 요구 사항을 충족하는 작업 조합은 무엇입니까? (2개 선택) ★★★
A. 아키텍처의 컴퓨팅 계층에 AWS Lambda를 사용하십시오.
B. 아키텍처의 컴퓨팅 계층에 Amazon EC2 인스턴스를 사용하십시오.
C. 컴퓨팅 계층 사이의 메시징 구성 요소로 Amazon Simple 알림 서비스(Amazon SNS)를 사용합니다.
D. Amazon Simple Queue Service(Amazon SQS) FIFO 대기열을 컴퓨팅 계층 간의 메시징 구성 요소로 사용합니다.
E. 아키텍처의 컴퓨팅 계층에 Amazon Elastic Kubemetes Service(Amazon EKS)를 기반으로 하는 컨테이너를 사용합니다.

Answer: A, D

Lambda 서버리스라 최소한의 인프라관리조건에도 충족됨

이 솔루션은 최소한의 인프라 관리가 필요하고 애플리케이션 메시징에 대해 정확히 1회 전달을 보장하므로 요구 사항을 충족합니다. AWS Lambda는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행할 수 있는 서버리스 컴퓨팅 서비스입니다. 사용한 컴퓨팅 시간에 대해서만 비용을 지불하면 됩니다. Lambda는 워크로드 크기에 따라 자동으로 확장됩니다. Amazon SQS FIFO 대기열은 메시지가 전송된 순서대로 정확히 한 번만 처리되도록 설계되었습니다. FIFO 대기열은 고가용성을 가지며 엄격한 선입선출 순서로 메시지를 전달합니다. Amazon SQS를 사용하여 마이크로서비스, 분산 시스템 및 서버리스 애플리케이션을 분리하고 확장할 수 있습니다.

Q753.회사에는 온프레미스 파일 시스템이 SFTP를 통해 매일 수신하는 보고서 파일을 분석하는 야간 일괄 처리 루틴이 있습니다. 회사는 솔루션을 AWS 클라우드로 이전하려고 합니다. 솔루션은 가용성과 복원력이 높아야 합니다. 또한 솔루션은 운영 노력을 최소화해야 합니다.이러한 요구 사항을 충족하는 솔루션은 무엇입니까? ★★★
A. SFTP용 AWS 전송 및 스토리지용 Amazon Elastic File System(Amazon EFS) 파일 시스템을 배포합니다. 예약된 조정 정책이 있는 Auto Scaling 그룹의 Amazon EC2 인스턴스를 사용하여 배치 작업을 실행합니다.
B. Linux 및 SFTP 서비스를 실행하는 Amazon EC2 인스턴스를 배포합니다. 저장에는 Amazon Elastic Block Store(Amazon EBS) 볼륨을 사용하십시오. 최소 인스턴스 수와 원하는 인스턴스 수를 1로 설정한 Auto Scaling 그룹을 사용합니다.
C. Linux 및 SFTP 서비스를 실행하는 Amazon EC2 인스턴스를 배포합니다. 저장을 위해 Amazon Elastic File System(Amazon EFS) 파일 시스템을 사용합니다. 최소 인스턴스 수와 원하는 인스턴스 수를 1로 설정한 Auto Scaling 그룹을 사용합니다.
D. SFTP용 AWS 전송과 저장용 Amazon S3 버킷을 배포합니다. 처리를 위해 Amazon S3에서 Amazon EC2 인스턴스로 배치 파일을 가져오도록 애플리케이션을 수정합니다. 예약된 조정 정책이 있는 Auto Scaling 그룹의 EC2 인스턴스를 사용하여 일괄 작업을 실행합니다.

Answer: A

이 서비스는 확장성이 높고 가용성이 높으며 내구성이 뛰어나도록 설계되었습니다. Amazon EFS는 가용성 및 내구성 요구 사항을 충족하기 위해 다음과 같은 파일 시스템 유형을 제공합니다

Q754.한 회사에는 여러 AWS 지역의 Amazon EC2 인스턴스에 배포된 HTTP 기반 애플리케이션에 액세스하는 전 세계 사용자가 있습니다. 회사는 애플리케이션의 가용성과 성능을 개선하려고 합니다. 또한 회사는 가용성에 영향을 미치거나, 보안을 손상시키거나, 과도한 리소스를 소비할 수 있는 일반적인 웹 공격으로부터 애플리케이션을 보호하려고 합니다. 고정 IP 주소가 필요합니다.이를 달성하기 위해 솔루션 설계자는 무엇을 권장해야 합니까? ★★
A. 각 지역의 NLB(Network Load Balancer) 뒤에 EC2 인스턴스를 배치합니다. NLB에 AWS WAF를 배포합니다. AWS Global Accelerator를 사용하여 액셀러레이터를 생성하고 NLB를 엔드포인트로 등록합니다.
B. 각 지역의 ALB(Application Load Balancer) 뒤에 EC2 인스턴스를 배치합니다. ALB에 AWS WAF를 배포합니다. AWS Global Accelerator를 사용하여 액셀러레이터를 생성하고 ALB를 엔드포인트로 등록합니다.
C. 각 지역의 NLB(Network Load Balancer) 뒤에 EC2 인스턴스를 배치합니다. NLB에 AWS WAF를 배포합니다. Amazon Route 53 지연 시간 기반 라우팅을 사용하여 요청을 NLB로 라우팅하는 오리진으로 Amazon CloudFront 배포를 생성합니다.
D. 각 지역의 ALB(Application Load Balancer) 뒤에 EC2 인스턴스를 배치합니다. Amazon Route 53 지연 시간 기반 라우팅을 사용하여 요청을 ALB로 라우팅하는 오리진으로 Amazon CloudFront 배포를 생성합니다. CloudFront 배포에 AWS WAF를 배포합니다.

Answer: B

HTTP 기반 애플리케이션이므로 ALB가 필요합니다.
정적 IP 주소가 필요하므로 글로벌 액셀러레이터를 사용해야 합니다:
"기본적으로 글로벌 액셀러레이터는 액셀러레이터와 연결된 정적 IP 주소를 제공합니다."

Q755.회사의 데이터 플랫폼은 Amazon Aurora MySQL 데이터베이스를 사용합니다. 데이터베이스에는 다양한 가용 영역에 걸쳐 여러 읽기 전용 복제본과 여러 DB 인스턴스가 있습니다. 사용자들은 최근 데이터베이스에서 연결이 너무 많다는 오류를 보고했습니다. 회사에서는 읽기 전용 복제본이 기본 작성자로 승격될 때 장애 조치 시간을 20% 단축하려고 합니다.
이 요구 사항을 충족하는 솔루션은 무엇입니까? ★★★
A. 다중 AZ 클러스터 배포를 통해 Aurora에서 Amazon RDS로 전환합니다.
B. Aurora 데이터베이스 앞에 Amazon RDS 프록시를 사용하십시오.
C. 읽기 연결을 위해 DynamoDB Accelerator(DAX)를 사용하여 Amazon DynamoDB로 전환합니다.
D. 재배치 기능이 있는 Amazon Redshift로 전환합니다.

Answer: B

Amazon RDS Proxy는 Amazon RDS 및 Aurora 데이터베이스를 위한 완전관리형 고가용성 데이터베이스 프록시를 제공하는 서비스입니다. 이를 통해 데이터베이스 연결 풀링 및 공유, 데이터베이스 로드 감소, 애플리케이션 확장성 및 가용성 향상이 가능합니다.

Aurora 데이터베이스 앞에서 Amazon RDS Proxy를 사용하면 다음과 같은 이점을 얻을 수 있습니다.

* 데이터베이스에 대한 연결 수를 줄이고 너무 많은 연결이 있음을 나타내는 오류를 피할 수 있습니다. Amazon RDS Proxy는 연결 관리 및 멀티플렉싱을 처리하므로 더 적은 수의 데이터베이스 연결 및 리소스를 사용할 수 있습니다.

* 읽기 복제본이 기본 작성자로 승격되면 장애 조치 시간을 20%까지 줄일 수 있습니다. Amazon RDS Proxy는 애플리케이션 코드나 구성을 변경할 필요 없이 장애를 자동으로 감지하고 새로운 기본 인스턴스로 트래픽을 라우팅합니다. 벤치마크 테스트에 따르면 Amazon RDS Proxy를 사용하면 장애 조치 시간이 66초에서 53초로 단축되어 20% 향상되었습니다.

* 데이터베이스 액세스의 보안 및 규정 준수를 향상시킬 수 있습니다. Amazon RDS Proxy는 AWS Secrets Manager 및 AWS Identity and Access Management(IAM)와 통합되어 데이터베이스 연결에 대한 안전하고 세분화된 인증 및 권한 부여를 지원합니다.

Q756.회사는 Amazon S3에 텍스트 파일을 저장합니다. 텍스트 파일에는 고객 채팅 메시지, 날짜 및 시간 정보, 고객 개인 식별 정보(PII)가 포함됩니다.회사에는 품질 관리를 위해 외부 서비스 제공업체에 대화 샘플을 제공하는 솔루션이 필요합니다. 외부 서비스 제공자는 가장 최근 대화까지 샘플 대화를 무작위로 선택해야 합니다. 회사는 고객 PII를 외부 서비스 제공업체와 공유해서는 안 됩니다. 고객 대화 수가 증가하면 솔루션도 확장되어야 합니다.최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 객체 Lambda 액세스 포인트를 생성합니다. 함수가 파일을 읽을 때 PII를 수정하는 AWS Lambda 함수를 생성합니다. 외부 서비스 공급자에게 객체 Lambda 액세스 포인트에 액세스하도록 지시합니다.
B. 모든 새 파일을 정기적으로 읽고, 파일에서 PII를 수정하고, 수정된 파일을 다른 S3 버킷에 쓰는 Amazon EC2 인스턴스에 배치 프로세스를 만듭니다. PII가 포함되지 않은 버킷에 액세스하도록 외부 서비스 제공자에게 지시하십시오.
C. 파일 목록을 표시하고, 파일에서 PII를 수정하고, 외부 서비스 공급자가 PII가 수정된 파일의 새 버전을 다운로드할 수 있도록 하는 웹 애플리케이션을 Amazon EC2 인스턴스에 생성합니다.
D. Amazon DynamoDB 테이블을 생성합니다. PII가 포함되지 않은 파일의 데이터만 읽는 AWS Lambda 함수를 생성합니다. 새 파일이 Amazon S3에 기록될 때 DynamoDB 테이블에 PII가 아닌 데이터를 저장하도록 Lambda 함수를 구성합니다. 외부 서비스 공급자에게 DynamoDB 테이블에 대한 액세스 권한을 부여합니다.

Answer: A

올바른 해결책은 객체 Lambda 액세스 포인트와 함수가 파일을 읽을 때 PII를 수정하는 AWS Lambda 함수를 생성하는 것입니다. 이런 방식으로 회사는 복사본을 생성하거나 원본 객체를 변경하지 않고도 S3 객체 Lambda 기능을 사용하여 S3 객체 콘텐츠를 즉시 수정할 수 있습니다. 외부 서비스 공급자는 객체 Lambda 액세스 포인트에 액세스하고 파일의 수정된 버전을 얻을 수 있습니다. 이 솔루션은 추가 저장, 처리 또는 동기화가 필요하지 않으므로 운영 오버헤드가 가장 적습니다. 또한 이 솔루션은 고객 대화 수와 외부 서비스 제공업체의 요구에 따라 자동으로 확장됩니다. 다른 옵션은 다음과 같은 이유로 올바르지 않습니다.

옵션 B는 EC2 인스턴스에서 일괄 프로세스를 사용하여 파일을 읽고, 수정하고, 다른 S3 버킷에 씁니다. 이 솔루션은 EC2 인스턴스, 배치 프로세스 및 추가 S3 버킷을 관리해야 하므로 운영 오버헤드가 더 많습니다. 또한 원본 파일과 수정된 파일 사이에 지연 시간과 불일치가 발생합니다.

옵션 C는 EC2 인스턴스에서 웹 애플리케이션을 사용하여 파일을 표시, 수정 및 다운로드합니다. 이 솔루션은 EC2 인스턴스, 웹 애플리케이션 및 다운로드 프로세스를 관리해야 하므로 운영 오버헤드가 더 많습니다. 또한 원본 파일을 웹 애플리케이션에 노출하므로 PII가 유출될 위험이 높아집니다.

옵션 D는 DynamoDB 테이블과 Lambda 함수를 사용하여 파일의 PII가 아닌 데이터를 저장합니다. 이 솔루션은 DynamoDB 테이블, Lambda 함수 및 데이터 변환을 관리해야

Q757.회사는 Amazon EC2 인스턴스에서 레거시 시스템을 실행하고 있습니다. 애플리케이션 코드는 수정할 수 없으며 시스템은 둘 이상의 인스턴스에서 실행될 수 없습니다. 솔루션 설계자는 시스템 복구 시간을 향상시킬 수 있는 탄력적인 솔루션을 설계해야 합니다.이러한 요구 사항을 충족하기 위해 솔루션 설계자는 무엇을 권장해야 합니까?
A. EC2 인스턴스에 대한 종료 방지 기능을 활성화합니다.
B. 다중 AZ 배포를 위해 EC2 인스턴스를 구성합니다.
C. 장애 발생 시 EC2 인스턴스를 복구하기 위해 Amazon CloudWatch 경보를 생성합니다.
D. 스토리지 중복성을 위해 RAID 구성을 사용하는 두 개의 Amazon Elastic Block Store(Amazon EBS) 볼륨으로 EC2 인스턴스를 시작합니다.

Answer: C

A. EC2 인스턴스에 대한 종료 보호를 활성화합니다.
아니요. 해지 보호는 실수로 인스턴스를 삭제하지 않도록 하는 것입니다

B. 다중 AZ 배포를 위해 EC2 인스턴스를 구성합니다.
아니요. 질문에 "두 개 이상의 인스턴스에서 실행할 수 없습니다."라고 표시됩니다

C. 장애 발생 시 EC2 인스턴스를 복구하기 위해 Amazon CloudWatch 알람을 생성합니다.
예. CloudWatch를 사용하여 인스턴스를 복구할 수 있습니다: 
D. 스토리지 이중화를 위해 RAID 구성을 사용하는 두 개의 Amazon Elastic Block Store(Amazon EBS) 볼륨으로 EC2 인스턴스를 실행합니다.
아니요. 레이드는 복원력을 높이는 데 도움이 될 수 있지만 "회복 시간 개선"에는 도움이 되지 않습니다

Q758.한 회사에서 컨테이너화된 애플리케이션 워크로드를 3개의 가용 영역에 걸쳐 VPC에 배포하려고 합니다. 회사에는 가용 영역 전반에 걸쳐 가용성이 높은 솔루션이 필요합니다. 솔루션을 사용하려면 애플리케이션을 최소한으로 변경해야 합니다.최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까? ★★★
A. Amazon Elastic Container Service(Amazon ECS)를 사용하세요. 대상 추적 조정을 사용하도록 Amazon ECS 서비스 Auto Scaling을 구성합니다. 최소 용량을 3으로 설정합니다. 가용 영역 속성을 사용하여 분산되도록 작업 배치 전략 유형을 설정합니다.
B. Amazon Elastic Kubernetes Service(Amazon EKS) 자체 관리형 노드를 사용합니다. 대상 추적 조정을 사용하도록 Application Auto Scaling을 구성합니다. 최소 용량을 3으로 설정하세요.
C. Amazon EC2 예약 인스턴스를 사용하십시오. 분산 배치 그룹에서 3개의 EC2 인스턴스를 시작합니다. 대상 추적 조정을 사용하도록 Auto Scaling 그룹을 구성합니다. 최소 용량을 3으로 설정하세요.
D. AWS Lambda 함수를 사용하십시오. VPC에 연결하도록 Lambda 함수를 구성합니다. Lambda를 확장 가능한 대상으로 사용하도록 Application Auto Scaling을 구성합니다. 최소 용량을 3으로 설정하세요.

Answer: A

이 회사는 고가용성과 애플리케이션 변경을 최소화하면서 3개의 가용 영역에 걸쳐 컨테이너화된 애플리케이션 워크로드를 VPC에 배포하려고 합니다. 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 다음과 같습니다.

Amazon Elastic Container Service(Amazon ECS)를 사용하세요. Amazon ECS는 AWS에서 컨테이너화된 애플리케이션을 실행하고 확장할 수 있는 완전관리형 컨테이너 오케스트레이션 서비스입니다. Amazon ECS를 사용하면 자체 클러스터 관리 인프라를 설치, 운영 및 확장할 필요가 없습니다. Amazon ECS는 VPC, ELB, CloudFormation, CloudWatch, IAM 등과 같은 다른 AWS 서비스와도 통합됩니다.

대상 추적 조정을 사용하도록 Amazon ECS 서비스 Auto Scaling을 구성합니다. Amazon ECS 서비스 Auto Scaling을 사용하면 수요 또는 사용자 지정 지표를 기반으로 서비스의 작업 수를 자동으로 조정할 수 있습니다. 목표 추적 조정은 지정된 지표를 목표 값으로 유지하기 위해 서비스의 작업 수를 조정하는 정책 유형입니다. 예를 들어, 목표 추적 조정을 사용하여 서비스에 대한 목표 CPU 사용률 또는 작업당 요청 수를 유지할 수 있습니다.

최소 용량을 3으로 설정합니다. 이렇게 하면 서비스가 항상 3개의 가용 영역에서 3개 이상의 작업을 실행하여 애플리케이션에 고가용성과 내결함성을 제공할 수 있습니다.

가용 영역 속성을 사용하여 분산되도록 작업 배치 전략 유형을 설정합니다. 이렇게 하면 작업이 클러스터의 가용 영역에 고르게 분산되어 서비스 가용성이 극대화됩니다.

이 솔루션은 가용 영역 전반에 걸쳐 고가용성을 제공하고 애플리케이션 변경을 최소화하며 자체 클러스터 인프라 관리에 따른 운영 오버헤드를 줄입니다.

Q759.미디어 회사는 Amazon S3에 영화를 저장합니다. 각 영화는 크기가 1GB에서 10GB 사이인 단일 비디오 파일에 저장됩니다.회사는 사용자가 구매한 후 5분 이내에 영화의 스트리밍 콘텐츠를 제공할 수 있어야 합니다. 20년이 넘은 영화보다 20년 미만의 영화에 대한 수요가 더 높습니다. 회사는 수요에 따라 호스팅 서비스 비용을 최소화하려고 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?★
A. 모든 미디어 콘텐츠를 Amazon S3에 저장합니다. 영화에 대한 수요가 감소할 때 S3 수명 주기 정책을 사용하여 미디어 데이터를 Infrequent Access 계층으로 이동합니다.
B. S3 Standard에 최신 영화 비디오 파일을 저장합니다. S3 Standard-infrequent Access(S3 Standard-IA)에 오래된 영화 비디오 파일을 저장합니다. 사용자가 오래된 영화를 주문하면 표준 검색을 사용하여 비디오 파일을 검색합니다.
C. S3 Intelligent-Tiering에 최신 영화 비디오 파일을 저장합니다. S3 Glacier 유연한 검색에 오래된 영화 비디오 파일을 저장합니다. 사용자가 오래된 영화를 주문하면 빠른 검색을 사용하여 비디오 파일을 검색합니다.
D. S3 Standard에 최신 영화 비디오 파일을 저장합니다. S3 Glacier 유연한 검색에 오래된 영화 비디오 파일을 저장합니다. 사용자가 오래된 영화를 주문하면 대량 검색을 사용하여 비디오 파일을 검색합니다.

Answer: B

S3 Glacier 유연한 검색  :  즉각적인 액세스가 필요하지는 않지만 재해복구, 백업용으로 사용 

S3 Glacier 즉각적인 검색  :  자주 액세는 하지 않지만 성능에 민감해야하(부르면 바로 나와야함)

(A) 는 제거됩니다. 수요 지표는 대중적으로 기반을 두고 있으며 라이프사이클 정책으로 구성할 수 없습니다. 예: 오래된 영화는 속편이 개봉한 후 20년이 지나면 수요가 다시 증가할 수 있습니다.
(C) 는 제거됩니다. 가장 큰 아카이브 개체(250MB 이상)를 제외한 모든 개체에 대한 신속 검색입니다.
(D) 제거되었습니다. 대량 검색에는 몇 시간이 걸립니다.
(B) S3 Glacier Flexible Retrike보다 비싸지만 유일하게 작동합니다.

Q760.솔루션 아키텍트는 공급업체가 Docker 컨테이너 이미지로 제공하는 애플리케이션에 대한 아키텍처를 설계해야 합니다. 컨테이너에는 임시 파일용으로 사용할 수 있는 50GB의 스토리지가 필요합니다. 인프라는 서버리스여야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 50GB가 넘는 공간이 있는 Amazon S3 탑재 볼륨과 함께 Docker 컨테이너 이미지를 사용하는 AWS Lambda 함수를 생성합니다.
B. 50GB가 넘는 공간을 가진 Amazon Elastic Block Store(Amazon EBS) 볼륨과 함께 Docker 컨테이너 이미지를 사용하는 AWS Lambda 함수를 생성합니다.
C. AWS Fargate 시작 유형을 사용하는 Amazon Elastic Container Service(Amazon ECS) 클러스터를 생성합니다. Amazon Elastic File System(Amazon EFS) 볼륨을 사용하여 컨테이너 이미지에 대한 작업 정의를 생성합니다. 해당 작업 정의를 사용하여 서비스를 생성합니다.
D. 50GB가 넘는 공간을 가진 Amazon Elastic Block Store(Amazon EBS) 볼륨과 함께 Amazon EC2 시작 유형을 사용하는 Amazon Elastic Container Service(Amazon ECS) 클러스터를 생성합니다. 컨테이너 이미지에 대한 작업 정의를 생성합니다. 해당 작업 정의를 사용하여 서비스를 생성합니다.

Answer: C 

AWS Fargate 시작 유형은 기본 인프라를 관리할 필요 없이 Amazon ECS에서 컨테이너를 실행하는 서버리스 방식입니다. 컨테이너를 실행하는 데 필요한 리소스에 대해서만 비용을 지불하면 AWS가 클러스터의 프로비저닝, 확장 및 보안을 처리합니다. Amazon EFS는 여러 컨테이너에 탑재할 수 있고 높은 가용성과 내구성을 제공하는 탄력적이고 확장 가능한 완전 관리형 파일 시스템입니다. AWS Fargate 및 Amazon EFS를 사용하면 운영 오버헤드를 최소화하면서 임시 파일에 사용할 수 있는 50GB의 스토리지로 Docker 컨테이너 이미지를 실행할 수 있습니다. 이 솔루션은 질문의 요구 사항을 충족합니다.

Q761.회사는 온프레미스 LDAP 디렉터리 서비스를 사용하여 AWS Management Console에 사용자를 인증해야 합니다. 디렉터리 서비스는 SAML(Security Assertion Markup Language)과 호환되지 않습니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. AWS와 온프레미스 LDAP 간에 AWS IAM Identity Center(AWS Single Sign-On)를 활성화합니다.
B. AWS 자격 증명을 사용하는 IAM 정책을 생성하고 정책을 LDAP에 통합합니다.
C. LDAP 자격 증명이 업데이트될 때마다 IAM 자격 증명을 교체하는 프로세스를 설정합니다.
D. AWS Security Token Service(AWS STS)를 사용하여 단기 자격 증명을 얻는 온프레미스 사용자 지정 자격 증명 브로커 애플리케이션 또는 프로세스를 개발합니다.

Answer: D

요구 사항을 충족하는 솔루션은 AWS Security Token Service(AWS STS)를 사용하여 단기 자격 증명을 얻는 온프레미스 사용자 지정 자격 증명 브로커 애플리케이션 또는 프로세스를 개발하는 것입니다. 이 솔루션을 사용하면 회사는 SAML 호환성 없이도 기존 LDAP 디렉터리 서비스를 사용하여 AWS Management Console에 사용자를 인증할 수 있습니다. 사용자 지정 자격 증명 브로커 애플리케이션 또는 프로세스는 LDAP 디렉터리 서비스와 AWS STS 간의 프록시 역할을 할 수 있으며 LDAP 속성 및 역할을 기반으로 사용자에 대한 임시 보안 자격 증명을 요청할 수 있습니다. 그런 다음 사용자는 이러한 자격 증명을 사용하여 자격 증명 브로커가 생성한 로그인 URL을 통해 AWS Management Console에 액세스할 수 있습니다. 또한 이 솔루션은 지정된 기간 후에 만료되는 단기 자격 증명을 사용하여 보안을 강화합니다.

다른 솔루션은 SAML 호환성이 필요하거나 AWS Management Console에 대한 액세스를 제공하지 않기 때문에 요구 사항을 충족하지 않습니다. AWS와 온프레미스 LDAP 간에 AWS IAM Identity Center(AWS Single Sign-On)를 활성화하려면 SAML 2.0을 지원하는 LDAP 디렉터리 서비스가 필요하지만 이 시나리오에서는 그렇지 않습니다. AWS 자격 증명을 사용하는 IAM 정책을 생성하고 정책을 LDAP에 통합하면 AWS Management Console에 대한 액세스가 제공되지 않고 AWS API에만 액세스할 수 있습니다. LDAP 자격 증명이 업데이트될 때마다 IAM 자격 증명을 교체하는 프로세스를 설정하면 AWS Management 콘솔에 대한 액세스가 제공되지 않고 AWS CLI에만 액세스할 수 있습니다. 따라서 이러한 솔루션은 주어진 요구 사항에 적합하지 않습니다.

Q762.회사는 Amazon EC2 인스턴스를 시작하기 위해 AWS 계정에 여러 Amazon 머신 이미지(AMI)를 저장합니다. AMI에는 회사 운영에 필요한 중요한 데이터와 구성이 포함되어 있습니다. 회사는 실수로 삭제된 AMI를 빠르고 효율적으로 복구하는 솔루션을 구현하려고 합니다.최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까? ★
A. AMI의 Amazon Elastic Block Store(Amazon EBS) 스냅샷을 생성합니다. 스냅샷을 별도의 AWS 계정에 저장합니다.
B. 모든 AMI를 주기적으로 다른 AWS 계정에 복사합니다.
C. 휴지통 보관규칙을 생성합니다.
D. 교차 지역 복제 기능이 있는 Amazon S3 버킷에 AMI를 업로드합니다.

 

Answer: C

Recycle Bin은 실수로 삭제된 Amazon EBS 스냅샷과 EBS 지원 AMI를 복원할 수 있는 데이터 복구 기능입니다. Recycle Bin을 사용할 때 리소스가 삭제되면 영구적으로 삭제되기 전에 지정한 기간 동안 Recycle Bin에 보관됩니다. 리소스 보존 기간이 만료되기 전에 언제든지 리소스를 복원할 수 있습니다. 이 솔루션은 추가 리소스를 만들거나 복사하거나 업로드할 필요가 없으므로 운영 오버헤드가 가장 적습니다. 또한 Recycle Bin의 AMI에 대한 태그 및 권한을 관리할 수 있습니다. Recycle Bin의 AMI는 추가 비용이 발생하지 않습니다

Q764.회사는 3계층 애플리케이션을 온프레미스에서 AWS로 마이그레이션하려고 합니다. 웹 계층과 애플리케이션 계층은 타사 VM(가상 머신)에서 실행됩니다. 데이터베이스 계층은 MySQL에서 실행됩니다.회사는 아키텍처를 최소한으로 변경하여 애플리케이션을 마이그레이션해야 합니다. 또한 회사에는 데이터를 특정 시점으로 복원할 수 있는 데이터베이스 솔루션이 필요합니다.최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까? ★★★
A. 웹 계층과 애플리케이션 계층을 프라이빗 서브넷의 Amazon EC2 인스턴스로 마이그레이션합니다. 데이터베이스 계층을 프라이빗 서브넷의 MySQL용 Amazon RDS로 마이그레이션합니다.
B. 웹 계층을 퍼블릭 서브넷의 Amazon EC2 인스턴스로 마이그레이션합니다. 애플리케이션 계층을 프라이빗 서브넷의 EC2 인스턴스로 마이그레이션합니다. 데이터베이스 계층을 프라이빗 서브넷의 Amazon Aurora MySQL로 마이그레이션합니다.
C. 웹 계층을 퍼블릭 서브넷의 Amazon EC2 인스턴스로 마이그레이션합니다. 애플리케이션 계층을 프라이빗 서브넷의 EC2 인스턴스로 마이그레이션합니다. 데이터베이스 계층을 프라이빗 서브넷의 MySQL용 Amazon RDS로 마이그레이션합니다.
D. 웹 계층과 애플리케이션 계층을 퍼블릭 서브넷의 Amazon EC2 인스턴스로 마이그레이션합니다. 데이터베이스 계층을 퍼블릭 서브넷의 Amazon Aurora MySQL로 마이그레이션합니다.

Answer: B

프라이빗-오로라는 자동화된 백업 및 시점 복구 기능을 제공하여 백업 관리 및 데이터 보호를 간소화합니다.

저는 B와 C 사이에 있습니다. RDS는 PTR에 대한 추가 구성이 필요하므로 운영 오버헤드를 추가합니다. 그래서 저는 B로 하겠습니다.오로라는 자동화된 백업 및 시점 복구 기능을 제공하여 백업 관리 및 데이터 보호를 간소화합니다. 지속적인 증분 백업이 자동으로 수행되어 Amazon S3에 저장되며, 규정 준수 요건을 충족하기 위해 데이터 보존 기간을 지정할 수 있습니다.
RDS는 동일한 기능을 제공하지만, 먼저 사용자는 이러한 백업에 대한 보존 기간을 설정하여 실수로 데이터가 손실되거나 손상된 경우 과거 데이터를 복구할 수 있도록 해야 하며, PITR(Point-In-Time Recovery)을 사용하면 설정된 보존 기간 내에 데이터베이스를 특정 시점으로 복원할 수 있습니다.

Q765.개발팀이 다른 회사와 협력하여 통합 제품을 만들고 있습니다. 다른 회사는 개발 팀의 계정에 포함된 Amazon Simple Queue Service(Amazon SQS) 대기열에 액세스해야 합니다. 다른 회사는 자신의 계정 권한을 포기하지 않고 대기열을 폴링하려고 합니다.솔루션 설계자는 SQS 대기열에 대한 액세스를 어떻게 제공해야 합니까?★★★
A. 다른 회사에 SQS 대기열에 대한 액세스를 제공하는 인스턴스 프로필을 생성합니다.
B. SQS 대기열에 대한 다른 회사 액세스를 제공하는 IAM 정책을 생성합니다.
C. SQS 대기열에 대한 다른 회사 액세스를 제공하는 SQS 액세스 정책을 만듭니다.
D. 다른 회사에 SQS 대기열에 대한 액세스를 제공하는 Amazon Simple 알림 서비스(Amazon SNS) 액세스 정책을 생성합니다.

Answer: C

Amazon SQS 정책 시스템을 사용하면 다른 Amazon 계정에 대한 권한을 부여할 수 있습니다.

Q766.한 회사의 개발자는 최신 버전의 Amazon Linux를 실행하는 회사의 Amazon EC2 인스턴스에 대해 SSH 액세스를 얻을 수 있는 안전한 방법을 원합니다. 개발자는 원격으로 회사 사무실에서 작업합니다.회사는 AWS 서비스를 솔루션의 일부로 사용하려고 합니다. EC2 인스턴스는 VPC 프라이빗 서브넷에서 호스팅되며 퍼블릭 서브넷에 배포된 NAT 게이트웨이를 통해 인터넷에 액세스합니다.이러한 요구 사항을 가장 비용 효율적으로 충족하려면 솔루션 설계자가 무엇을 해야 합니까? ★★★
A. EC2 인스턴스와 동일한 서브넷에 배스천 호스트를 생성합니다. 개발자에게 ec2:CreateVpnConnection IAM 권한을 부여합니다. 개발자가 EC2 인스턴스에 연결할 수 있도록 EC2 Instance Connect를 설치합니다.
B. 회사 네트워크와 VPC 사이에 AWS Site-to-Site VPN 연결을 생성합니다. 개발자가 회사 네트워크에 있을 때 Site-to-Site VPN 연결을 사용하여 EC2 인스턴스에 액세스하도록 개발자에게 지시하십시오. 개발자에게 원격으로 작업할 때 액세스를 위해 다른 VPN 연결을 설정하도록 지시하십시오.
C. VPC의 퍼블릭 서브넷에 배스천 호스트를 생성합니다. 개발자의 회사 및 원격 네트워크의 연결 및 SSH 인증만 허용하도록 배스천 호스트의 보안 그룹과 SSH 키를 구성합니다. 개발자에게 SSH를 사용하여 배스천 호스트를 통해 연결하여 EC2 인스턴스에 연결하도록 지시합니다.
D. AmazonSSMManagedInstanceCore IAM 정책을 EC2 인스턴스와 연결된 IAM 역할에 연결합니다. 개발자에게 AWS Systems Manager Session Manager를 사용하여 EC2 인스턴스에 액세스하도록 지시합니다.

Answer: D

AWS Systems Manager Session Manager 

AWS Systems Manager Session Manager는 SSH 키나 배스천 호스트를 사용하지 않고도 EC2 인스턴스에 `안전하게 연결할 수 있게 해주는 서비스입니다. Session Manager를 사용하면 AWS Management Console, AWS CLI 또는 AWS SDK를 통해 인스턴스에 액세스할 수 있습니다. Session Manager는 IAM 정책과 역할을 사용하여 누가 어떤 인스턴스에 액세스할 수 있는지 제어합니다. AmazonSSMManagedlnstanceCore IAM 정책을 EC2 인스턴스와 연결된 IAM 역할에 연결하면 Session Manager 서비스에 인스턴스에 대한 작업을 수행하는 데 필요한 권한을 부여할 수 있습니다. 또한 개발자가 인스턴스에 대한 세션을 시작할 수 있도록 허용하는 다른 IAM 정책을 개발자의 IAM 사용자 또는 역할에 연결해야 합니다. Session Manager는 Amazon Linux 2 및 기타 지원되는 Linux 배포판에 기본적으로 설치되는 AWS Systems Manager 에이전트(SSM 에이전트)를 사용합니다. 또한 Session Manager는 클라이언트와 인스턴스 간의 모든 세션 데이터를 암호화하고 감사 목적으로 세션 로그를 Amazon S3, Amazon CloudWatch Logs 또는 둘 다로 스트리밍합니다. 이 솔루션은 배스천 호스트, VPN 연결 또는 NAT 게이트웨이와 같은 추가 리소스나 서비스가 필요하지 않으므로 가장 비용 효율적입니다. 또한 SSH 키, 포트 열기 또는 방화벽 규칙이 필요하지 않으므로 SSH 액세스의 보안 및 관리가 단순화됩니다.

Q767.한 제약회사에서 신약을 개발하고 있습니다. 지난 몇 달 동안 회사에서 생성되는 데이터의 양이 기하급수적으로 증가했습니다. 회사의 연구원들은 최소한의 지연으로 즉시 사용할 수 있도록 전체 데이터 세트의 하위 집합을 정기적으로 요구합니다. 그러나 전체 데이터 세트에 매일 액세스할 필요는 없습니다. 현재 모든 데이터는 온프레미스 스토리지 어레이에 상주하고 있으며 회사는 지속적인 자본 비용을 줄이고 싶어합니다.솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 스토리지 솔루션을 권장해야 합니까?
A. AWS DataSync를 예약된 cron 작업으로 실행하여 지속적으로 데이터를 Amazon S3 버킷으로 마이그레이션합니다.
B. Amazon S3 버킷을 대상 스토리지로 사용하여 AWS Storage Gateway 파일 게이트웨이를 배포합니다. 데이터를 Storage Gateway 어플라이언스로 마이그레이션합니다.
C. Amazon S3 버킷을 대상 스토리지로 사용하여 캐시된 볼륨이 있는 AWS Storage Gateway 볼륨 게이트웨이를 배포합니다. 데이터를 Storage Gateway 어플라이언스로 마이그레이션합니다.
D. 온프레미스 환경에서 AWS로 AWS Site-to-Site VPN 연결을 구성합니다. Amazon Elastic File System(Amazon EFS) 파일 시스템으로 데이터를 마이그레이션합니다.

Answer: C

AWS Storage Gateway는 온프레미스 애플리케이션을 AWS 클라우드 스토리지와 원활하게 통합할 수 있는 하이브리드 클라우드 스토리지 서비스입니다. 볼륨 게이트웨이는 온프레미스 애플리케이션에 클라우드 지원 iSCSI 블록 스토리지 볼륨을 제공하는 스토리지 게이트웨이 유형입니다. 볼륨 게이트웨이는 캐시 모드 또는 저장 모드에서 작동합니다. 캐시 모드에서는 기본 데이터가 Amazon S3에 저장되는 동시에 자주 액세스하는 데이터는 짧은 지연 시간 액세스를 위해 캐시에 로컬로 보관됩니다. 저장 모드에서는 기본 데이터가 로컬에 저장되고, 전체 데이터 세트를 온프레미스에서 짧은 지연 시간으로 액세스하는 동시에 Amazon S3에 비동기식으로 백업할 수 있습니다.

제약 회사의 사용 사례에서는 캐시 모드가 다음 요구 사항을 충족하므로 가장 적합한 옵션입니다.

대부분의 데이터가 확장 가능하고 내구성이 뛰어나며 비용 효율적인

Q768.회사에는 Amazon EC2 인스턴스에서 실행되는 비즈니스에 중요한 애플리케이션이 있습니다. 애플리케이션은 Amazon DynamoDB 테이블에 데이터를 저장합니다. 회사는 지난 24시간 내의 어느 시점으로든 테이블을 되돌릴 수 있어야 합니다.최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 테이블에 대한 특정 시점 복구를 구성합니다.
B. 테이블에 AWS Backup을 사용하십시오.
C. AWS Lambda 함수를 사용하여 매시간 테이블의 주문형 백업을 만듭니다.
D. 테이블에서 스트림을 켜서 지난 24시간 동안 테이블에 대한 모든 변경 사항에 대한 로그를 캡처합니다. Amazon S3 버킷에 스트림 복사본을 저장합니다.

Answer: A

DynamoDB의 특정 시점 복구(PITR)는 지난 35일 동안의 특정 시점으로 테이블 데이터를 복원할 수 있는 기능입니다. PITR은 프로덕션 테이블에 테스트 스크립트를 작성하거나 사용자가 잘못된 명령을 실행하는 등 실수로 쓰기 또는 삭제 작업을 수행하지 않도록 테이블을 보호하는 데 도움이 됩니다. PITR은 사용하기 쉽고, 완벽하게 관리되며, 빠르고, 확장 가능합니다. DynamoDB 콘솔에서 한 번의 클릭이나 간단한 API 호출을 통해 PITR을 활성화할 수 있습니다. 콘솔, AWS CLI 또는 DynamoDB API를 사용하여 테이블을 새 테이블로 복원할 수 있습니다.

PITR은 프로비저닝된 테이블 용량을 소비하지 않으며 프로덕션 애플리케이션의 성능이나 가용성에 영향을 주지 않습니다. PITR은 수동 백업 생성, 예약 또는 유지 관리가 필요하지 않으므로 최소한의 운영 오버헤드로 회사의 요구 사항을 충족합니다. 또한 지난 24시간 내의 어느 시점으로든 테이블을 복원하기 위한 초당 세분성을 제공합니다.

Q769.한 회사가 Amazon S3 버킷에 파일을 업로드하는 데 사용되는 애플리케이션을 호스팅합니다. 업로드되면 파일을 처리하여 메타데이터를 추출하는데, 이 작업에는 5초도 채 걸리지 않습니다. 업로드의 양과 빈도는 매 시간 몇 개의 파일부터 수백 개의 동시 업로드까지 다양합니다. 회사는 솔루션 설계자에게 이러한 요구 사항을 충족할 수 있는 비용 효율적인 아키텍처를 설계하도록 요청했습니다.솔루션 설계자는 무엇을 추천해야 합니까?★★★
A. S3 API 호출을 기록하도록 AWS CloudTrail 추적을 구성합니다. AWS AppSync를 사용하여 파일을 처리합니다.
B. 파일을 처리하기 위해 AWS Lambda 함수를 호출하도록 S3 버킷 내에서 객체 생성 이벤트 알림을 구성합니다.
C. 데이터를 처리하고 Amazon S3로 전송하도록 Amazon Kinesis Data Streams를 구성합니다. AWS Lambda 함수를 호출하여 파일을 처리합니다.
D. Amazon S3에 업로드된 파일을 처리하도록 Amazon Simple 알림 서비스(Amazon SNS) 주제를 구성합니다. AWS Lambda 함수를 호출하여 파일을 처리합니다.

Answer: B

Amazon Kinesis Data FIREHORSE 만 S3와관련됨

Q770.회사의 애플리케이션은 Amazon EC2 인스턴스에 배포되고 이벤트 기반 아키텍처에 AWS Lambda 기능을 사용합니다. 회사는 기능을 프로덕션에 배포하기 전에 다른 AWS 계정의 비프로덕션 개발 환경을 사용하여 새로운 기능을 테스트합니다.프로덕션 인스턴스는 시간대가 다른 고객으로 인해 지속적인 사용량을 보여줍니다. 회사는 평일 업무 시간에만 비프로덕션 인스턴스를 사용합니다. 회사는 주말에 비프로덕션 인스턴스를 사용하지 않습니다. 회사는 AWS에서 애플리케이션을 실행하는 데 드는 비용을 최적화하려고 합니다.이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?
A. 프로덕션 인스턴스에는 온디맨드 인스턴스를 사용하십시오. 주말에만 비프로덕션 인스턴스에 전용 호스트를 사용하세요.
B. 프로덕션 인스턴스와 비프로덕션 인스턴스에 예약 인스턴스를 사용합니다. 사용하지 않을 때는 비프로덕션 인스턴스를 종료합니다.
C. 프로덕션 인스턴스에는 Compute Savings Plan을 사용하십시오. 비프로덕션 인스턴스에는 온디맨드 인스턴스를 사용합니다. 사용하지 않을 때는 비프로덕션 인스턴스를 종료합니다.
D.프로덕션 인스턴스에는 전용 호스트를 사용하십시오. 비프로덕션 인스턴스에는 EC2 Instance Savings Plans를 사용하세요.

Answer: C