Amazon AWS Certified Solutions Architect - Associate (SAA-C03 Korean Version) 덤프 정리

Q1. S3 Transfer Acceleration & 멀티파트 업로드

각 대륙의 데이터를 하나의 S3 버킷에 집계하려면 S3 버킷에서 S3 Transfer Acceleration 을 켜고 멀티파트 업로드를 사용하여 사이트 데이터를 대상 S3 버킷에 직접 업로드한다.

여러 글로벌 사이트의 데이터를 단일 Amazon S3 버킷으로 신속하게 집계하는 가장 효율적이고 운영상 간단한 솔루션을 제공

• S3 Transfer Acceleration
  Amazon CloudFront의 글로벌 네트워크를 활용하여 S3 버킷으로 데이터를 더 빠르게 업로드하거나 다운로드할 수 있도록 설계된 기능. 사용자는 가장 가까운 CloudFront 엣지 로케이션으로 데이터를 업로드하면, AWS 백본 네트워크를 통해 S3 버킷으로 데이터를 전달
• Multi-Part Uload
  대용량 파일을 여러 개의 파트로 나누어 병렬로 업로드
• AWS Snowball Edge
  대규모 데이터를 물리적으로 AWS로 전송하거나, 네트워크 연결이 제한적인 환경에서 데이터를 처리할 수 있도록 설계된 디바이스

Q2. Amazon Athena

로그는 Amazon S3 버킷에 JSON 형식으로 저장됐을때 쿼리는 간단하고 주문형으로 실행할 경우 최소한의 운영 오버헤드로 해당 요구사항을 충족하려면 S3에 쿼리 가능한 Amazon Athena을 사용해야한다.

• Amazon Redshift
  대규모 데이터 웨어하우스 솔루션으로 데이터 로드 및 고성능 SQL 쿼리에 적합.
• Amazon CloudWatch Logs
  애플리케이션 및 시스템 로그 모니터링 및 분석, SQL 쿼리는 불가능.
• Amazon Athena
  S3 데이터에 대해 서버리스 SQL 쿼리를 실행할 수 있는 간단한 분석 도구. Athena 로 JSON 쿼리 가능.
  Amazon Athena 를 사용하면 JSON 인코딩 값을 구문 분석하고, JSON 에서 데이터를 추출하고, 값을 검색하고, JSON 배열의 길이와 크기를 찾을 수 있습니다
• AWS Glue + EMR
  데이터를 정리(AWS Glue)하고 대규모 데이터 처리(EMR)용 Apache Spark 클러스터 활용.

Q3. aws:PrincipalOrgID & aws:PrincipalOrgPaths

AWS Organizations 를 사용하여 여러 부서의 여러 AWS 계정을 관리하는데 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있다. 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations 의 조직 내 계정 사용자로만 제한하기 위해 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하려면? 조직 ID 에 대한 참조와 함께 aws PrincipalOrgID 전역 조건 키를 S3 버킷 정책에 추가

• aws:PrincipalOrgID
  해당 전역 조건 키를 S3 버킷 정책에 추가하여 조직에 속한 모든 계정에 대해서 해당 S3 버킷에 액세스를 허용시킬 수 있다.
• aws:PrincipalOrgPaths
  조직 단위(OU) 구조 경로를 기반으로 조건을 설정할 수 있는 키로 해당 문제는 조직 전체에 대해 엑세스를 허용해야했기에 다르다.
• AWS CloudTrail
  

  CloudTrail 은 리소스 내역을 기록/전송하는 서비스로 지문에서 요구하는 사항에 불필요

• aws:PrincipalTag
  

  각 사용자마다 태그를 달아야 하므로 최소 운영 오버헤드라는 조건 불충족

 

Q4. VPC Endpoint

VPC 내 Amazon EC2 인스턴스에서 실행되는 어플리케이션은 S3 버킷에 저장된 로그에 인터넷 없이 엑세스 해야할 경우 S3 버킷에 대한 게이트웨이 VPC 엔드포인트를 생성해하여 이를 통해 엑세스해야한다.

• VPC-S3 간 인터넷을 통하지 않는 연결 = S3 VPC Gateway Endpoint.
• VPC 종단점을 사용하면 공용 인터넷을 사용하는 대신 사설 네트워크를 사용하여 AWS 서비스에 연결할 수 있다.

Q5. ALB & EBS &EFS

Amazon EBS 볼륨에 저장하는 단일 Amazon EC2 인스턴스에서 두 번째 EC2 인스턴스와 EBS 볼륨을 생성하여 Application Load Balancer 뒤에 배치. 이 경우 웹 사이트를 새로 고칠 때마다 문서의 일부 또는 다른 하위 집합을 볼 수 있지만 모든 문서를 동시에 볼 수는 없기 때문에 두 EBS 볼륨의 데이터를 Amazon EFS 로 복사합니다. 새 문서를 Amazon EFS 에 저장하도록 애플리케이션을 수정해야한다.

• EBS와 EFS의 가장 큰 차이점 중 하나는 EBS는 단일 AZ안에서만 접근이 가능한 저장소인 반면, EFS 는 다중 AZ 안에서도 접근이 가능한 저장소라는 점입니다. 위 문제에서는 초기 단일 AZ 에서 운영하던 EC2 및 EBS 를 복제한뒤 AZ 를  이중화하여 멀티 EC2 및 EBS 시스템으로 구성하였지만, 각 AZ 내에서 공유되지 않는 EBS 저장소를 별도로 운영하였기때문에 고객들에게 일관성있는 데이터를 제공할 수 없었던 것으로 보입니다. 이는 각 AZ 의 EC2 인스턴스가 동일한 저장소를 공유하도록 함으로써 해결할 수 있을 것 같습니다. 초기 EBS 에 저장되어있던 데이터들을 일관성있게 보정하여 EFS 로 일회성 마이그레이션을 수행한뒤 EC2 어플리케이션 서버 인스턴스가 EBS가 아닌 EFS에 데이터를 저장하도록 변경하는 것이 바람직해보입니다.

Q6. NFS to S3 마이그레이션 - AWS Snowball & Snowball Edge

NFS 를 사용하여 온프레미스 네트워크 연결 스토리지에 대용량 비디오 파일을 저장했는데 총 스토리지 70TB이며 각 비디오 파일의 크기 범위는 1MB 에서 500GB일때 S3로 마이그레이션 시 최소한의 네트워크 대역폭 사용하는 법

(온프레미스 환경에 저장된 대용량 비디오 파일을 Amazon S3로 효율적으로 마이그레이션)

• Snowball Edge는 AWS에서 제공하는 대용량 데이터 마이그레이션 장치로
  Snowball Edge 장치를 온프레미스 환경으로 배송받아 데이터를 전송한 후, 장치를 AWS로 반환하고 AWS가 장치에서 데이터를 S3로 업로드하는 방식이다. Snowball 장치는 80TB, Snowball Edge 는 100TB 까지 한번에 이동 가능. 이 둘은 용량의 차이이다.
• S3, S3 파일 게이트웨이, AWS Direct Connect의 경우 네트워크 대역폭에 의존적

온프레미스(On-Premise)는 데이터와 IT 인프라를 회사 내부의 물리적인 서버, 데이터 센터, 또는 네트워크에 직접 설치하고 운영하는 방식

Q7. Amazon Simple Queue Service

회사로 들어오는 메시지를 수집하는 애플리케이션이 있고 수십 개의 다른 애플리케이션과 마이크로서비스가 이러한 메시지를 빠르게 소비한다. 메시지 수는 급격하게 변하며 때로는 초당 100,000 개로 갑자기 증가하기도 합니다. 이 회사는 솔루션을 분리하고 확장성을 높이고자할때 여러 Amazon Simple Queue Service(Amazon SOS) 구독이 있는 Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시합니다. 대기열의 메시지를 처리하도록 소비자 애플리케이션을 구성합니다.

• 완전 관리형 메시지 큐 서비스로, 메시지 생성과 소비 간의 비동기 통신을 지원하며, 시스템 간 결합도를 줄이고 확장성을 제공

  • 대기열 크기에 따라 인스턴스 수를 확장하여 필요할 때 더 많은 리소스를 제공

    대기열 크기를 기반으로 하는 Auto Scaling 그룹을 사용하면 워크로드에 따라 자동으로 인스턴스 수를 늘리거나 줄일 수 있다.

Q8. 회사에서 분산 애플리케이션을 AWS 로 마이그레이션

회사가 분산 애플리케이션을 AWS로 마이그레이션하며, 다양한 워크로드를 처리하는 기존 플랫폼을 현대화하여 탄력성과 확장성을 극대화하려고 하다. 이 경우 Amazon Simple Queue Service(Amazon SQS) 대기열을 구성하고 Auto Scaling 그룹에서 관리되는 Amazon EC2 인스턴스로 컴퓨팅 노드를 구현한다. SQS 대기열 크기에 따라 EC2 Auto Scaling 을 구성한다.

• Amazon SQS에 Scheduled Scaling을 사용하는 방식은 실시간 현황에 맞춰 적용되는 탄력성이 부족.
• CloudTrail 은 리소스 내역을 기록/전송하는 서비스
• CPU 사용률에 따라 EC2 Auto Scaling 하려면 Target Tracking Policy 를 사용한다. NOT Amazon EventBridge(Amazon CloudWatch Events)

Q9. Amazon S3 File Gateway & S3 Glacier Deep Archive

회사가 데이터 센터에서 SMB 파일 서버를 사용하여 처음 며칠 동안 자주 액세스되는 대용량 파일을 저장하고, 7일 이후에는 거의 액세스하지 않는 파일을 관리하고 있다. 저장 용량이 한계에 도달하고 있어, 최근 파일에 대한 저지연 액세스를 유지하면서 저장 공간을 확장하고, 파일의 수명 주기 관리 기능을 통해 장기적인 스토리지 문제를 해결하려고 한다. 이 경우 Amazon S3 파일 게이트웨이를 생성하여 회사의 스토리지 공간을 확장합니다. S3 수명 주기 정책을 생성하여 7 일 후에 데이터를 S3 Glacier Deep Archive 로 전환한다.

• 사용 가능한 스토리지 공간을 늘림 = Storage Gateway
• Amazon S3 File Gateway 는 온프레미스 애플리케이션이 Amazon S3 클라우드 스토리지를 원활하게 사용할 수 있도록 하는 하이브리드 클라우드 스토리지 서비스입니다. Amazon S3 에 대한 파일 인터페이스를 제공하고 SMB 및 NFS 프로토콜을 지원합니다. 또한 지정된 기간이 지나면 데이터를 S3 Standard 에서 S3 Glacier Deep Archive 로 자동 전환할 수 있는 S3 수명 주기 정책을 지원합니다. 이 솔루션은 짧은 대기 시간 액세스를 유지하면서 회사의 사용 가능한 저장 공간을 늘리는 요구 사항을 충족

Q10. Amazon SQS FIFO

회사는 AWS 에서 전자 상거래 웹 애플리케이션을 구축하고 있습니다. 애플리케이션은 처리할 Amazon API Gateway REST API 에 새 주문에 대한 정보를 보냅니다. 회사는 주문이 접수된 순서대로 처리되기를 원합니다.
어떤 솔루션이 이러한 요구 사항을 충족해야할때 주문이 접수된 순서대로 처리되도록 하기 위한 최상의 솔루션은 Amazon SQS FIFO(선입선출) 대기열을 사용하는 것

• API Gateway 통합을 사용하여 처리를 위해 메시지를 Amazon SQS FIFO 대기열로 보낼 수 있습니다. 그런 다음 AWS Lambda 함수를 호출하여 각 주문에 필요한 처리를 수행하도록 대기열을 구성

Q11. AWS Secrets Manager

회사는 Amazon EC2 인스턴스에서 실행되는 애플리케이션이 Amazon Aurora 데이터베이스에 로컬 파일에 저장된 사용자 이름과 암호를 사용하여 연결되고, 자격 증명 관리의 운영 오버헤드를 최소화하려면 로컬 파일이 아닌 Amazon Secrets Manager를 사용해야한다.

• AWS Secrets Manager 는 애플리케이션, 서비스 및 IT 리소스에 대한 액세스를 보호하는 데 도움이 되는 보안 정보 관리 서비스입니다. 이 서비스를 사용하면 수명 주기 동안 데이터베이스 자격 증명, API 키 및 기타 보안 정보를 손쉽게 교체, 관리 및 검색할 수 있다.
  Secrets Manager 에서 보안 암호에 대한 자동 교체를 설정할 수 있다.
• Systems Manager Parameter Store 는 구성 데이터(Config) 같은 걸 코드와 분리하여 원치 않는 노출을 막는 것. AWS Systems Manager 는 데이터베이스 문자열과 같은 평문 데이터든 암호와 같은 비밀이든 관계없이 구성 데이터를 관리할 수 있는 중앙 스토어를 제공
• KMS 키는 S3 버킷에 저장하는 것이 아니다.

Q12. AWS CloudFront

회사는 ALB 뒤의 Amazon EC2 인스턴스에서 웹 애플리케이션을 호스팅하며, 정적 데이터는 S3에 저장되고 동적 데이터는 EC2에서 처리된다. 회사는 정적 데이터와 동적 데이터의 성능을 개선하고 대기 시간을 줄이기를 원한다. 또한 Amazon Route 53에 등록된 자체 도메인 이름을 사용하고 있다. 이 경우 S3 버킷과 ALB 를 오리진으로 포함하는 Amazon CloudFront 배포를 생성하고 CloudFront 배포로 트래픽을 라우팅하도록 Route 53 을 구성해야한다.

• 배포를 만들 때 CloudFront 가 파일에 대한 요청을 보내는 오리진을 지정합니다. CloudFront 에서 여러 오리진을 사용할 수 있습니다. 예를 들어 Amazon S3 버킷, MediaStore 컨테이너, MediaPackage 채널, Application Load Balancer 또는 AWS Lambda 함수 URL 을 사용할 수 있다. Amazon Route 53 을 구성하여 CloudFront 배포로 트래픽을 라우팅 

Q13. RDS 자격 증명 교체 -> AWS Secrets Manager

회사는 여러 AWS 리전에서 MySQL 용 Amazon RDS 데이터베이스에 대한 자격 증명을 교체해야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 자격 증명을 AWS Secrets Manager 에 암호로 저장하는 것이다. 필요한 리전에 대해 다중 리전 비밀 복제를 사용합니다. 일정에 따라 보안 암호를 교체하도록 Secrets Manager 를 구성합니다.

Secrets Manager 를 사용하면 데이터베이스 자격 증명, API 키 및 기타 비밀을 포함한 비밀을 저장, 검색, 관리 및 교체

 

Q14. 다중 AZ 배포 및 Amazon Aurora

회사는 전자 상거래 애플리케이션을 Application Load Balancer (ALB) 뒤에서 실행 중이며, EC2 Auto Scaling 그룹을 통해 여러 가용 영역(AZ)에 걸쳐 EC2 인스턴스를 확장하고 있다. 애플리케이션은 MySQL 8.0 데이터베이스를 사용하여 트랜잭션 데이터를 저장한다. 그러나 애플리케이션 로드가 증가하면서 데이터베이스 성능이 저하되고, 읽기 요청이 쓰기 트랜잭션보다 많다. 회사는 고가용성을 유지하면서 예측할 수 없는 읽기 워크로드의 수요를 충족하기 위한 자동 확장 솔루션을 찾고 있는데 이 경우  다중 AZ 배포와 함께 Amazon Aurora 를 사용하고 Aurora 복제본을 사용하여 Aurora Auto Scaling 을 구성한다.

• Read Replica를 통해 읽기 분산
• Aurora 는 RDS 에서 MySQL 보다 5 배 향상된 성능을 제공하며 쓰기보다 더 많은 읽기 요청을 처리합니다. 고가용성 유지 = 다중 AZ 배포.
• Aurora는 자동으로 3개의 AZ에 6개의 복제본을 생성
• Amazon Redshift는 데이터 웨어하우징 서비스로, OLAP(온라인 분석 처리)에 최적화되어 있으며, 트랜잭션 처리에는 적합하지 않다.

Q15. AWS Network Firewall (네트워크 방화벽)

AWS로 마이그레이션한 회사가 프로덕션 VPC의 들어오고 나가는 트래픽을 보호하려고 하는데 이전에는 사내 데이터 센터에서 검사 서버를 사용하여 트래픽 흐름을 검사하고 필터링하는 작업을 했다. 이제 AWS 클라우드에서 동일한 기능을 구현하려고 한다면 AWS Network Firewall

• AWS Network Firewall을 통해 프로덕션 VPC에 대한 트래픽 검사 및 트래픽 필터링에 필요한 규칙을 생성
• Amazon GuardDuty는 AWS의 위협(악성) 탐지 서비스로, 보안 이벤트를 탐지하고 모니터링하는 데 사용  + 계정 보호 서비스
• AWS WAF 및 AWS Shield와 같은 보안 서비스를 중앙에서 관리하는 도구입니다. 그러나 트래픽 검사 및 필터링을 실제로 수행하는 기능은 제공하지 않으며, 보안 규칙을 관리하고 적용하는 데 초점

Q16. Amazon QuickSight

AWS에서 데이터 레이크를 호스팅하고 있으며, 데이터 레이크는 Amazon S3와 PostgreSQL용 Amazon RDS의 데이터를 포함하고 있습니다. 회사는 모든 데이터 소스를 포함한 보고 솔루션을 제공하고, 관리 팀만 모든 시각화에 대한 전체 액세스 권한을 가져야 하며, 나머지 직원들은 제한된 액세스 권한만 가져야 합니다. 이 경우 Amazon QuickSight를 사용하여 데이터 시각화를 제공하고, IAM을 통한 권한 관리로 전체 액세스 권한을 관리 팀에 부여하고, 나머지 직원들에게는 제한된 액세스 권한을 설정하여 요구 사항을 충족

 

Q17. IAM 역할 생성 및 연결

회사에서 새로운 비즈니스 애플리케이션을 구현하고 있습니다. 이 애플리케이션은 두 개의 Amazon EC2 인스턴스에서 실행되며 문서 저장을 위해 Amazon S3 버킷을 사용합니다. 솔루션 설계자는 EC2 인스턴스가 S3 버킷에 액세스할 수 있는지 확인해야한다.

• 이 경우 S3 버킷에 대한 액세스 권한을 부여하는 IAM 역할을 생성합니다. 역할을 EC2 인스턴스에 연결해야한다.
• NOT  IAM 정책 생성 및 정책 연결. 역할을 생성하고 연겨해야한다.

Q18. Amazon SQS & Lambda

애플리케이션 개발 팀은 사용자가 업로드한 이미지를 압축하여 S3 버킷에 저장하는 마이크로서비스를 설계하고 있습니다. 이 과정에서 이미지는 S3에 업로드되고, AWS Lambda 함수가 이를 처리 및 압축하여 다른 S3 버킷에 저장해야 합니다. 내구성이 있는 상태 비저장 구성 요소를 사용하여 이미지를 자동으로 처리하는 솔루션을 설계해야 합니다. 이 경우  Amazon Simple Queue Service(Amazon SQS) 대기열을 생성합니다. 이미지가 S3 버킷에 업로드될 때 SQS 대기열에 알림을 보내도록 S3 버킷을 구성하고  Amazon Simple Queue Service(Amazon SQS) 대기열을 호출 소스로 사용하도록 Lambda 함수를 구성합니다. SQS 메시지가 성공적으로 처리되면 대기열에서 메시지를 삭제합니다.

• 이미지를 S3에 업로드하면 S3에서 자동으로 SQS 대기열로 알림을 보냅니다. 이 방식은 이미지 처리 작업을 큐에 쌓아 순차적으로 처리할 수 있도록 합니다.
• Lambda 함수가 SQS 대기열에서 이미지를 처리하고, 작업이 완료되면 대기열에서 메시지를 삭제합니다. 이는 비동기적으로 처리할 수 있어 내구성이 뛰어나며 자동화된 이미지 처리 시스템을 구축할 수 있습니다.

Q19. Gateway Load Balancer

회사는 AWS에 배포된 3계층 웹 애플리케이션을 운영하고 있습니다. 웹 서버는 퍼블릭 서브넷에, 애플리케이션 서버와 데이터베이스 서버는 프라이빗 서브넷에 배치되어 있습니다. 회사는 AWS Marketplace에서 제공하는 타사 가상 방화벽 어플라이언스를 VPC에 배포하였고, 이 어플라이언스(장치)는 IP 패킷을 수락할 수 있는 IP 인터페이스로 구성되어 있습니다. 솔루션 설계자는 트래픽이 웹 서버에 도달하기 전에 모든 트래픽을 어플라이언스를 통해 검사해야 합니다.
웹 애플리케이션이 최소한의 운영 오버헤드로 트래픽 검사를 위해 어플라이언스와 통합

• Gateway Load Balancer 를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템과 같은 가상 어플라이언스를 배포, 확장 및 관리할 수 있습니다. Gateway Load Balancer는 Gateway Load Balancer 엔드포인트를 사용하여 VPC 경계 전체에서 트래픽을 안전하게 교환

Q20. EBS 스냅샷 + 빠른 스냅샷 복원

회사에서 동일한 AWS 리전의 테스트 환경에 대량의 프로덕션 데이터를 복제하는 기능을 개선하려고 합니다. 데이는 Amazon Elastic Block Store(Amazon EBS) 볼륨의 Amazon EC2 인스턴스에 저장됩니다. 복제된 데이터를 수정해도 프로덕션 환경에 영향을 주지 않아야 합니다. 이 데이터에 액세스하는 소프트웨어는 일관되게 높은 I/O 성능을 요구한다

• 프로덕션 EBS 볼륨의 EBS 스냅샷을 만들고 EBS 스냅샷에서 EBS 빠른 스냅샷 복원 기능을 켠다. 스냅샷을 새 EBS 볼륨으로 복원. 테스트 환경의 EC2 인스턴스에 새 EBS 볼륨을 연결한다.

• EBS 다중 연결을 사용하게 되면 복제된 데이터를 수정할 때 프로덕션 환경에 영향을 주게 됨
  

• 인스턴스 스토어 볼륨은 휘발성이라 꺼지면 데이터 날라감
  

Q21. (Amazon S3, CloudFront : 정적 웹사이트 호스팅), (API Gateway, Lambda:백엔드 API ), DynamoDB

전자상거래 회사는 하루에 1회 웹사이트를 시작하여 정확히 하나의 제품을 판매합니다.
요구 사항 - 피크 시간 동안 밀리초 단위 지연으로 시간당 수백만 개의 요청을 처리.
                - 최소한의 운영 오버헤드로 시스템 구축.

 

1. Amazon S3와 CloudFront로 전체 웹사이트 호스팅 및 데이터 저장은 정적 콘텐츠를 호스팅하는 데 적합하지만, 동적 콘텐츠와 데이터 저장소 요구 사항을 처리X
2. Auto Scaling 그룹에서 실행되는 Amazon EC2 + RDS는 운영 오버헤드가 크다. 이때 RDS는 확장성이 없다.
3. EKS + RDS 또한 운영 오버헤드가 높고 관리가 복잡하므로 오답.
4. (정답) Amazon S3, CloudFront, API Gateway, Lambda, DynamoDB: S3 + CloudFront로 정적 콘텐츠 처리하고 백엔드 API를 API Gateway와 Lambda함수로 처리할 수 있으며 DynamoDB 는 확장성이 뛰어나고 밀리초 단위 액세스를 지원하는 데이터베이스 유형.

 

Q22, Q23. S3 Intelligent-Tiering(S3 지능형 계층화)

Amazon S3 를 사용하여 새로운 디지털 미디어 애플리케이션의 스토리지 아키텍처를 설계 시 미디어 파일은 가용 영역 손실에 대한 복원력이 있어야 하고 일부 파일은 자주 액세스되는 반면 다른 파일은 예측할 수 없는 패턴으로 거의 액세스되지 않는다. 미디어 파일을 저장하고 검색하는 비용을 최소화해야하는 경우 S3 Intelligent-Tiering을 채택해야한다.

• S3 Intelligent-Tiering: 액세스 빈도 또는 불규칙한 사용 패턴을 모를 때 완벽한 사용 사례
• Amazon S3 Glacier(S3 Glacier) 및 Amazon S3 Glacier Deep Archive(S3 Glacier Deep Archive): 장기 아카이브 및 디지털 보존을 위한 (안전하고 내구성이 있으며 매우 저렴)
• S3 Standard: 자주 액세스하는 데이터의 범용 스토리지를 위한 
•  

• S3 Standard-Infrequent Access(S3 Standard-IA) 및 S3 One Zone-Infrequent Access(S3 One Zone-IA): 수명이 길지만 액세스 빈도가 낮은 데이터를 위한 것

Q24. AWS Cost Explorer

회사는 가장 최근 청구서에서 Amazon EC2 비용 증가를 관찰했습니다. 청구 팀은 몇 개의 EC2 인스턴스에 대한 인스턴스 유형의 원치 않는 수직적 확장을 발견했습니다. 솔루션 설계자는 지난 2 개월간의 EC2 비용을 비교하는 그래프를 생성하고 심층 분석을 수행하여 수직적 확장의 근본 원인을 식별해야할 경우 오버헤드가 가장 낮게 정보 수집하는 방법으로는 AWS Cost Explorer

• AWS Cost Explorer 는 비용과 사용량을 보고 분석할 수 있는 도구입니다. 기본 그래프, Cost Explorer 비용 및 사용량 보고서 또는 Cost Explorer RI 보고서를 사용하여 사용량 및 비용을 탐색할 수 있다.

Q25. 대량의 데이터 처리 + 확장성 개선 = SQS queue + Lambda

AWS Lambda 함수가 API Gateway를 통해 데이터를 수신하고 Amazon Aurora PostgreSQL에 저장.
대량 데이터 로드 시 Lambda 할당량을 늘려야 하는 문제 발생.
확장성을 개선하고 구성 노력을 최소화하는 새로운 설계 필요. 

그때는 두 개의 Lambda 함수를 설정합니다. 정보를 수신할 하나의 기능을 구성하십시오. 정보를 데이터베이스에 로드하도록 다른 기능을 구성하십시오. Amazon Simple Queue Service(Amazon SQS) 대기열을 사용하여 Lambda 함수를 통합합니다.

• 대기열(SQS)로 병목 현상을 방지. 대량의 데이터 처리 + 확장성 개선 = SQS queue + Lambda 조합.

 

Q26. AWS Config

AWS 클라우드 배포를 검토하여 Amazon S3 버킷에 무단 구성 변경이 없는지 확인 시 적절한 규칙으로 AWS Config 를 켜야 

• AWS Config 는 AWS 리소스 구성을 측정, 감사 및 평가할 수 있는 서비스입니다. Config 는 AWS 리소스 구성을 지속적으로 모니터링 및 기록하고, 원하는 구성을 기준으로 기록된 구성을 자동으로 평가

Q27. Amazon CloudWatch 대시보드 공유 및 최소 권한 원칙

새 애플리케이션을 시작하고 Amazon CloudWatch 대시보드에 애플리케이션 지표를 표시하는데 회사의 제품 관리자는 이 대시보드에 주기적으로 액세스해야 합니다. 제품 관리자에게 AWS 계정이 없는 경우 최소 권한 원칙에 따라 제품 관리자에 대한 액세스를 제공해야하기 때문에 IAM 계정을 만드는 것이 아닌 CloudWatch 콘솔에서 대시보드를 공유합니다. 제품 관리자의 이메일 주소를 입력하고 공유 단계를 완료합니다. 대시보드에 대한 공유 가능한 링크를 제품 관리자에게 제공하십시오.

• 특정 이메일 주소를 지정하고 고유 암호 생성
• 링크가 있는 모든 사용자 권한 획득
• 계정의 모든 CloudWatch 대시보드를 공유하고 대시보드 액세스를 위한 타사 SSO(Single Sign-On) 공급자를 지정

Q28. 양방향 포리스트 트러스트

회사에서 애플리케이션을 AWS 로 마이그레이션하고 있습니다. 응용 프로그램은 다른 계정에 배포됩니다. 회사는 AWS Organizations 를 사용하여 중앙에서 계정을 관리합니다. 회사의 보안 팀은 회사의 모든 계정에 SSO(Single Sign-On) 솔루션이 필요합니다. 회사는 사내 자체 관리 Microsoft Active Directory 에서 사용자 및 그룹을 계속 관리해야 합니다. 이러한 령우  AWS SSO 콘솔에서 AWS Single Sign-On(AWS SSO)을 활성화합니다. Microsoft Active Directory 용 AWS Directory Service 를 사용하여 회사의 자체 관리형 Microsoft Active Directory 를 AWS SSO 와 연결하는 양방향 포리스트 트러스트를 생성합니다.

SSO(Single Sign-On, 싱글 사인 온)는 하나의 계정(자격 증명)으로 여러 애플리케이션, 시스템 또는 서비스에 로그인할 수 있는 인증 방식

• SSO는 온프레미스 Microsoft AD 자체에 직접 연결할 수 없으며, 반드시 AWS Managed Microsoft AD와 통합
• **IdP(자격 증명 공급자)**를 배포하는 방식은 외부 사용자 자격 증명을 관리하기 위한 옵션
• 단방향 트러스트를 언급했으나, AWS 관리 콘솔 및 일부 AWS 엔터프라이즈 애플리케이션(예: WorkSpaces, QuickSight)에는 양방향 트러스트가 필요

Q29. NLB(Network Load Balancer) + AWS Global Accelerator 엔드포인트

UDP 연결을 사용하는 VoIP(Voice over Internet Protocol) 서비스를 제공. Auto Scaling 그룹에서 실행되는 Amazon EC2 인스턴스로 구성됩니다. 회사는 여러 AWS 리전에 배포. 지연 시간이 가장 짧은 리전으로 사용자를 라우팅해야 합니다. 이 회사는 또한 지역 간 자동 장애 조치가 필요한 경우 NLB(Network Load Balancer) 및 연결된 대상 그룹을 배포합니다. 대상 그룹을 Auto Scaling 그룹과 연결합니다. 각 리전에서 NLB 를 AWS Global Accelerator 엔드포인트로 사용합니다.

• AWS Global Accelerator: 애플리케이션의 네트워크 트래픽을 효율적으로 분산하고 최적화하는 데 사용.  전 세계 여러 지역에서 사용자의 요청을 최적의 리전으로 라우팅

Q30. RDS 스냅샷

MySQL DB 인스턴스용 범용 Amazon RDS 에서 매월 리소스 집약적 테스트를 실행합니다. 테스트는 한 달에 한 번 48 시간 동안 지속되며 데이터베이스를 사용하는 유일한 프로세스입니다. 팀은 DB 인스턴스의 컴퓨팅 및 메모리 속성을 줄이지 않고 테스트 실행 비용을 줄이려고 한다면 스냅샷을 활용해야한다.

• 테스트가 완료되면 스냅샷을 만듭니다. DB 인스턴스를 종료하고 필요한 경우 스냅샷을 복원

Q31. AWS Config, 태그 강제

이 문제는 AWS에서 **리소스 태그(tag)**를 적절히 설정하고 관리할 방법에 대해 묻고 있습니다. 태그는 AWS 리소스를 분류하거나 관리하기 위해 키-값 쌍으로 추가되는 메타데이터이며, 회사는 모든 리소스(Amazon EC2, RDS, Redshift)가 반드시 태그를 포함하도록 강제하려는 상황

• AWS Config 규칙을 사용하여 적절하게 태그가 지정되지 않은 리소스를 정의하고 감지
• 사후 대응적 거버넌스(Post-Detection Governance) -> 리소스가 처음 생성될 때 태그가 제대로 지정되지 않았더라도, 나중에 이를 검사하고 수정하는 방법을 말한다.

Q32. Amazon S3 버킷(모두 정적 웹사이트 콘텐츠 유형 호스팅)

개발 팀은 다른 팀이 액세스할 웹사이트를 호스팅해야 합니다. 웹사이트 콘텐츠는 HTML, CSS, 클라이언트 측 JavaScript 및 이미지로 구성됩니다. 웹 사이트 호스팅에 가장 비용 효율적인 방법은 Amazon S3 버킷을 생성하고 거기에서 웹 사이트를 호스팅 

• 모두 정적 웹사이트 콘텐츠 유형에 해당.
• Amazon S3 를 사용하여 웹 서버를 구성하거나 관리할 필요 없이 정적 웹 사이트를 호스팅할 수 있습니다. 다음 단계를 완료하여 웹사이트에 모든 고정 자산을 호스팅할 새 Amazon S3 버킷을 생성합니다. 
• 이 자산에는 HTML, CSS, JavaScript, 이미지 파일이 포함됩니다.

Q33. Kinesis

피크 시간에 수십만 명의 사용자에게 서비스 제공 =Kinesis 사용

Amazon Kinesis Data Streams 를 사용하면 특수 요구에 맞춰 스트리밍 데이터를 처리 또는 분석하는 사용자 지정 애플리케이션을 구축

Q34. AWS CloudTrail, AWS Config

AWS Config 를 사용하여 구성 변경을 추적하고 AWS CloudTrail 을 사용하여 API 호출을 기록

 

• AWS CloudTrail: AWS 계정의 모든 API 호출 및 활동을 기록하여 사용자 작업 및 변경 사항을 추적할 수 있는 서비스.
• AWS Config: AWS CloudTrail 은 회사의 AWS 리소스에 대한 자세한 API 호출 기록을 제공하는 완전 관리형 서비스

 

Q35. GuardDuty, Amazon Inspector, AWS Shield, AWS Shield Advanced

1. Amazon GuardDuty: AWS 계정과 워크로드에 대한 위협을 탐지하고 모니터링하는 서비스.
2. Amazon Inspector: 지속적으로 AWS 리소스의 취약점을 스캔하고 보안 문제를 식별하는 서비스.
3. AWS Shield: AWS 애플리케이션에 대해 기본적인 DDoS 공격 보호를 제공하는 서비스.
4. AWS Shield Advanced: 더 강력한 대규모 DDoS 보호와 위협 분석, 24/7 전문가 지원을 제공하는 유료 서비스.

Q36. AWS 관리형 암호화 키(SSE-S3), AWS고객관리형 KMS키

다중 지역 KMS 키(Multi-Region KMS Key)를 사용하여 동일한 키를 두 리전에서 사용 가능.
S3 버킷을 각 리전에 생성하고, KMS 키를 활용하여 클라이언트 측 암호화를 구성.
S3 버킷 간 복제로 데이터 동기화.

• SSE-S3는 고객이 키를 제어할 수 없으므로 고객 관리형 키 사용 요구를 충족하지 못함.
• SSE-S3는 Amazon S3 관리형 키를 사용하며, 고객 관리형 키를 사용할 수 없음.
• SSE-KMS를 사용하는 것은 적절하지만, 문제에서 요구하는 동일한 KMS 키를 두 리전에서 사용하는 요구사항을 충족하지 못함.

Q37. AWS Systems Manager Session Manager

EC2 직렬 콘솔 사용은 원격 접속이 아님.

Session Manager는 SSH 키나 인바운드 포트 열기를 요구하지 않고, IAM 역할을 통해 원격 액세스를 관리합니다.
AWS CloudTrail, Amazon S3, CloudWatch Logs와 통합되어 감사와 모니터링도 가능하여 보안 요건을 충족합니다.
배스천 호스트와 같은 별도 인프라를 요구하지 않아 운영 오버헤드가 최소화

 

Q38. 

Amazon CloudFront 를 설정해 S3 버킷과 함께 사용하면서 콘텐츠를 제공하고 보호하는 것이 좋습니다. CloudFront 는 전 세계의 정적/동적 웹 콘텐츠, 비디오 스트림 및 API 를 안전하게 대규모로 전송할 수 있는 콘텐츠 전송 네트워크(CDN) 서비스입니다. CloudFront 에서 데이터를 전송하면 설계상 S3 에서 직접 사용자에게 전송하는 것보다 더욱 비용 효율

S3 Transfer Acceleration 은 각지에서 중앙 S3 버킷으로 업로드하는 서비스.

Amazon CloudFront 는 전 세계 엣지 로케이션에서 콘텐츠를 캐싱하여 콘텐츠에 액세스하는 사용자에게 짧은 지연 시간과 빠른 전송 속도를 제공하는 콘텐츠 전송 네트워크(CDN)입니다. S3 버킷 앞에 CloudFront 배포를 추가하면 전 세계 엣지 위치에서 정적 웹 사이트의 콘텐츠를 캐싱하여 웹 사이트에 액세스하는 사용자의 지연 시간을 줄입

Q39.  프로비저닝된 IOPS SSD
프로비저닝된 IOPS 볼륨은 솔리드 스테이트 드라이브(SSD)로 지원되며 중요한 I/O 집약적인 데이터베이스 애플리케이션을 위해 설계된 최고 성능의 EBS 볼륨입니다. 이러한 볼륨은 극히 짧은 대기 시간이 필요한 IOPS 집약적 워크로드와 처리량 집약적 워크로드 모두에 이상적
버스트는 일시적으로만 I/O성능을 끌어올릴 뿐임.

Q40. Kinesis Data Firehose 전송 스트림
수 천 개의 Edge 장치로부터 경고 수집 및 저장 = Kinesis

Kinesis Data Firehose 전송 스트림을 설정할 때 데이터의 최종 대상을 선택합니다. 대상 옵션은 Amazon Simple Storage Service(Amazon S3), Amazon OpenSearch Service 및 Amazon Redshift 

Q41. Amazon AppFlow, SaaS

Amazon AppFlow 는 Salesforce, SAP, Zendesk, Slack 및 ServiceNow 와 같은 SaaS(Software-as-a-Service) 애플리케이션과 Amazon S3 및 Amazon Redshift 와 같은 AWS 서비스 간에 데이터를 안전하게 전송할 수 있는 완전 관리형 통합 서비스

SaaS = AppFlow

Q42. S3 VPC Gateway Endpoint

데이터 전송 요금이 걱정되니 전용 전송 통로를 뚫으면 됨. VPC-S3 간 전용 통로는 S3 VPC Gateway Endpoint

Q43. AWS Direct Connect

온프레미스 애플리케이션에서 Amazon S3로 데이터를 백업할 때, 인터넷 대역폭 문제를 해결하는 최적의 솔루션

새 AWS Direct Connect 연결을 설정하고 이 새 연결을 통해 백업 트래픽을 직접 연결

Q44. S3에서 데이터 함부러 못지우게

버전 관리는 실수로 삭제했을 때 이전 버전의 파일을 불러올 수 있도록
MFA Delete 는 함부로 삭제하지 못하도록 막음.

Q45. Amazon SQS (워크플로우 실패 시)

 AWS Lambda 함수 회사는 네트워크 연결 문제로 인해 수집 워크플로가 때때로 실패 시

Amazon SQS 대기열을 생성하고 SNS 주제를 구독 및 Amazon SQS 대기열에서 읽도록 Lambda 함수를 수정

데이터 손실이 일어날 위험성이 크므로 데이터를 보관해둘 곳이 필요하고, 대책으로는 SQS Queue가 적절

Q46. Amazon Macie, Amazon Inspector

Amazon Macie 는 AWS 에서 PII 와 같은 민감한 데이터를 자동으로 검색, 분류 및 보호하는 관리형 서비스

Amazon Inspector 를 사용하여 S3 의 객체를 스캔하는 것은 PII 데이터 스캔을 위한 최적의 선택이 아닙니다. Amazon Inspector 는 콘텐츠 스캔이 아닌 호스트 수준 취약성 평가를 위해 설계

 

Q47. 온디맨드 용량 예약, 예약 인스턴스

1주일 EC2 용량을 보장하기 위해

• 예약 인스턴스는 1 년 또는 3 년 단위 약정 방식.
• 온디맨드 용량 예약을 생성

Q48. 

카탈로그를 Amazon Elastic File System(Amazon EFS) 파일 시스템으로 이동하면 고가용성과 내구성이 모두 제공

 

Q49. Amazon S3 Intelligent-Tiering, S3 Glacier Flexible Retrieval

Amazon S3 Intelligent-Tiering 에 개별 파일을 저장합니다. S3 수명 주기 정책을 사용하여 1 년 후 파일을 S3 Glacier Flexible Retrieval 로 이동합니다. Amazon Athena 를 사용하여 Amazon S3 에 있는 파일을 쿼리하고 검색합니다. S3 Glacier Select 를 사용하여 S3 Glacier 에 있는 파일을 쿼리하고 검색

• Amazon S3 Intelligent-Tiering: 데이터 액세스 빈도가 불규칙한 경우, 예를 들어 로그 파일, 비디오 파일, 또는 소프트웨어 애플리케이션의 데이터베이스 백업 등에 적
• S3 Glacier Flexible Retrieval: 보존 기간을 요구하지만 드물게 액세스되는 데이터의 보관에 적합

Q50. AWS Systems Manager Run Command

AWS Systems Manager Run Command 를 사용하여 모든 EC2 인스턴스에 패치를 적용하는 사용자 지정 명령을 실행

• AWS Systems Manager Run Command : 원격으로 EC2 인스턴스 및 온프레미스 서버에서 명령을 실행하는 데 사용
• AWS Systems Manager Patch Manager: EC2 인스턴스 및 온프레미스 서버에서 운영 체제(OS)의 패치를 관리하는 데 사용(자동 패치 오래걸림)

 

Q51. 

Kinesis Data Firehose: 실시간으로 데이터를 수집하고 변환하여 Amazon S3, Redshift, Elasticsearch, Splunk 등 다양한 데이터 저장소로 전송하는 완전 관리형 서비스입니다.
AWS Glue: 데이터 통합 서비스로, 다양한 데이터 소스를 추출, 변환, 로드(ETL)하여 데이터 웨어하우스나 데이터 레이크에 저장할 수 있게 해줍니다.

Elasticsearch: 분산형 검색 및 분석 엔진으로, 실시간 로그 분석, 검색 및 대시보드에서 데이터를 처리하는 데 사용됩니다. 주로 텍스트 기반 검색, 로그 모니터링 및 분석에 적합합니다.
Amazon Redshift: 완전 관리형 데이터 웨어하우스로, 대규모 데이터 분석을 지원하는 서비스입니다. 주로 구조화된 데이터를 효율적으로 쿼리하고 분석하는 데 사용됩니다. 데이터 웨어하우스 및 BI(Business Intelligence) 애플리케이션에 적합

Amazon EventBridge (이전 Amazon CloudWatch Events): 이벤트 중심 아키텍처를 제공하는 서비스로, AWS 서비스, SaaS 애플리케이션, 사용자 정의 애플리케이션에서 발생하는 이벤트를 실시간으로 수집하고 전달합니다. 이벤트를 다양한 AWS 서비스로 라우팅하여 자동화된 워크플로우를 처리할 수 있습니다.
Amazon Simple Notification Service (Amazon SNS): 분산 메시징 서비스로, 애플리케이션, 사용자, 또는 다른 시스템에 실시간으로 메시지를 전송합니다. 이메일, SMS, 푸시 알림, HTTP/S 엔드포인트 등 다양한 프로토콜을 통해 알림을 전송할 수 있으며, 주로 높은 확장성을 요구하는 시스템에서 이벤트 알림이나 메시징을 처리하는 데 사용됩니다.

Amazon Simple Email Service(Amazon SES)를 사용하여 데이터 형식을 지정하고 이메일로 보고서를 보내

Q53. One Zone-IA, S3 Glacier, S3 Glacier Deep Archive

S3 Glacier: 데이터 복구 시간이 보통 minutes to hours (수 분에서 수 시간) 정도 걸립니다.
S3 Glacier Deep Archive: 데이터 복구 시간이 12 hours or more (최대 12시간 이상) 걸릴 수 있습니다. 복구 시간이 더 길기 때문에 더 저렴한 비용으로 제공됩니다.
Amazon S3 One Zone-IA는 저비용의 비정기적인 액세스 데이터를 저장하는 옵션

 

 

Q54. Windows 파일 서버용 Amazon FSx 

Windows File 공유 시 다중 AZ 구성을 사용하여 파일 공유 환경을 Windows 파일 서버용 Amazon FSx 로 확장합니다. 모든 데이터를 Windows 파일 서버용 FSx 로 마이그레이션
Amazon FSx for Windows File Server는 Windows 기반의 파일 서버를 위한 fully managed 파일 스토리지 서비스입니다. 이 서비스는 Windows 파일 시스템(SMB, Server Message Block)을 지원하며, 온프레미스의 Windows 파일 서버를 AWS로 쉽게 이동할 수 있게 도와

Q56.  API Gateway 도메인 연결, ACM

회사의 도메인 이름과 해당 인증서로 API Gateway URL 을 설계하려면 회사에서 다음을 수행해야 합니다.
1. 지역 API 게이트웨이 엔드포인트 생성: 이를 통해 회사는 지역에 특정한 엔드포인트를 생성할 수 있습니다.
2. API 게이트웨이 엔드포인트를 회사의 도메인 이름과 연결: 이렇게 하면 회사에서 API 게이트웨이 URL 에 자체 도메인 이름을 사용할 수 있습니다.
3. 회사의 도메인 이름과 연결된 공인 인증서를 동일한 리전의 AWS Certificate Manager(ACM)로 가져옵니다. 이렇게 하면 회사에서 API 와의 보안 통신을 위해 HTTPS 를 사용할 수 있습니다.
4. API Gateway 엔드포인트에 인증서 첨부: 회사에서 API Gateway URL 보안을 위해 인증서를 사용할 수 있습니다.
5. 트래픽을 API 게이트웨이 엔드포인트로 라우팅하도록 Route 53 구성: 이를 통해 회사는 Route 53 을 사용하여 회사의 도메인 이름을 사용하는 API 게이트웨이 URL 로 트래픽을 라우팅할 수 있습니다

 

Q57.  Amazon Comprehend,  Amazon Rekognition, Amazon SageMaker
A. Amazon Comprehend는 자연어 처리(NLP) 서비스로, 텍스트 데이터를 분석하여 감정 분석, 주제 모델링, 언어 감지 등을 할 수 있습니다. 부적절한 콘텐츠를 감지하는 데 사용될 수 있으며, 예측 신뢰도가 낮을 경우 인적 검토를 통해 정확성을 보장합니다.

B. Amazon Rekognition은 이미지 및 비디오 분석을 위한 서비스입니다. 얼굴 인식, 객체 감지, 부적절한 콘텐츠 검출 등 다양한 기능을 제공하며, 부적절한 콘텐츠를 감지하고 신뢰도가 낮은 예측에는 인적 검토를 적용하여 정확성을 높입니다.

C. Amazon SageMaker는 기계 학습 모델을 구축, 훈련 및 배포하는 플랫폼입니다. 사용자 정의 모델을 학습시키고 부적절한 콘텐츠를 감지할 수 있으며, 신뢰도가 낮은 예측에는 정답을 사용하여 레이블을 지정하고 모델을 개선할 수 있습니다.

D. AWS Fargate는 서버리스 컨테이너 실행 서비스로, 사용자 지정 기계 학습 모델을 배포하여 부적절한 콘텐츠를 감지할 수 있습니다. Fargate를 사용하면 인프라 관리 없이 컨테이너를 실행할 수 있으며, 신뢰도가 낮은 예측에는 정답을 사용해 레이블을 지정할 수 있습니다.

 

Q59. Amazon Kinesis Data Streams, Amazon Kinesis Data Firehose,  Amazon S3 데이터 레이크, Amazon Redshift
Amazon Kinesis Data Streams 에서 데이터를 수집합니다. Amazon Kinesis Data Firehose 를 사용하여 Amazon S3 데이터 레이크로 데이터를 전송합니다. 분석을 위해 Amazon Redshift 에 데이터를 로드합니다.

Amazon Kinesis Data Streams: 실시간으로 대규모 데이터를 스트리밍하고 처리하는 서비스로, 데이터를 빠르게 캡처하고 처리할 수 있도록 지원합니다.

Amazon Kinesis Data Firehose: 실시간 데이터 스트리밍을 통해 데이터를 자동으로 수집, 변환 및 Amazon S3, Amazon Redshift, Amazon Elasticsearch Service 등으로 전송하는 완전관리형 서비스입니다.

Amazon S3 데이터 레이크: 다양한 데이터 형식을 대규모로 저장하고, 분석을 위해 데이터를 중앙 집중화하는 스토리지 솔루션으로, 구조화된 데이터와 비구조화된 데이터를 모두 지원합니다.

Amazon Redshift: 데이터 웨어하우스 서비스로, 분석을 위해 대규모 데이터 세트를 빠르게 쿼리하고 처리할 수 있도록 최적화된 분산형 관계형 데이터베이스 시스템입

 

Q60. HTTP to HTTPS ALB 리디렉션
Application Load Balancer 리스너 규칙을 사용하여 HTTP 요청을 HTTPS 로 리디렉션하려고 합니다. 어떻게 해야 하나요?
1HTTP 요청을 HTTPS 로 리디렉션하는 HTTP 리스너 규칙 생성.
2HTTPS 리스너 생성.
3Application Load Balancer 의 보안 그룹이 443 의 트래픽을 허용하는지 확인

 

애플리케이션에 자격증명 하드코딩 안 됨 = Secrets Manager.

 

Elastic BeanStalk 는 비싸고 DocumentDB 는 최대 400KB 의 파일을 업로드

Amazon Elastic Beanstalk: 웹 애플리케이션과 서비스를 쉽게 배포, 관리, 확장할 수 있도록 지원하는 완전관리형 플랫폼 서비스입니다. 개발자는 코드만 업로드하면 Elastic Beanstalk가 자동으로 인프라, 보안 설정, 로드 밸런싱, 스케일링 등을 처리. 비용적으로 문제

 

Q64. Amazon FSx File Gateway

Windows File Server + AWS 로 이동 = Amazon FSx File Gateway.

온프레미스와 AWS 간의 연결은 AWS Site-to-Site VPN 연결을 사용하여 설정

 

Q65. AWS Textract + AWS Comprehend

Textract 는 OCR 같은 서비스. Comprehend 는 의료용 텍스트 식별 서비스.
Amazon Textract 는 스캔한 문서에서 텍스트, 필기 및 데이터를 자동으로 추출하는 기계 학습(ML) 서비스입니다. 단순한 광학 문자 인식(OCR) 이상으로 양식 및 표의 데이터를 식별하고 이해하며 추출 
REkognition은 이미지, 비디오 처리

 

Q66. S3 Standard-IA

30 일 동안은 자주 액세스하므로 S3 Standard, 30 일 이후에는 자주 액세스하진 않지만 즉각적인 액세스가 필요하므로 S3 Standard-IA, 4 년이 지나면 중요한 비즈니스 데이터므로 함부로 보관해서는 안됨. 따라서 삭제.

Q67. Amazon SQS, Visibility timeout설정 ( 중복처리 예방)

메시지를 수신한 직후에는 메시지가 대기열에 그대로 있습니다. 다른 소비자가 메시지를 다시 처리하지 못하게 Amazon SQS 에서는 다른 소비자가 메시지를 수신하고 처리할 수 없도록 막는 기간인 Visibility timeout 을 설정

• CreateQueue API: 새 대기열 생성.
• AddPermission API: 권한 추가.
• ReceiveMessage API: 메시지 수신 및 대기 시간 설정.
• ChangeMessageVisibility API: 메시지 가시성 타임아웃 조정.

Q68. Direct Connect(온프레미스 , AWS 리전 연결), VPN 연결

온프레미스와 AWS 리전 간 짧은 지연 시간과 고가용성을 위해 AWS Direct Connect를 프로비저닝.
Direct Connect 연결이 실패하면 느린 성능의 VPN 연결을 백업으로 사용.

Q69. 다중 AZ + Auto Scaling

다중 AZ + Auto Scaling 으로 고가용성 확보.

Q70. NLB(IP기반)와 ALB(HTTP/HTTPS) 차이

회사는 NLB 가 응용 프로그램에 대한 HTTP 오류를 감지하지 못한다고 알고 있습니다'라는 대목에서 응용프로그램에 대한 HTTP 오류를 감지하려면 ALB(Applicaton Load Balancer)가 필요함
NLB 는 애플리케이션의 가용성을 보장할 수 없습니다. 이는 네트워크 및 TCP 계층 변수에만 의존하여 결정을 내리며 애플리케이션을 전혀 인식하지 못하기 때문입니다.

 

Q71. RPO, RTO

RPO (Recovery Point Objective): 데이터 복구와 관련된 목표.
RTO (Recovery Time Objective): 서비스 복구와 관련된 목표.

 

Q72. Amazon API Gateway
Amazon API Gateway은 VPC간의 통신이 아닌 온프레미스와 VPC간의 통신

 

Q73. Bastion Host로 들어오는 트래팩은 외부 IP로
일단 Bastion Host 에 오는 트래픽(인바운드 트래픽)은 외부 인터넷을 통해서 온 회사의 IP(즉, 외부 IP)이므로 C 가 정답.
그 다음으로는 Bastion Host 로부터 Application 으로 오는 트래픽(인바운드 트래픽)을 허용해야하는데 이미 Bastion Host 에서 안쪽의 내부 네트워크와 통신하려고 프라이빗 IP 를 들고 온 상태

Q74. 보안을 고려한 보안그룹

웹 애플리케이션으로의 액세스를 허용하려면 0.0.0.0/0 으로부터 온 포트 443(HTTPS)를 허용
웹 애플리케이션->데이터베이스로의 액세스를 허용하려면 웹 애플리케이션이 있는 웹 계층에서 오는 포트 1433(MySQL) 인바운드 트래픽을 허용하도록 보안 그룹 설정

Q75. API Gateway

RESTful API = API Gateway 사용. 
트랜잭션 삭제되는 문제 = SQS.

Q76. Direct Connect, DataSync, AWS Database Migration Service(AWS DMS)

Direct Connect 는 전용선 연결로 온프레미스-AWS 간 통신하는 것이고, DataSync 는 데이터 전송/마이그레이션에 사용되는 서비스.
DMS 는 데이터베이스 마이그레이션 서비스

Q77. API 는 API Gateway 를 사용하여 전송.

Amazon Kinesis 데이터 스트림으로 데이터를 전송하는 API 를 호스팅이 아닌 Amazon Kinesis 데이터 스트림으로 데이터를 보내도록 Amazon API Gateway API 를 구성

Q78. DynamoDB백업 위해 AWS Backup

DynamoDB 지정 시간 복구는 35일 제한

AWS Backup 을 사용하여 DynamoDB 온디맨드 백업을 자동으로 예약, 복사, 태그 지정 및 수명 주기를 수행할 수 있습니다. DynamoDB 콘솔에서 이러한 백업을 계속 보고 복원할 수 있습니다.

Q79. 온디멘드 용량 모드과 프로비저닝 모드

온디멘드 용량 모드: DynamoDB가 워크로드 변화에 따라 자동 확장.
프로피저닝을 통해 예측 불가능한 트래픽에 대비하는 것은 불가능

Q80.

회사는 기존 AWS 계정의 암호화된 AMI를 MSP 파트너의 AWS 계정과 공유하려고 합니다. AMI는 EBS 스냅샷을 포함하고 있으며, AWS KMS 고객 관리형 키로 암호화되어 있습니다. 목표는 가장 안전한 방법으로 AMI를 공유하는 것으로 AMI의 launchPermission 속성을 수정하고 MSP 파트너 계정과만 공유. 기존 KMS 키를 공유.

Q82. AWS Config로 ACM 인증서 만료 감지, Amazon EventBridge

AWS Config 를 사용하여 만료 날짜가 가까워지는 인증서를 확인할 수 있습니다. 인증서 만료 날짜가 가까워면 Amazon EventBridge 를 사용하여 이메일 알림을 받을 수도 있습니다.

 

Q83. 온프레미스 서버 지정 위해 AWS CloudFront

온프레미스 서버를 가리키는 사용자 지정 오리진과 함께 Amazon CloudFront 를 사용

 

Q84. 예약 인스턴스(항상 켜져있음), 온디맨드 인스턴스(특정 이상 실행되어야하면)

1 년 또는 3 년 단위로 예약 인스턴스를 계약해서 사용하면 비용이 절감됨. 개발 및 테스트용 EC2 인스턴스는 매일 최소 8 시간 이상 실행된다고 했으므로 그 이상 사용될 수 있어 Scheduled Reserved 인스턴스보다는 온디맨드 인스턴스를 사용하는 것이 더 적절

 

Q85. S3 Object Lock

수정하거나 삭제할 수 없음 = S3 Object Lock.
S3 객체 잠금을 사용하면 write-once-read-many(WORM) 모델을 사용하여 객체를 저장할 수 있습니다. 객체 잠금은 고정된 시간 동안 또는 무기한으로 객체의 삭제 또는 덮어쓰기를 방지하는 데 도움

 

Q87. SQS

잠시 고객 데이터를 저장하는 솔루션 = SQS. 손실될 위험이 있는 처리 대상 데이터를 잠시 보관하는 용도로는 SQS가 주로 쓰인다고 보면 됨

Q88. 요청자 지불 버킷

타 회사에서 특정 회사의 S3에 엑세스 시 비용 절감위해 요청하는 쪽에 과금되도록

요청자 지불 버킷을 사용하면 버킷 소유자 대신 요청자가 버킷에서 데이터 다운로드 및 요청 비용을 지불합니다. 버킷 소유자는 항상 데이터 저장 비용을 지불

 

S3 버킷에서 버전 관리 및 MFA 삭제 기능을 활성화

 

가장 적합한 솔루션은 S3 게이트웨이 엔드포인트를 구성하는 것입니다(옵션 A). 트래픽이 인터넷을 통과할 필요 없이 VPC 와 S3 서비스 간에 안전한 비공개 연결을 제공

Gateway Endpoint 는 퍼블릭 인터넷망을 통과하지 않는 전용 연결.

 

Q93. 
Amazon Aurora MySQL의 고가용성:

6개의 복제본을 사용해 높은 읽기 성능 제공.
다중 AZ에서 안정적으로 작동.
스테이징 환경 지연 감소:

Aurora는 빠르고 효율적으로 복제를 수행하며, 요청 시 스테이징 DB를 신속히 생성.
mysqldump 제거:

지연 문제를 유발했던 mysqldump를 사용하지 않으므로 효율적입니다.
중요 개념 기억하기:
Aurora vs RDS:

Aurora는 RDS보다 읽기 성능과 고가용성 측면에서 유리하며, 데이터베이스 복제본 관리도 효율적.
mysqldump:

데이터 백업/복원에 오래 걸리는 비효율적인 방법으로, 실시간 작업에는 부적합.
데이터베이스 복제:

복제를 통해 프로덕션 데이터베이스의 지연 문제를 줄이고, 스테이징 환경의 지속적 사용을 지원.

 

 

EMR 은 빅데이터 플랫폼 서비스

복제가 효과적으로 작동하려면 각 읽기 전용 복제본에 원본 DB 인스턴스와 동일한 양의 컴퓨팅 및 스토리지 리소스가 있어야 합니다. 원본 DB 인스턴스를 확장하는 경우 읽기 전용 복제본도 확장

SQS에서 뭔가 중복처리될때 가시성 제한 처리


Amazon FSx for Lustre 는 Lustre 클라이언트를 포함하여 고성능 컴퓨팅 워크로드에 최적화된 완전관리형 파일 시스템


고가용성 저장소 =S3, Lambda보다 KMS가 암호화 및 해독에 적합.

 

 

Q100~120

• 프라이빗 서브넷에서 외부로 요청이 필요한 경우 대응되는 각 가용 영역의 퍼블릭 서브넷마다 NAT 게이트웨이를 두어야함.
• AWS DataSync는 온디멘드 스토리지를 AWS로 전송할때 필요.
• SFTP 서버는 Secure File Transfer Protocol을 사용하는 파일 전송 서버입니다. SFTP는 파일 전송 프로토콜 중 하나로, 네트워크 상에서 데이터를 안전하게 전송하기 위해 설계
• AWS Glue 는 작업 실행의 상태 정보를 유지하여 ETL 작업의 이전 실행 중에 이미 처리된 데이터를 추적합니다. 이 지속된 상태 정보를 작업 북마크라고 합니다. 작업 북마크는 AWS Glue 가 유지 관리하는 데 도움이 됩니다. 상태 정보를 제공하고 오래된 데이터의 재처리를 방지
• AWS Glue에서 NumberOfWorkers – 숫자(정수) : 작업이 실행될 때 할당되는 정의된 workerType 의 작업자 수
• 대규모 DDos는 AWS Shield Advanced
• Amazon GuardDuty 는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스
• CloudFront 로도 DDoS 에 대처 가능. CloudFront 는 정적 및 동적 콘텐츠 모두에 작동. 또한 Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 과 같은 엣지 로케이션에서 작동하는 AWS 서비스를 활용하여 알려진 모든 인프라 계층 공격에 대한 포괄적인 가용성 보호를 구축할 수 있습니다. 이러한 서비스는 AWS 글로벌 엣지 네트워크의 일부이며 전 세계에 분산된 엣지 로케이션에서 모든 유형의 애플리케이션 트래픽을 처리할 때 애플리케이션의 DDoS 복원력을 향상
•  lambda:InvokeFunction은 Lambda 함수 호출을 위한 정확한 권한,
  Amazon EventBridge는 Lambda를 호출하는 주체로 *로 설정하면 최소 권한 원칙 위배
  
  
• 감사 목적으로 기록되어야 함 =AWSKMS
• 매년 키를 교체(rotate)해야하므로 운영 상 효율적인 방식은 수동이 아닌 자동 방식
  
  
• 데이터 포인트는 REST API 에서 액세스 = API Gateway + Lambda
• RedShift 는 Athena 에 비해 가격보다 성능이 더 우선시 될 때 사용
  
  
• RDS 이벤트 알림을 구독하고 Amazon Simple Notification Service(Amazon SNS) 주제를 여러 Amazon Simple Queue Service(Amazon SQS) 대기열로 보냅니다. AWS Lambda 함수를 사용하여 대상을 업데이트
  
  
• S3 객체 잠금이 활성화된 S3 버킷을 생성합니다. 버전 관리를 활성화합니다. 개체에 법적 보존을 추가합니다. 객체를 삭제해야 하는 사용자의 IAM 정책에 s3:PutObjectLegalHold 권한
  
  
• 높은 고가용성과 낮은 운영비용을 원할때 무조건 EC2를 두 개의 AZ에 두는 것 보다는 AutoScaling을 통해 필요할때만 생성하는 것이 유리하다.
• 두 가용 영역에 구성된 활성/대기 브로커와 함께 Amazon MQ 를 사용합니다. 두 가용 영역에 걸쳐 소비자 EC2 인스턴스에 대한 Auto Scaling 그룹을 추가합니다. 다중 AZ 가 활성화된 MySQL 용 Amazon RDS 를 사용
  
  
• 추가 워크로드에 사용할 네트워크 대역폭이 없다는 게 핵심. 따라서 Snowball 디바이스가 필요.
• Snowcone 으로 50TB 는 어림도 없음
• Snowball Edge Storage Optimized 는 수십 테라바이트(TB)~페타바이트(PB)의 고용량 데이터를 안전하고 신속하게 AWS 로 전송해야 할 때 선택할 수 있는 가장 적합한 옵션입니다. 이 옵션은 대규모 데이터 전송 및 사전 처리 사용 사례를 위해 최대 80TB 의 가용 HDD 스토리지, 40 개의 vCPU, 1TB 의 SATA SSD 스토리지 및 최대 40Gb 네트워크 연결을 제공합니다.\
  AWS Glue 를 사용하면 70 개 이상의 다양한 데이터 소스를 검색하여 연결하고 중앙 집중식 데이터 카탈로그에서 데이터를 관리할 수 있습니다. 추출, 변환, 로드(ETL) 파이프라인을 시각적으로 생성, 실행, 모니터링하여 데이터 레이크에 데이터를 로드
  
  
• 정적 컨텐츠 : CloudFront + S3
  
  
• CloudWatch Logs 구독을 통해 실시간에 가깝게 Amazon OpenSearch Service 클러스터로 수신한 데이터를 스트리밍하도록 CloudWatch Logs 로그 그룹을 구성
  
  
• Amazon S3 는 웹 애플리케이션에 필요한 대규모 텍스트 문서 리포지토리를 저장하기 위한 높은 확장성, 비용 효율성 및 내구성을 제공하므로 권장되는 선택
  
  
   
• [여러 계정]에서 SQL 주입, XSS 공격, DDoS 등을 방어하려면 AWS Firewall Manager 가 적격
  
  
• ""AWS KMS 는 암호화 작업에 사용되는 키를 쉽게 생성하고 제어할 수 있도록 지원하는 관리형 서비스
  
  
• EC2 스팟 인스턴스를 통해 사용자는 여분의 Amazon EC2 컴퓨팅 용량에 입찰할 수 있으며 언제든지 시작 및 중지할 수 있는 상태 비저장 및 중단 가능한 워크로드를 위한 비용 효율적인 솔루션이 될 수 있습니다.
  배치 처리 작업은 상태 비저장이고 언제든지 시작 및 중지할 수 있으며 일반적으로 완료하는 데 60 분 이상 걸리므로 EC2 스팟 인스턴스는 이 워크로드에 적합
  
  즉, 상태비저장, 시작 및 중지 가능이라는 단서를 볼 때 스팟 인스턴스가 적절
  
  
  
• 각 AZ 에 퍼블릭 서브넷은 1 개 있어야 하고(NAT 게이트웨이가 들어가야 하므로), 프라이빗 서브넷은 1개 이상 있어야 함(EC2인스턴스와 RDS가 들어갈 곳). 각 AZ에 있는 퍼블릭 서브넷에 NAT 게이트웨이가 하나씩 들어가야 각 가용영역에 있는 프라이빗 서브넷마다 인터넷에 액세스가 가능한 상태가 되므로 NAT 게이트웨이는 총 2 개가 됨. 따라서 2개의 AZ에 걸쳐 퍼블릭 서브넷 2, 프라이빗 서브넷 2,NAT 게이트웨이 2개가 됨
  
  
• Amazon EC2 인스턴스 스토어는 EC2 인스턴스의 로컬 디스크 스토리지로, 초고속 I/O 성능을 제공하며 대용량 데이터 처리를 위한 임시 데이터 저장에 적합합니다.
  반면, Amazon EBS는 EC2 인스턴스에 연결된 네트워크 기반 블록 스토리지입니다. 성능이 뛰어나긴 하지만 I/O 대기 시간이 인스턴스 스토어보다 큽니다.
  
  
• 중단을 허용할 수 있음 = 스팟 인스턴스(not OnDemand). 컨테이너에서 애플리케이션 실행 = ECS, EKS 같은 서비스
  
  
• CPU 사용률에 따라 Auto Scaling = Target Tracking Policy
• S3 + CloudFront 를 사용하는 상황에서 S3 에 직접 액세스하는 것을 막으려면 OAC(Origin Access Control) 또는 OAI(Origin Access ID) 를 사용하면 됨
  
  
• 전 세계적으로 웹 사이트 요구 충족 = CloudFront.빠른 응답을 위한 Cloudfront 와 인프라를 최소화하기 위한 s3
  
  
• 기본 운영 체제에 대한 액세스 유지 = Amazon RDS Custom.
  Amazon Relational Database Service(Amazon RDS) Custom 은 기본 OS 및 DB 환경에 액세스할 필요가 있는 레거시, 사용자 지정, 패키지 애플리케이션을 위한 관리형 데이터베이스 서비스
  
  
• 최소한의 운영 오버헤드라고 했으므로 SSE-KMS 보다는 SSE-S3 가 AWS 에서 다 관리하기 때문에 더 적고 KMS 필요없이 S3 측에서 암호화할 수 있음
  
  
• VPC 내의 특정 애플리케이션이나 서비스에 연결하려면 PrivateLInk 가 필요. VPC 피어링 만으로는 안됨
  
  
• DMS 는 대상이 소스와 동기화된 상태를 유지하도록 지속적 복제를 지원하지만, SCT 는 그렇지 않습다. AWS Database Migration Service(DMS)는 다양한 동종 및 이기종 데이터 복제를 지원
  
  
• 활성/대기 방식은 활성 인스턴스가 다운되어도 대기 인스턴스가 활성 인스턴스를 대체할 수 있으므로 가용성이 높은 방식
• Amazon MQ의 RabbitMQ
• 이 솔루션은 파일을 자동으로 이동하고, 복사된 데이터에서 Lambda 함수를 실행하고, 최소한의 운영 오버헤드로 데이터 파일을 SageMaker Pipelines 로 보내는 요구 사항을 충족합니다. S3 복제는 파일이 도착하면 초기 S3 버킷에서 분석 S3 버킷으로 파일을 복사할 수 있습니다. 분석 S3 버킷은 객체가 생성될 때 Amazon EventBridge(Amazon CloudWatch Events)에 이벤트 알림을 보낼 수 있습니다. EventBridge 는 Lambda 및 SageMaker 파이프라인을 ObjectCreated 규칙의 대상으로 트리거할 수 있습니다. Lambda 는 복사된 데이터에서 패턴 일치 코드를 실행할 수 있으며 SageMaker Pipelines 는 데이터 파일로 파이프라인을 실행
  
  
• ・EC2 인스턴스에서 실행되는 워크로드는 언제든지 중단될 수 있습니다 = 스팟 인스턴스 ・
• 프론트엔드 활용도와 API 계층 활용도는 내년에 예측할 수 있습니다 = Savings Plans
  
  
• 단일 AWS 리전에 애플리케이션 스택을 배포합니다. Amazon CloudFront 를 사용하여 ALB 를 오리진으로 지정하여 모든 정적 및 동적 콘텐츠를 제공
  
  
• Global Accelerator
  해당 계층은 대기 시간이 짧고 가장 가까운 엣지 로케이션으로 트래픽을 라우팅하고 애플리케이션 엔드포인트에 진입하기 위한 고정 IP 주소를 제공
• AWS Global Accelerator 와 Amazon CloudFront 는 AWS 글로벌 네트워크와 전 세계 엣지 로케이션을 사용하는 별도의 서비스입니다. CloudFront 는 캐시 가능한 콘텐츠(예: 이미지 및 비디오)와 동적 콘텐츠(예: API 가속 및 동적 사이트 제공) 모두의 성능을 향상시킵니다. Global Accelerator 는 하나 이상의 AWS 리전에서 실행되는 애플리케이션에 대해 에지의 패킷을 프록시하여 TCP 또는 UDP 를 통해 광범위한 애플리케이션의 성능을 개선합니다. Global Accelerator 는 게임(UDP), IoT(MQTT) 또는 VoIP 와 같은 비 HTTP 사용 사례와 특히 고정 IP 주소 또는 결정론적이고 빠른 지역 장애 조치가 필요한 HTTP 사용 사례에 적합합니다. 두 서비스 모두 DDoS 보호를 위해 AWS Shield 와 통합됩니다.
  
  
• 상태 비저장 애플리케이션이라는 단서가 있으므로 추가 용량에 대해서는 스팟 인스턴스를 사용하여 비용 절감 가능.
• 기본 사용량 수준은 예상할 수 있으므로 예약 인스턴스가 적절.
  
  
• Glacier Deep Archive로 옮길때 Life Cycle Policy 를 사용하면 되는데 굳이 AWS Backup 까지 동원할 필요가 없음.
  
  
• 특정 순서로 처리해야하기 때문에 SQS의 FIFO
  
  
• CPU 사용률이 50% 이상으로 증가하고 디스크의 읽기 IOPS 가 동시에 높다면 회사에서 최대한 빨리 조치를 취해야하기 때문에 두 가지 이상의 조건에 대한 복합적인 알람이 필요한 경우 Amazon CloudWatch 복합 경보를 생성해야한다.
  복합 경보는 여러 개의 기존 경보를 결합하여 하나의 경보로 관리할 수 있습니다. 이를 통해 여러 조건을 조합하여 경보를 설정할 수 있으므로, CPU 사용률과 디스크 읽기 IOPS를 동시에 모니터링하는 데 적합
  
  
• Amazon CloudWatch Synthetics 카나리아를 생성하여 애플리케이션을 모니터링하고 경보를 발생 시 Synthetics 카나리아는 애플리케이션의 엔드포인트를 모니터링하는 데 사용되며, 인프라 지표인 CPU 사용률이나 디스크 IOPS를 모니터링하는 데는 적합하지 않다.

Q151~

• 회사는 ap-northeast-3 리전만 사용하고, VPC가 인터넷에 연결되지 않도록 해야 합니다. 이를 위해 적합한 솔루션을 구현하는 것이 요구한 경우 AWS Control Tower의 가드레일은 SCP를 통해 특정 리전(ap-northeast-3)에서만 리소스 생성과 인터넷 게이트웨이 생성을 제한할 수 있으므로 요구 사항을 충족
• AWS WAF는 지리적 위치(IP 또는 국가) 기반 요청 차단은 가능하지만, 리전 제한은 지원하지 않으므로 요구 사항에 부합하지 않
• AWS Organizations의 SCP를 사용하면 ap-northeast-3 외부 리전에서의 모든 리소스 작업을 차단할 수 있으므로 요구 사항을 충족
• NACL에서 모든 아웃바운드 트래픽을 차단하면 인터넷 통신이 완전히 막히며, 이는 요구 사항을 초과하는 제한
• AWS Config는 리소스 변경 감지 및 경고를 제공하지만, 리소스 생성이나 작업을 직접 차단하지는 못하
• EC2 인스턴스를 자동으로 중지 및 시작하여 Amazon Elastic Compute Cloud(Amazon EC2) 사용량을 줄이려고 합니다. 이를 위해 AWS Lambda 및 Amazon EventBridge 를 사용
  
  
• 90 일 이후에는 다운로드가 드물지만 가장 많이 액세스하는 일부 파일은 쉽게 사용, 즉 빠르게 액세스할 수 있어야 하므로 액세스 소요 시간이 적은 S3 Standard-IA 사용
• S3 Intelligent-Tiering: 액세스 빈도 또는 불규칙한 사용 패턴을 모를 때 완벽한 사용 사례
•  
• S3 객체 수정 및 삭제 방지 =S3ObjectLock. S3 객체 잠금을 사용하면 write once, read many(WORM) 모델을 사용하여 객체를 저장할
  
• S3 버킷에 저장 + 요청이 지리적으로 어디에서 발생했는지에 관계없이 콘텐츠를 신속하게 제공 = S3 + CloudFront
  
• (CloudFront와 Global Accelerator과 차이) CloudFront 는 로컬 캐시를 사용하여 응답을 제공하고, AWS Global Accelerator 는 요청을 프록시하고 응답을 위해 항상 애플리케이션에 연결
  
  
• 데이터베이스에서 가져온 배치 데이터와 네트워크 센서 및 애플리케이션 API 에서 생성한 라이브 스트림 데이터를 한 곳에 모은다고 했으므로 형식이 다른 데이터를 한 곳에 모을 때 적절한 AWS LakeFormation 이 필요.
  ・그리고 AWS Glue 는 Amazon S3 데이터 레이크의 필수 구성 요소이며 최신 데이터 분석을 위한 데이터 카탈로그 및 변환 서비스 제공
  
• Amazon Kinesis Data Analytics는 지속적 쿼리, Athena는 일회성 쿼리 용도임
  
  
• 클라우드에서 비디오 워크플로를 설정할 수 있는 한 가지 방법은 CloudFront를 AWSMedia Services 와 함께 사용하는 것
  
  
• 애플리케이션 계층 방어이고 봇넷 방어이므로 WAF 
  
  
• Amazon FSx for Lustre 는 컴퓨팅 워크로드를 위한 비용 효율적이고 확장 가능한 고성능 스토리지를 제공하는 완전관리형 서비스입니다. 기계 학습, 고성능 컴퓨팅(HPC), 비디오 렌더링, 재무 시뮬레이션과 같은 많은 워크로드는 고성능 공유 스토리지를 통해 동일한 데이터 세트에 액세스하는 컴퓨팅 인스턴스에 의존합니다.
  HPC = Amazon FSx for Lustre.
  
  
•   
•  
• 메시지 처리에 실패하면 = SQS Dead Letter Queue
  
  
• CloudFront 로만 접속할 수 있도록 한 뒤에 WAF 로 검사
• CloudFront 는 Amazon S3 오리진에 인증된 요청을 전송하는 두 가지 방법으로 오리진 액세스 제어(OAC)와 오리진 액세스 ID(OAI)를 제공 
  
  
•  
• 정적 HTML 페이지 + 전 세계 사용자의 조회 + S3 버킷에 저장된 데이터 = S3 + CloudFront 조합
  
  
• 가동 중지 시간이 없어야 한다고 했으므로 중지될 위험이 잇는 스팟 인스턴스는 적절치 않음
• 중단할 수 없는 단기적이고 불규칙한 워크로드가 있는 애플리케이션에는 온디맨드 인스턴스를 사용하는 것이 좋습니다.
  
  
• 서비스 제어 정책(SCP)은 조직에서 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP 는 조직의 모든 계정에 대해 사용 가능한 최대 권한을 중앙에서 제
  
  
• AWS Shield Standard, AWS Shield Advanced 는 애플리케이션 계층에서 DDoS 공격을 방어.
• AWS WAF 를 사용하여 특정 국가 또는 지리적 위치로부터의 요청을 허용하거나 차단
  
  
• API 제공 + 탄력적인 = API Gateway + Lambda
• Lambda 서버리스는 EC2 api 게이트웨이 솔루션보다 확장 가능하고 탄력적
  
  
• Amazon CloudFront 를 사용하면 HTTPS 를 사용하여 오리진 서버에 대한 엔드 투 엔드 보안 연결을 적용할 수 있습니다.
  필드 수준 암호화는 특정 애플리케이션만 볼 수 있도록 시스템 처리 전반에 걸쳐 특정 데이터를 보호할 수 있는 추가 보안 계층을 추가합니다
  
  
• S3 + 많은 수의 비디오와 이미지 + 수백만명 액세스가 핵심. S3 + CloudFront 로 CDN 서비스 사용해야 부하를 줄일 수 있음.
  
  
• 연결 수가 많음 = RDS Proxy. RDS 프록시를 사용하여 예기치 않은 데이터베이스 트래픽 급증을 처리
  
  
• VPC 내에 있는 프라이빗 서브넷의 EC2 인스턴스와 DynamoDB 간 가장 안전한 AWS 네트워크 통신 = VPC Gateway Endpoint.
  
  
• Amazon DynamoDB Accelerator(DAX)를 통해 성능을 한 단계 업그레이드하여 읽기 중심의 워크로드에서 초당 수백만 개의 요청에도 마이크로초의 응답 시간을 지원 + 완전 관리형
  
  
• AWSBackup을 사용하여 EC2 및 RDS 백업을 별도의 리전에 복사하는 것은 최소한의 운영 오버헤드로 요구 사항을 충족하는 솔루션
  
  
• Create an IAM role that has read access to the Parameter Store parameter. Allow Decrypt access to an AWS Key Management Service (AWS KMS) key that is used to encrypt the parameter. Assign this IAM role to the EC2 instance(NOT Policy)
  
• AWS Shield는 DDoS 공격으로부터 애플리케이션을 보호하는 서비스로, Shield Standard와 Shield Advanced로 구성됩니다. Shield Standard는 네트워크 및 전송 계층에서 DDoS 공격을 자동으로 탐지하고 완화하며, Shield Advanced는 EC2, ELB, CloudFront, AWS Global Accelerator, Route 53 등 리소스에 대해 정교하고 대규모 DDoS 공격 방어, 실시간에 가까운 공격 가시성, AWS WAF 통합, 보호 그룹, AWS Firewall Manager를 통한 중앙 관리, AWS Shield Response Team(SRT) 지원을 포함한 추가 보호 기능을 제공합니다.
• AWS WAF는 SQL 주입, XSS와 같은 일반적인 웹 공격으로부터 애플리케이션과 API를 보호며, CloudFront, API Gateway, Application Load Balancer, AWS AppSync GraphQL API, Cognito 사용자 풀과 통합됩니다. GuardDuty는 AWS 계정 및 워크로드 보안을 위한 위협 탐지 서비스이며, Shield Standard는 DDoS 보호에 특화된 기본 기능만 제공합니다.
  
  
• DynamoDB 는 주문 데이터(키값)을 저장하는데 적합하고 온디맨드 방식으로 쓰기 및 읽기 용량을 확장
  
  
• 보안 그룹을 정의하여 VPC 에 Lambda 연결 가능.
  
  
• AWS Transfer Family 를 사용하면 인증, 권한 부여 및 스토리지 백엔드로 S3 와의 통합을 통해 SFTP 서버를 쉽게 설정
  
  
•  governance mode and compliance mode 로 S3 문서 덮어쓰기 삭제 금지, SSE-S3만으로 키 순환 불가능. 그래서 AWS KMS 고객 관리형 키와 함께 서버 측 암호화를 사용하면 문서가 고객 제어형 키로 암호화됩니다. 키 순환을 활성화하면 정의된 순환 간격으로 새 암호화 키가 자동으로 생성되어 보안이 강화
  
  
• Elastic Beanstalk 를 사용하면 애플리케이션을 실행하는 인프라에 대해 자세히 알지 못해도 AWS 클라우드에서 애플리케이션을 신속하게 배포하고 관리
• 빈번한 기능 테스트 -
  - 개발, 테스트 및 프로덕션 사용 사례를 위해 여러 Elastic Beanstalk 환경을 쉽게 생성할 수 있습니다.
  - 간단한 URL 스와핑 기술을 사용하여 A/B 테스트 및 기능 반복을 위한 환경 간에 트래픽을 라우팅할 수 있습니다. 복잡한 라우팅 규칙이나 인프라 변경이 필요하지 않습니다.
  
  
• Lambda 로 Scalabilty 확보 가능. Amazon Textract 는 이미지 등에서 텍스트를 추출하는 OCR 서비스로 문서화에 적합. Amazon Comprehend Medical 은 미리 학습된 기계 학습을 사용하여 처방전, 처치, 진단과 같은 의료 텍스트에서 의료 데이터를 파악하고 추출하는 서비스로 병원에서 사용하기 적합.
• Amazon Rekognition은 이미지 및 비디오 분석을 통해 얼굴 인식, 객체 감지, 장면 분석 등의 기능을 제공하지만, OCR(광학 문자 인식)이나 문서에서 구조화된 데이터를 추출하는 기능은 지원하지 않으므로 문서를 원시 텍스트로 변환하거나 구조화된 데이터를 추출하는 데는 적합하지 않아 옵션 D는 올바르지 않습니다.
  
  
• 단일 리전 내 다른 AZ(A): 동일한 리전에서 두 개의 EC2 인스턴스를 다른 AZ에 배포하고 데이터베이스 복제를 설정하면, 한 AZ에 장애가 발생해도 다른 AZ의 인스턴스가 자동으로 작동하여 애플리케이션의 가용성을 유지할 수 있습니다. 이는 자동 장애 조치와 고가용성을 제공하므로 문제의 요구 사항을 충족합니다.
  
  다중 리전(C): 다른 리전에 EC2 인스턴스를 배포하고 데이터베이스 복제를 설정하면 재해 복구(Disaster Recovery)에 유리하지만, 한 리전 내에서의 자동 장애 조치는 제공되지 않습니다. 다중 리전 설정은 전 세계적인 장애나 대규모 재해 상황을 대비하기 위한 것이며, 일반적으로 고가용성보다는 복구 시간을 줄이는 데 초점이 맞춰져 있습니다.
  
  
• 속성을 TTL 속성으로 사용하도록 DynamoDB 를 구성
  
  
• AWS Elastic Beanstalk.NET 용 에서 Amazon Web Services 를 사용하는 ASP.NET 웹 애플리케이션을 보다 쉽게 배포, 관리 및 조정
  
  
• 온디멘드 환경의 Mongo DB는 DynamoDB가 아닌 Amazon DocumentDB 를 사용하면 클라우드에서 MongoDB 호환 데이터베이스를 쉽게 설정,
  
  
• Amazon Transcribe 는 고객이 손쉽게 음성을 텍스트로 변환할 수 있게 해주는 AWS 서비스. 다중 Speaker 인식 가능
• Amazon Translate 는 기계 번역 서비스. Amazon Translate 는 합리적인 가격으로 고품질의 사용자 지정 가능한 언어 번역을 빠르게 제공하는 신경망 기계 번역 서비스
  
  
• Amazon Cognito 콘솔, CLI/SDK 또는 API 를 사용하여 사용자 풀을 만들거나 다른 AWS 계정이 소유한 풀을 사용

Q200~250

• Amazon Connect는 주로 콜센터를 관리하거나 음성 기반 상호작용을 지원하는 서비스라 SMS 처리용이 아니다.
• Amazon Pinpoint는 마케팅 캠페인 및 고객 커뮤니케이션에 특화된 서비스로, SMS를 포함한 메시지 전송을 지원(회신 처리도 O)
  
  
•  AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. 자동 키 순환을 활성화합니다. 고객 관리형 KMS 키를 사용하도록 S3 버킷의 기본 암호화 동작을 설정
• Amazon S3에서 데이터를 암호화하고 매년 자동으로 암호화 키를 교체하려면 AWS KMS 고객 관리형 키를 사용하는 것이 적합합니다. SSE-S3는 키 관리나 교체 간격을 제어할 수 없으므로 부적합하며, SSE-C는 고객이 키를 완전히 관리해야 하므로 운영 오버헤드가 높아집니다. 또한, KMS 키를 수동으로 교체하거나 고객 키 자료를 사용하면 복잡성과 운영 부담이 증가하고, 매년 교체 요구를 안정적으로 충족하기 어렵습니다. 따라서 S3 버킷의 기본 암호화로 KMS 고객 관리형 키를 설정하면, AWS KMS가 매년 자동으로 암호화 자료를 순환하며 최소한의 오버헤드로 일관된 암호화를 제공
  
  
• 회의 초대 전달 시간이 길어지는 문제를 해결하기 위해 솔루션 설계자는 회의 초대를 보내는 애플리케이션에 대해 Auto Scaling 그룹을 추가하고 SQS 대기열의 깊이에 따라 확장되도록 Auto Scaling 그룹을 구성하도록 권장
  
  
• S3 버킷을 데이터레이크로 만들고 Glue 를 통해서 ETL 함으로서 S3 에 저장된 데이터를 RedShift 같은 서비스에서 사용할 수 있게끔 함. RDS 에 저장된 고객 데이터는 Glue JDBC 를 통해 변환
  ・S3 버킷을 AWS Lake Formation 을 사용해 데이터레이크로 만들고 Glue 기능 사용해 ETL.
  AWS Lake Formation 콘솔, Lake Formation API 또는 AWS 명령줄 인터페이스(AWS CLI)를 사용하여 Amazon S3 위치를 등록할 수 있습니다.
• AWS Glue 는 JDBC 연결을 통해 다음 데이터 스토어에 연결
  
  
• Lightsail은 간단한 서버 구성을 제공하지만, 정적 콘텐츠를 제공하는 데는 과도한 리소스입니다. Lightsail 가상 서버에서 웹사이트를 호스팅하면 S3와 같은 서비스에 비해 비용이 높고 관리 오버헤드가 증가
• 프라이빗 S3 에서 웹사이트를 호스팅하면 정적 웹사이트 콘텐츠를 위한 비용 효율적이고 가용성이 높은 스토리지를 제공합니다. CloudFront OAI 의 액세스를 허용하도록 버킷 정책을 구성하면 CloudFront 를 통해서만 S3 에 안전하게 액세스
  
  
• 게이트웨이 VPC 엔드포인트를 생성합니다. 엔드포인트에 적절한 보안 그룹을 연결X
  
  
• Redis 용 Amazon ElastiCache 는 사용자 인증 토큰, 세션 상태 등 세션 정보를 관리하는 세션 스토어로 사용하기에 매우 적합합니다. Redis 용 Amazon ElastiCache 를 세션 키에 대한 적절한 TTL과 함께 빠른 키-값 스토어로 사용하면 세션 정보를 관리
• EC2 인스턴스는 하루 종일 자주 확장 및 축소된다고 했는데 Session Affinity(=Sticky Session)은 이에 맞지 않음. ""개별 노드에 세션 저장을 사용할 때의 단점은 장애가 발생할 경우 장애가 발생한 노드에 있던 세션이 손실될 가능성
• Session Manager 는 접속 서비스이지 데이터 관리 서비스가 아님. Session Manager 는 인바운드 포트를 열거나, 배스천 호스트를 유지하거나, SSH 키를 관리할 필요 없이 안전하고 감사 가능한 노드 관리를 제공
• STS 는 임시 보안 자격 증명 서비스. ""AWS Security Token Service(AWS STS)를 사용하면 AWS 리소스에 대한 액세스를 제어할 수 있는 임시 보안 자격 증명을 생성하여 신뢰받는 사용자에게 제공
  
  
• Resource Groups Tag : 여러 서비스 및 리전에서 태그가 지정된 구성 요소에 대한 보고서를 생성하는 중앙 집중식의 효율적인 접근 방식을 제공
  
  
• AWS Glue 는 분석을 위해 데이터를 준비하고 변환하는 프로세스를 간소화하는 완전 관리형 ETL 서비스입니다. AWS Glue 를 사용하려면 다른 옵션에 비해 최소한의 개발 노력이 필요
  
  
• S3 에서 기본 암호화 설정을 활성화하면 새로 추가된 모든 객체가 자동으로 암호화됩니다. 기존 객체를 암호화하기 위해 S3 Inventory 기능을 사용하여 암호화되지 않은 객체 목록을 생성할 수 있습니다. 그런 다음 암호화를 적용하는 동안 해당 객체를 복사하기 위해 S3 배치 작업 작업을 실행
• 이때 S3-KMS 등은 기존에 이미 암호화되지 않은 객체에 대해서는 처리가 불가능하기 때문에 S3 Inventory + Batch로 처리해줘야한다.
• 솔루션은 기본 인프라가 정상일 때 부하를 처리할 필요가 없다고 했으므로 Active/Passive Failover 
  
  
• 보안그룹에서 Source는 Inbound , Destination 대상은 OutBound
• M5를 R5로 변환하고 지연 보고 Latency를 위해 EC2 인스턴스에 Amazon CloudWatch 에이전트를 배포하여 향후 용량 계획을 위한 사용자 지정 애플리케이션 지연 시간 메트릭을 생성
  
  
• API Gateway + Lambda 는 서버리스 아키텍처를 사용하는 최신 애플리케이션을 위한 완벽한 솔루션
  
  
•  

 

 

S3 암호화 - 서버측

암호화 키를 S3에서 관리하거나 KMS에서 관리하는 경우 암호화하여 암호호 한 데이터를 받음

아님 클라이언트에서 받은 키를 통해서 암호화하여 반환

 

S3 암호화 - 클라이언트

클라이언트에서 자체 암호화를 하고 S3에 전송. 서버로 키가 올 일이 없음