[AWS SOA-C02] 모의고사 오답노트

AWS SOA-C02 시험을 앞두고

내일 AWS SOA-C02 시험을 앞두고 있다.

그동안 공부했던 지식들을 기반으로 실제 시험장과 유사하게 모의고사를 응시할 예정이다.

틀린 문제와 해설은 아래와 작성해서 시험 응시 3시간 전에는 관련 개념 위주로 복습할 예정이다.

무조건 틀린 문제만 적은 것은 아니고, 조금이라도 헷갈린 문제들은 복습을 위해 전부 첨부했다.

---

모의고사 1회차 오답노트 (150 ~ 215) (66문제)

시스템 운영 관리자가 Amazon EC2 Auto Scaling 그룹의 스케일업 이벤트를 감지했습니다. Amazon CloudWatch에서 연결된 애플리케이션 로드 밸런서의 RequestCount 지표가 급증하는 것을 확인했습니다. 관리자는 요청 소스의 IP 주소를 알고 싶어 합니다.

관리자는 이 정보를 어디에서 찾을 수 있을까요?

• A. 자동 크기 조정 로그
• B. AWS CloudTrail 로그
• C. EC2 인스턴스 로그
• D. Elastic Load Balancer 액세스 로그

답 : D

이유 : CloudWatch에서 연결된 ALB의 RequestCount 지표 급증은 당연히 ELB 액세스 로그를 살펴봐야 한다.

 

한 회사의 시스템 운영 관리자가 회사 웹 애플리케이션 앞에 공용 네트워크 로드 밸런서(NLB)를 구축합니다. 이 웹 애플리케이션은 탄력적 IP 주소를 사용하지 않습니다.

 

사용자는 회사 도메인 이름을 사용하여 웹 애플리케이션에 액세스해야 합니다. 시스템 운영 관리자는 트래픽을 NLB로 라우팅하도록 Amazon Route 53을 구성해야 합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?

• A. NLB에 대한 Route 53 AAAA 레코드를 생성합니다.
• B. NLB에 대한 Route 53 ALIAS 레코드를 만듭니다.
• C. NLB에 대한 Route 53 CAA 레코드를 생성합니다.
• D. NLB에 대한 Route 53 CNAME 레코드를 만듭니다.

답 : B

이유 : 회사 도메인 이름을 사용하여 액세스 해야하는 경우 ALIAS 레코드를 사용해야 한다.

D가 아닌 이유 : CNAME 레코드는 web.companydomain.com 같은 서브 도메인을 생성할 때 사용한다.
참고 : https://iwantbaobab.tistory.com/637

 

한 회사가 암호화된 Amazon RDS for Oracle DB 인스턴스를 운영하고 있습니다. 이 회사는 다른 AWS 리전에서 정기 백업을 제공하고자 합니다.

이러한 요구 사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

• A. DB 인스턴스를 수정합니다. 지역 간 자동 백업을 활성화합니다.
• B. 다른 리전에 RDS 읽기 전용 복제본을 생성합니다. 읽기 전용 복제본의 스냅샷을 생성합니다.
• C. AWS Database Migration Service(AWS DMS)를 사용하여 다른 지역의 DB 인스턴스로 데이터를 복사합니다.
• D. DB 인스턴스의 암호화를 일시적으로 해제합니다. 스냅샷을 생성하고, 스냅샷을 다른 리전에 복사합니다.

답 : A

이유 : Cross-Region Automated Backups(지역 간 자동 백업)은 다른 리전 간 정기 백업(스냅샷, 트랜잭션 로그, KMS 암호화된 백업도 가능(키 및 키 권한 필수))을 위해 사용하는 기술이다.

 

C가 아닌 이유 : AWS DMS는 DB 마이그레이션 혹은 실시간 복제 시 사용된다. 백업(DR 재해 복구 목적)보다는 DB 이관이나, 하이브리드 구성 등에 사용된다.

 

시스템 운영 관리자가 Amazon EC2 인스턴스, Elastic Load Balancer(ELB), Amazon RDS DB 인스턴스를 프로비저닝하는 AWS CloudFormation 템플릿을 생성했습니다. 스택 생성 과정에서 EC2 인스턴스와 ELB 생성은 성공했지만, DB 인스턴스 생성은 실패했습니다.

이 시나리오에서 CloudFormation의 기본 동작은 무엇입니까?

• A. CloudFormation은 스택을 롤백하고 삭제합니다.
• B. CloudFormation은 스택을 롤백하지만 삭제하지는 않습니다.
• C. CloudFormation은 사용자에게 스택을 롤백할지 계속할지 묻습니다.
• D. CloudFormation은 스택을 성공적으로 완료하지만 DB 인스턴스에 대해 실패 상태를 보고합니다.

답 : B

이유 : 기본값 기준으로, CloudFormation 스택 생성 중 일부 리소스 생성에 실패하면 전체 스택이 롤백(Rollback)되고, 생성된 리소스들은 삭제되며, 스택은 실패 상태(ROLLBACK_COMPLETE)로 남게 된다.

 

참고 : 만약 DeletionPolicy: Retain 설정된 리소스는 롤백 과정에서 삭제되지 않는다.

 

 

한 회사가 AWS Organizations를 사용하고 있습니다. 시스템 운영 관리자가 관리 계정에서 AWS Compute Optimizer와 AWS 태그 정책을 사용하여 결제 패밀리의 모든 멤버 계정을 관리하려고 합니다. 시스템 운영 관리자가 AWS Organizations 콘솔로 이동했지만 관리 계정을 통해 태그 정책을 활성화할 수 없습니다.

이 문제의 원인은 무엇일까요?

• A. 조직에서 모든 기능이 활성화되지 않았습니다.
• B. 통합 청구가 활성화되지 않았습니다.
• C. 회원 계정에는 비용 할당을 위한 태그가 활성화되어 있지 않습니다.
• D. 멤버 계정에서 Compute Optimizer에 대한 신뢰할 수 있는 액세스를 수동으로 활성화하지 않았습니다.

답 : A

이유 : Compute Optimizer 및 태그 정책과 관련된 OU 수준 관리를 사용하기 위해서는 AWS Organizations에서 All Featurs(모든 기능)을 활성화 해야한다.

 

한 회사가 여러 개의 쓰기 집약적인 애플리케이션을 호스팅하고 있습니다. 이 애플리케이션들은 단일 Amazon EC2 인스턴스에서 실행되는 MySQL 데이터베이스를 사용합니다. 이 회사는 시스템 운영 관리자에게 멀티 테넌트 워크로드에 적합한 고가용성 데이터베이스 솔루션을 구현해 달라고 요청합니다.

이러한 요구 사항을 충족하려면 시스템 운영 관리자가 어떤 솔루션을 구현해야 할까요?

• A. MySQL용 두 번째 EC2 인스턴스를 생성합니다. 두 번째 인스턴스를 읽기 전용 복제본으로 구성합니다.
• B. 데이터베이스를 Amazon Aurora DB 클러스터로 마이그레이션합니다. Aurora 복제본을 추가합니다.
• C. 데이터베이스를 Amazon Aurora 멀티 마스터 DB 클러스터로 마이그레이션합니다.
• D. 데이터베이스를 Amazon RDS for MySQL DB 인스턴스로 마이그레이션합니다.

답 : C

이유 : 멀티 테넌트(다양한 회사) 워크로드를 지원하기 위해서는 멀티 마스터 DB 클러스터로 마이그레이션 해야한다.

 

한 회사에서 여러 지역에서 AWS Management Console로의 무단 로그인 가능성을 자동으로 모니터링해야 합니다.

이 요구 사항을 충족하는 솔루션은 무엇일까요?

• A. Amazon Cognito를 구성하여 손상된 IAM 자격 증명을 감지합니다.
• B. Amazon Inspector를 설정합니다. 리소스를 검사하고 모니터링하여 무단 로그인을 방지합니다.
• C. AWS Config를 설정합니다. 계정에 iam-policy-blacklisted-check 관리형 규칙을 추가합니다.
• D. Amazon GuardDuty를 구성하여 UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B 발견 사항을 모니터링합니다.

답 : D

 

한 회사에 Amazon RDS DB 인스턴스가 있습니다. 이 회사는 고가용성을 유지하면서 캐싱 서비스를 구현하려고 합니다.

이러한 요구 사항을 충족하는 작업 조합은 무엇입니까? (두 가지 선택)

• A. 데이터 저장소에 자동 검색을 추가합니다.
• B. Memcached용 Amazon ElastiCache 데이터 저장소를 만듭니다.
• C. Redis용 Amazon ElastiCache 데이터 저장소를 만듭니다.
• D. 데이터 저장소에 대해 다중 AZ를 활성화합니다.
• E. 데이터 저장소에 대해 멀티스레딩을 활성화합니다.

답 : C, D

이유 : 고가용성 유지(다중 AZ, Redis) + 캐싱 서비스(Redis)

 

A가 아닌 이유 : Auto Discovery는 애초에 ElasticCache for Memcached 기술이라 틀리다.

B가 아닌 이유 : Memcached용 ElasticCache는 장애 발생 시 수동 복구(HA 보장되지 않음)가 필요하다.

E가 아닌 이유 : 사용자 차원에서의 RDS, Redis, Memcached의 멀티스레딩 설정은 불가능하다. 

 

대규모 IT 부서를 보유한 한 조직에서 AWS로 마이그레이션하기로 결정했습니다. IT 부서의 업무가 서로 다르기 때문에 모든 사용자에게 모든 AWS 리소스에 대한 액세스 권한을 부여하는 것은 바람직하지 않습니다. 현재 이 조직은 LDAP 그룹 멤버십을 통해 액세스를 처리하고 있습니다.

현재 LDAP 자격 증명을 사용하여 액세스를 허용하는 가장 좋은 방법은 무엇입니까?

• A. AWS Directory Service Simple AD를 생성합니다. 온프레미스 LDAP 디렉터리를 Simple AD로 복제합니다.
• B. LDAP 그룹을 읽고 IAM 사용자 생성을 자동화하는 Lambda 함수를 만듭니다.
• C. AWS CloudFormation을 사용하여 IAM 역할을 생성합니다. Direct Connect를 배포하여 온프레미스 LDAP 서버에 대한 액세스를 허용합니다.
• D. SAML을 사용하여 LDAP 디렉터리를 IAM과 페더레이션합니다. 권한을 제한하기 위해 각 LDAP 그룹에 맞는 IAM 역할을 생성합니다.

답 : D

이유 : LDAP, AWS 연동은 SAML를 사용해 IAM과 페더레이션을 구성하면 된다.

 

한 회사가 Elastic Load Balancer(ELB) 뒤의 Amazon EC2 인스턴스 플릿에서 실행되는 메모리 집약적인 애플리케이션을 보유하고 있습니다. 이 인스턴스는 Auto Scaling 그룹에서 실행됩니다.

 

시스템 운영 관리자는 애플리케이션에 연결하는 사용자 수에 따라 애플리케이션이 확장될 수 있도록 해야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. ELB에서 생성된 ActiveConnectionCount Amazon CloudWatch 메트릭을 기반으로 애플리케이션을 확장하는 확장 정책을 만듭니다.
• B. ELB에서 생성된 mem_used Amazon CloudWatch 메트릭을 기반으로 애플리케이션을 확장하는 확장 정책을 만듭니다.
• C. 자동 크기 조정 그룹의 EC2 인스턴스 수를 늘려 추가 연결을 지원하기 위해 예약된 크기 조정 정책을 만듭니다.
• D. ELB에 스크립트를 생성하고 배포하여 연결된 사용자 수를 사용자 지정 Amazon CloudWatch 지표로 표시합니다. 해당 지표를 사용하는 확장 정책을 생성합니다.

답 : A

이유 : 문제에서 애플리케이션에 연결하는 사용자 수에 따른 확장을 지시했으므로 CloudWatch 메트릭을 사용해 스케줄링을 진행해야 한다.

 

한 글로벌 게임 회사가 AWS에서 새 게임 출시를 준비하고 있습니다. 이 게임은 여러 AWS 리전에서 Amazon EC2 인스턴스로 구동됩니다. 인스턴스는 각 리전의 애플리케이션 로드 밸런서(ALB) 뒤에 있는 자동 확장 그룹에 있습니다.

 

이 회사는 DNS 서비스에 Amazon Route 53을 사용할 계획입니다. DNS 구성은 사용자를 가장 가까운 리전으로 연결하고 자동 장애 조치를 제공해야 합니다.

시스템 운영 관리자는 이러한 요구 사항을 충족하도록 Route 53을 구성하기 위해 어떤 단계를 조합하여 수행해야 합니까? (두 가지 선택)

• A. 각 리전의 ALB 상태를 모니터링하는 Amazon CloudWatch 알람을 생성합니다. 알람을 모니터링하는 상태 확인을 사용하여 Route 53 DNS 장애 조치를 구성합니다.
• B. 각 리전의 EC2 인스턴스 상태를 모니터링하는 Amazon CloudWatch 알람을 생성합니다. 알람을 모니터링하는 상태 확인을 사용하여 Route 53 DNS 장애 조치를 구성합니다.
• C. 각 지역의 EC2 인스턴스의 개인 IP 주소를 모니터링하는 상태 검사를 사용하여 Route 53 DNS 장애 조치를 구성합니다.
• D. Route 53 지리적 근접 라우팅을 구성합니다. 인프라에 사용되는 지역을 지정합니다.
• E. Route 53 단순 라우팅을 구성합니다. 인프라에 사용할 대륙, 국가, 주 또는 도를 지정합니다.

답 : A, D

 

C가 틀린 이유 : EC2 인스턴스의 개인 IP 주소를 모니터링하는 것만으로는 인프라 상태를 확인하기에 충분하지 않다. 인스턴스는 계속 실행 중일 수 있지만 인스턴스의 애플리케이션이나 서비스가 비정상적일 수 있다. 하지만 ALB는 Web App(HTTP) 상태를 확인하므로 더 적합하다.

 

SysOps 관리자가 회사 웹 애플리케이션의 성능 문제를 조사하고 있습니다. 이 애플리케이션은 Auto Scaling 그룹에 속한 Amazon EC2 인스턴스에서 실행됩니다. 이 애플리케이션은 하루 중 무작위로 많은 트래픽이 증가하는 시간대에 발생합니다. 트래픽이 급증하는 시간대에는 Auto Scaling 그룹이 용량을 충분히 빠르게 추가하지 못합니다. 그 결과 사용자들이 성능 저하를 경험하고 있습니다.

 

회사는 웹 트래픽이 급증할 때 사용자 경험에 부정적인 영향을 미치지 않으면서 비용을 최소화하고자 합니다. 회사는 트래픽이 적게 증가할 때보다 많이 증가할 때 Auto Scaling 그룹에 더 많은 용량을 추가하는 솔루션이 필요합니다.

이러한 요구 사항을 충족하려면 SysOps 관리자가 Auto Scaling 그룹을 어떻게 구성해야 할까요?

• A. 시스템에 과부하가 걸릴 때 용량을 더 크게 조정할 수 있는 설정을 포함하는 간단한 확장 정책을 만듭니다.
• B. 시스템에 과부하가 걸릴 때 용량을 더 크게 조정할 수 있는 설정을 포함하는 단계별 확장 정책을 만듭니다.
• C. 시스템에 과부하가 걸릴 때 용량을 더 크게 조정할 수 있는 설정을 사용하여 대상 추적 확장 정책을 만듭니다.
• D. Amazon EC2 Auto Scaling 수명 주기 후크를 사용합니다. 모든 확장 이벤트 후 Auto Scaling 그룹의 최대 인스턴스 수를 조정합니다.

답 : B

이유 : 단계별 확장 정책을 활용해 급격한 트래픽 증가에 빠르게 대응할 수 있다.

 

C가 틀린 이유 : 점진적 조정에 유리, 급격한 증가에 즉각적인 대응 어려움

 

시스템 운영 관리자가 기본 하드웨어 장애 발생 시 Amazon EC2 인스턴스를 복구하는 자동화된 프로세스를 설정하고 있습니다. 복구된 인스턴스는 원본 인스턴스와 동일한 개인 IP 주소와 동일한 탄력적 IP 주소를 가져야 합니다. 시스템 운영 팀은 복구 프로세스가 시작될 때 이메일 알림을 받아야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. EC2 인스턴스에 대한 Amazon CloudWatch 알람을 생성하고 StatusCheckFailed_Instance 메트릭을 지정합니다. 인스턴스를 복구하기 위한 EC2 작업을 알람에 추가합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하는 알람 알림을 추가합니다. SysOps 팀 이메일 주소를 SNS 주제에 구독합니다.
• B. EC2 인스턴스에 대한 Amazon CloudWatch 알람을 생성하고 StatusCheckFailed_System 메트릭을 지정합니다. 인스턴스를 복구하기 위한 EC2 작업을 알람에 추가합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하는 알람 알림을 추가합니다. SysOps 팀 이메일 주소를 SNS 주제에 구독합니다.
• C. 동일 가용 영역 내 세 개의 서로 다른 서브넷에 걸쳐 최소, 최대, 그리고 원하는 크기가 1인 Auto Scaling 그룹을 생성합니다. 프라이빗 IP 주소와 엘라스틱 IP 주소를 지정하는 시작 템플릿을 사용하도록 Auto Scaling 그룹을 구성합니다. Auto Scaling 그룹이 Amazon Simple Email Service(Amazon SES)를 통해 SysOps 팀에 이메일 메시지를 전송하도록 활동 알림을 추가합니다.
• D. 최소, 최대, 그리고 원하는 크기가 1인 세 개의 가용 영역에 걸쳐 Auto Scaling 그룹을 생성합니다. 프라이빗 IP 주소와 엘라스틱 IP 주소를 지정하는 시작 템플릿을 사용하도록 Auto Scaling 그룹을 구성합니다. Auto Scaling 그룹이 Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하도록 활동 알림을 추가합니다. SysOps 팀 이메일 주소를 SNS 주제에 구독합니다.

답 : B

이유 : 기본 하드웨어 장애 발생 확인은 CloudWatch StatusCheckFailed_System 메트릭을 통해서 확인할 수 있다.

 

한 전자상거래 회사가 Amazon Aurora DB 클러스터를 사용하는 웹 애플리케이션을 구축했습니다. DB 클러스터에는 쓰기 노드와 읽기 노드가 모두 있는 메모리 최적화 인스턴스 유형이 포함되어 있습니다.

 

트래픽 양은 하루 종일 변합니다. 트래픽이 급증하는 경우, DB 클러스터의 Amazon CloudWatch 지표는 높은 RAM 사용량과 선택 지연 시간 증가를 나타냅니다.

시스템 운영 관리자는 DB 클러스터의 성능을 개선하기 위해 구성 변경을 구현해야 합니다. 이 변경은 다운타임을 최소화하고 데이터 손실을 초래하지 않아야 합니다.

이러한 요구 사항을 충족하는 변경은 무엇입니까?

• A. DB 클러스터에 Aurora Replica를 추가합니다.
• B. DB 클러스터를 수정하여 DB 클러스터를 멀티 마스터 DB 클러스터로 변환합니다.
• C. DB 클러스터의 스냅샷을 만듭니다. 해당 스냅샷을 사용하여 메모리에 최적화된 더 큰 인스턴스를 가진 새 DB 클러스터를 만듭니다.
• D. DB 클러스터의 디스크 저장 용량을 기존 디스크 용량의 두 배로 늘립니다.

답 : A

이유 : '선택 지연 시간' (Select) 는 검색에 해당하며, 이는 읽기 리소스에 해당한다. 따라서 Replica를 추가해야 한다.

 

한 회사가 Amazon Aurora MySQL DB 클러스터에 데이터베이스를 구축하려고 합니다. 이 데이터베이스는 데모 환경의 데이터를 저장합니다. 데이터는 매일 재설정되어야 합니다.

이러한 요구 사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

• A. 데이터가 채워진 후 DB 클러스터의 수동 스냅샷을 생성합니다. Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성하여 매일 AWS Lambda 함수를 호출합니다. 스냅샷을 복원한 후 이전 DB 클러스터를 삭제하도록 함수를 구성합니다.
• B. DB 클러스터 생성 중에 백트랙 기능을 활성화합니다. 목표 백트랙 기간을 48시간으로 지정합니다. Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성하여 AWS Lambda 함수를 매일 호출합니다. 백트랙 작업을 수행하도록 함수를 구성합니다.
• C. 데이터가 채워진 후 DB 클러스터의 수동 스냅샷을 Amazon S3 버킷으로 내보냅니다. Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성하여 매일 AWS Lambda 함수를 호출합니다. Amazon S3에서 스냅샷을 복원하도록 함수를 구성합니다.
• D. DB 클러스터 백업 보존 기간을 2일로 설정합니다. Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성하여 매일 AWS Lambda 함수를 호출합니다. DB 클러스터를 특정 시점으로 복원한 후 이전 DB 클러스터를 삭제하도록 함수를 구성합니다.

답 : B

이유 : Backtrack은 Aurora에서 지원하는 기능으로 전체 클러스터를 지정된 특정 과거 시점으로 되돌리는 기능이다. 최대 72시간 이전까지 되돌릴 수 있다. 따라서, 초기화 상태의 시점으로 백트랙 기능을 Lambda 함수로 매일 호출하는 것이 가장 적절하다.

 

한 회사가 AWS Organizations를 사용하여 새 멤버 계정을 생성합니다. 시스템 운영 관리자는 새 계정에 AWS Business Support를 추가해야 합니다.

시스템 운영 관리자는 이 요구 사항을 충족하기 위해 어떤 단계를 조합하여 수행해야 합니까? (두 가지 선택)

• A. IAM 자격 증명을 사용하여 새 계정에 로그인합니다. 지원 계획을 변경합니다.
• B. 루트 사용자 자격 증명을 사용하여 새 계정에 로그인합니다. 지원 계획을 변경합니다.
• C. AWS 지원 API를 사용하여 지원 계획을 변경합니다.
• D. root 사용자 계정의 비밀번호를 재설정합니다.
• E. 새 계정에서 관리자 권한이 있는 IAM 사용자를 만듭니다.

답 : B, D

이유 : 2022년 9월 이후부터 IAM 사용자도 지원 플랜을 관리할 수 있는 권한을 부여할 수 있다.
정답은 A, E이지만, 시험장에서는 B, D가 정답일 확률이 높다.

 

한 회사가 Amazon S3 버킷을 사용하여 데이터 파일을 저장합니다. S3 버킷에는 수백 개의 객체가 있습니다. 회사는 S3 버킷에 있는 모든 객체의 태그를 다른 태그로 교체해야 합니다.

이 요구 사항을 충족하는 가장 운영 효율적인 방법은 무엇입니까?

• A. S3 배치 작업을 사용합니다. 모든 객체 태그를 대체할 작업을 지정합니다.
• B. AWS CLI를 사용하여 각 객체의 태그를 가져옵니다. 태그를 목록에 저장합니다. S3 배치 작업을 사용합니다. 모든 객체 태그를 삭제하는 작업을 지정합니다. AWS CLI와 목록을 사용하여 객체의 태그를 다시 지정합니다.
• C. AWS CLI를 사용하여 각 객체의 태그를 가져옵니다. 태그를 목록에 저장합니다. AWS CLI와 목록을 사용하여 객체 태그를 제거합니다. AWS CLI와 목록을 사용하여 객체의 태그를 다시 지정합니다.
• D. AWS CLI를 사용하여 객체를 다른 S3 버킷으로 복사합니다. 복사된 객체에 새 태그를 추가합니다. 원본 객체는 삭제합니다.

답 : A

이유 : S3 배치 작업으로 객체 메타데이터 및 속성을 변경하거나 객체 태그 세트 교체와 같은 다른 스토리지 관리 작업을 수행할 수 있다.

 

한 회사가 여러 Amazon EC2 인스턴스에서 실행 중인 애플리케이션의 인벤토리를 확보해야 합니다. 이 회사는 AWS Systems Manager에 대한 적절한 권한을 가진 사용자와 역할을 구성했습니다. 업데이트된 버전의 Systems Manager Agent가 설치되어 모든 인스턴스에서 실행되고 있습니다. 인벤토리 수집을 구성하는 동안 시스템 운영 관리자는 단일 서브넷의 모든 인스턴스가 Systems Manager에서 관리되지 않는다는 사실을 발견했습니다.

이 문제를 해결하려면 시스템 운영 관리자가 어떻게 해야 합니까?

• A. 모든 EC2 인스턴스에 Systems Manager 액세스에 대한 올바른 태그가 있는지 확인하세요.
• B. AWS Identity and Access Management Access Analyzer를 구성하여 문제를 확인하고 자동으로 해결합니다.
• C. 모든 EC2 인스턴스에 Systems Manager 액세스 권한이 있는 인스턴스 프로필이 있는지 확인합니다.
• D. Systems Manager를 구성하여 인터페이스 VPC 엔드포인트를 사용합니다.

답 : C

 

SysOps 관리자가 Amazon EC2 인스턴스에서 의심스러운 네트워크 활동에 대한 Amazon GuardDuty 알림을 받습니다. GuardDuty의 탐지 결과에는 새로운 외부 IP 주소가 트래픽 대상으로 나열되어 있습니다. SysOps 관리자는 해당 외부 IP 주소를 인식하지 못합니다. SysOps 관리자는 GuardDuty가 식별한 외부 IP 주소로의 트래픽을 차단해야 합니다.

이 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. 외부 IP 주소로의 트래픽을 차단할 새 보안 그룹을 생성합니다. 새 보안 그룹을 EC2 인스턴스에 할당합니다.
• B. Amazon Athena에서 VPC 흐름 로그를 사용하여 외부 IP 주소로의 트래픽을 차단합니다.
• C. 네트워크 ACL을 생성합니다. 외부 IP 주소로의 트래픽에 대한 아웃바운드 거부 규칙을 추가합니다.
• D. 외부 IP 주소로의 트래픽을 차단할 새 보안 그룹을 생성합니다. 새 보안 그룹을 전체 VPC에 할당합니다.

답 : C

이유 : GuardDuty의 탐지 결과, 의심스러운 외부 IP 주소로의 아웃바운드 트래픽 발생. 이를 차단하기 위해서는 NACL를 사용해야 한다. Security Group에서는 Deny 규칙 생성이 불가하다. (허용된 트래픽만 통과하고, 나머지 트래픽은 암묵적으로 차단되는 방식이다.)

 

한 회사의 시스템 운영 관리자가 각 계정의 AWS 개인 상태 대시보드를 정기적으로 확인합니다. 이 계정들은 AWS Organizations에 속한 조직에 속해 있습니다. 회사는 최근 해당 조직에 10개의 계정을 더 추가했습니다. 시스템 운영 관리자는 각 계정의 개인 상태 대시보드 알림을 통합해야 합니다.

이 요구 사항을 가장 적은 노력으로 충족할 수 있는 솔루션은 무엇일까요?

• A. AWS Health에서 조직 보기를 활성화합니다.
• B. 각 계정의 개인 건강 대시보드를 구성하여 이벤트를 중앙 AWS CloudTrail 로그로 전달합니다.
• C. AWS Health API를 쿼리하고 모든 이벤트를 Amazon DynamoDB 테이블에 기록하는 AWS Lambda 함수를 생성합니다.
• D. AWS Health API를 사용하여 Amazon DynamoDB 테이블에 이벤트를 기록합니다.

답 : A

이유 : AWS Health에서 조직 보기를 활성화하면 AWS Organizations에서 조직의 모든 계정에 대한 AWS Personal Health Dashboard 상태를 집계하고 확인할 수 있다.

 

회사의 웹 애플리케이션은 Amazon CloudFront 배포판과 인터넷 연결 애플리케이션 로드 밸런서(ALB)를 통해 직접 제공됩니다. 시스템 운영 관리자는 ALB를 통해 직접 액세스할 수 없도록 CloudFront 배포판을 통해서만 애플리케이션에 액세스할 수 있도록 설정해야 합니다. 시스템 운영 관리자는 애플리케이션 코드를 변경하지 않고 이러한 변경 작업을 수행해야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. ALB 유형을 내부로 수정합니다. 배포의 원본을 내부 ALB 도메인 이름으로 설정합니다.
• B. Lambda@Edge 함수를 생성합니다. 요청의 사용자 지정 헤더 값을 저장된 비밀번호와 비교하고, 일치하는 경우 요청을 오리진 서버로 전달하도록 함수를 구성합니다. 이 함수를 배포와 연결합니다.
• C. ALB를 새로운 내부 ALB로 교체합니다. 배포의 출처를 내부 ALB 도메인 이름으로 설정합니다. 배포의 출처 설정에 사용자 지정 HTTP 헤더를 추가합니다. ALB 리스너에서 일치하는 사용자 지정 헤더와 헤더 값이 포함된 요청을 전달하는 규칙을 추가합니다. 고정 응답 코드인 403을 반환하는 기본 규칙을 추가합니다.
• D. 배포의 원본 설정에 사용자 지정 HTTP 헤더를 추가합니다. ALB 리스너에서 일치하는 사용자 지정 헤더와 헤더 값이 포함된 요청을 전달하는 규칙을 추가합니다. 고정 응답 코드인 403을 반환하는 기본 규칙을 추가합니다.

답 : D

이유 : ALB는 인터넷에 노출돼 있어 기본적으로 CloudFront를 우회해 직접 접근이 가능할 수 밖에 없다. 따라서, HTTP 헤더를 기반으로 ALB에서 접근 제어를 수행해야 한다.

C가 오답인 이유 : Internal ALB로 전환하면 CloudFront에서도 접근이 불가능해 서비스 제공이 불가하다.

 

한 회사가 Amazon EC2 인스턴스에서 애플리케이션을 호스팅하고 있습니다. 이 회사는 Amazon RDS for PostgreSQL DB 인스턴스에서 데이터베이스를 호스팅하고 있습니다. 이 회사는 DB 인스턴스에 대한 모든 연결을 암호화하도록 요구합니다.

시스템 운영 관리자는 이 요구 사항을 충족하기 위해 무엇을 해야 할까요?

• A. 인바운드 보안 그룹 규칙을 사용하여 데이터베이스에 대한 SSL 연결을 허용합니다.
• B. AWS Key Management Service(AWS KMS) 암호화 키를 사용하여 데이터베이스를 암호화합니다.
• C. 사용자 정의 매개변수 그룹을 사용하여 데이터베이스에 대한 SSL 연결을 적용합니다.
• D. 사용자 정의 PostgreSQL 확장을 사용하여 데이터베이스에 SSL/TLS 패치를 적용합니다.

답 : C

 

한 회사가 애플리케이션에서 Amazon Simple Queue Service(Amazon SQS) 표준 대기열을 사용합니다. 애플리케이션은 고유한 메시지 본문을 사용하여 해당 대기열로 메시지를 전송합니다. 회사는 SQS FIFO 대기열로 전환하기로 결정했습니다.

SQS FIFO 대기열로 마이그레이션하려면 어떻게 해야 합니까?

• A. 새 SQS FIFO 대기열을 생성합니다. 새 FIFO 대기열에서 콘텐츠 기반 중복 제거를 활성화합니다. 메시지에 메시지 그룹 ID를 포함하도록 애플리케이션을 업데이트합니다.
• B. 새 SQS FIFO 대기열을 생성합니다. 메시지에 DelaySeconds 매개변수를 포함하도록 애플리케이션을 업데이트합니다.
• C. 대기열 유형을 SQS 표준에서 SQS FIFO로 수정합니다. 대기열에서 콘텐츠 기반 중복 제거 기능을 해제합니다. 메시지에 메시지 그룹 ID를 포함하도록 애플리케이션을 업데이트합니다.
• D. 대기열 유형을 SQS 표준에서 SQS FIFO로 수정합니다. 동일한 메시지 본문으로 메시지를 전송하고 메시지에 DelaySeconds 매개변수를 포함하도록 애플리케이션을 업데이트합니다.

답 : A

이유 : SQS는 기존 대기열 유형 변경을 지원하지 않아 새로운 Queue를 생성해야 한다. FIFO 큐는 메시지 순서를 보장하기 위해 메시지 그룹 ID(MessageGroupID)를 설정해야 한다. 또한, 메시지 중복 ID(Message Deduplication ID)가 없으면 콘텐츠 기반 중복 제거를 활성화하여 메시지 본문을 해싱하는 방법으로 중복 여부를 판단할 수 있다.

 

C가 틀린 이유 : SQS는 큐 타입 변경을 지원하지 않는다.

 

회사의 시스템 운영 관리자는 AWS 계정에서 실행되는 모든 Amazon EC2 Windows 인스턴스에 타사 에이전트가 설치되어 있는지 확인해야 합니다. 타사 에이전트는 .msi 패키지를 포함합니다. 회사는 패치 적용을 위해 AWS Systems Manager를 사용하고 Windows 인스턴스에 적절한 태그가 지정되어 있습니다. 타사 에이전트는 새 버전이 출시됨에 따라 정기적인 업데이트가 필요합니다. 시스템 운영 관리자는 이러한 업데이트를 자동으로 배포해야 합니다.

운영 부담을 최소화하면서 이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (두 가지 선택)

• A. 타사 에이전트에 대한 Systems Manager Distributor 패키지를 만듭니다.
• B. Systems Manager Inventory가 구성되어 있는지 확인하세요. Systems Manager Inventory가 구성되어 있지 않은 경우, Windows에 적합한 태그 값을 기반으로 인스턴스에 대한 새 인벤토리를 설정하세요.
• C. AWS-RunRemoteScript 문서를 실행하기 위한 Systems Manager State Manager 연결을 생성합니다. 타사 에이전트 패키지의 세부 정보를 입력합니다. Windows에 적합한 태그 값을 기반으로 인스턴스 태그를 지정하고 일정은 1일로 설정합니다.
• D. AWS-ConfigureAWSPackage 문서를 실행하기 위한 Systems Manager State Manager 연결을 생성합니다. 타사 에이전트 패키지의 세부 정보를 입력합니다. Windows에 적합한 태그 값을 기반으로 인스턴스 태그를 지정하고 일정을 1일로 설정합니다. 
• E. Windows용 태그 값을 사용하여 Systems Manager OpsItem을 생성합니다. Systems Manager Distributor 패키지를 OpsItem에 연결합니다. 패키지 배포에 맞는 유지 관리 기간을 생성합니다. 유지 관리 기간이 하루 24시간 동안 지속되도록 구성합니다.

답 : A, D

A 이유 : AWS Systems Manager Distributor는 타사 소프트웨어(예: .msi)를 EC2 인스턴스에 설치 가능한 형태로 패키징할 수 있게 해준다.
D 이유 : AWS-ConfigureAWSPackage 문서는 Distributor 패키지를 기반으로 에이전트를 설치 또는 업데이트할 수 있게 해준다.

 

한 회사가 단일 AWS 리전에서 수백 개의 Amazon EC2 인스턴스를 운영하고 있습니다. 각 EC2 인스턴스에는 1GiB 범용 SSD(gp2) Amazon Elastic Block Store(Amazon EBS) 볼륨이 두 개 연결되어 있습니다. 중요한 워크로드가 EBS 볼륨의 사용 가능한 모든 IOPS 용량을 사용하고 있습니다.

회사 정책에 따라, 회사는 애플리케이션의 정상 작동 여부를 확인하기 위한 긴 승인 테스트를 완료하지 않고는 인스턴스 유형이나 EBS 볼륨 유형을 변경할 수 없습니다. 시스템 운영 관리자는 EBS 볼륨의 I/O 성능을 최대한 빨리 향상시켜야 합니다.

이러한 요구 사항을 충족하기 위해 시스템 운영 관리자는 어떤 조치를 취해야 할까요?

• A. 1GiB EBS 볼륨의 크기를 늘립니다.
• B. 각 EC2 인스턴스에 두 개의 추가적인 탄력적 네트워크 인터페이스를 추가합니다.
• C. 해당 지역의 EBS 볼륨에서 전송 가속을 켭니다.
• D. 모든 EC2 인스턴스를 클러스터 배치 그룹에 추가합니다.

답 : A

 

한 회사가 AWS에 새로운 워크로드를 배포해야 합니다. 회사는 모든 저장 데이터를 암호화하고 매년 암호화 키를 교체해야 합니다. 이 워크로드는 데이터 저장을 위해 Amazon RDS for MySQL Multi-AZ 데이터베이스를 사용합니다.

이러한 요구 사항을 충족하는 구성 방식은 무엇입니까?

• A. MySQL 설정 파일에서 TDE(투명 데이터 암호화)를 활성화하세요. 12개월마다 키를 수동으로 순환하세요.
• B. Amazon RDS에 대한 AWS 관리형 키를 사용하여 데이터베이스 생성 시 RDS 암호화를 활성화합니다.
• C. 새로운 AWS Key Management Service(AWS KMS) 고객 관리 키를 생성합니다. 자동 키 교체를 활성화합니다. 데이터베이스 생성 시 KMS 키를 사용하여 RDS 암호화를 활성화합니다.
• D. 새로운 AWS Key Management Service(AWS KMS) 고객 관리형 키를 생성합니다. 자동 키 교체를 활성화합니다. RDS DB 인스턴스에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨에 암호화를 활성화합니다.

답 : C

B가 틀린 이유 : 자동 키 교체는 사용자가 명시적으로 설정해야한다.

 

한 회사가 머신 러닝 기반 모니터링 솔루션을 구현하고 있습니다. 이 모니터링 솔루션은 Amazon EC2 Auto Scaling에서 생성된 Amazon EventBridge(Amazon CloudWatch Events) 이벤트를 사용합니다. 이 모니터링 솔루션은 예상치 못한 확장 이벤트와 같은 이상 동작을 감지하며, EventBridge(CloudWatch Events) API 대상으로 구성됩니다.

초기 테스트 과정에서 이 회사는 모니터링 솔루션이 이벤트를 수신하지 못하는 것을 발견했습니다. 그러나 Amazon CloudWatch는 EventBridge(CloudWatch Events) 규칙이 호출되고 있음을 표시합니다. 시스템 운영 관리자는 이 문제를 해결하기 위해 클라이언트 오류 세부 정보를 검색하는 솔루션을 구현해야 합니다.

운영 부담을 최소화하면서 이러한 요구 사항을 충족하는 솔루션은 무엇일까요?

• A. 이벤트 패턴에 대한 EventBridge(CloudWatch Events) 아카이브를 생성하여 이벤트를 재생합니다. 모니터링 솔루션의 로깅을 늘립니다. Replay를 사용하여 모니터링 솔루션을 호출합니다. 오류 세부 정보를 검토합니다.
• B. Amazon Simple Queue Service(Amazon SQS) 표준 대기열을 대상의 배달 못한 편지 대기열로 추가합니다. 배달 못한 편지 대기열의 메시지를 처리하여 오류 세부 정보를 검색합니다.
• C. AWS Lambda 함수를 대상으로 동일한 이벤트 패턴에 대한 두 번째 EventBridge(CloudWatch Events) 규칙을 생성합니다. Lambda 함수가 모니터링 솔루션을 호출하고 그 결과를 Amazon CloudWatch Logs에 기록하도록 구성합니다. 로그에서 오류를 검토합니다.
• D. Amazon Simple Notification Service(Amazon SNS) 주제에 오류 메시지를 보내도록 EventBridge(CloudWatch Events) 규칙을 구성합니다.

답 : A

이유 : EventBridge 아카이브는 이벤트 버스(Event Bus)에 들어온 모든 이벤트를 저장(보관)하는 기능이다. 이벤트를 자동으로 캡처하고 장기 보관할 수 있으며, 나중에 재처리(Replay)도 가능하다.

 

시스템 운영 관리자는 AWS 리전 간 데이터 전송 비용을 추적해야 합니다. 시스템 운영 관리자는 전송 비용이 특정 임계값의 75%에 도달하면 이메일 배포 목록에 알림을 보내는 솔루션을 구현해야 합니다.

이러한 요구 사항을 충족하기 위해 시스템 운영 관리자는 무엇을 해야 할까요?

• A. AWS 비용 및 사용 보고서를 생성합니다. Amazon Athena에서 결과를 분석합니다. 비용이 임계값의 75%에 도달하면 Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하도록 알람을 구성합니다. 해당 주제에 이메일 배포 목록을 구독합니다.
• B. 비용이 임계값의 75%에 도달하는 시점을 감지하는 Amazon CloudWatch 청구 알람을 생성합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 메시지를 게시하도록 알람을 구성합니다. 해당 주제에 이메일 배포 목록을 구독합니다.
• C. AWS Budgets를 사용하여 데이터 전송 비용에 대한 비용 예산을 생성합니다. 예산 금액의 75%에 도달하면 알림을 설정합니다. 비용이 임계값의 75%에 도달하면 이메일 배포 목록에 알림을 보내도록 예산을 구성합니다.
• D. VPC 흐름 로그를 설정합니다. AWS Lambda 함수에 구독 필터를 설정하여 데이터 전송을 분석합니다. 비용이 임계값의 75%에 도달하면 이메일 배포 목록에 알림을 보내도록 Lambda 함수를 구성합니다.

답 : C

 

한 회사의 AWS Lambda 함수에 성능 문제가 발생했습니다. Lambda 함수는 CPU 사용량이 많은 작업을 수행합니다. Lambda 함수의 실행 속도가 충분하지 않아 시스템에 병목 현상이 발생하고 있습니다.

시스템 운영 관리자는 이 문제를 해결하기 위해 어떻게 해야 할까요?

• A. 람다 함수의 CPU 시작 옵션에서 하이퍼스레딩을 활성화합니다.
• B. AWS 관리 암호화를 끕니다.
• C. 람다 함수의 메모리 양을 늘립니다.
• D. 필요한 코드를 사용자 정의 레이어에 로드합니다.

답 : C

이유 : 람다 함수는 별도의 하이퍼스레딩 기능을 제공하지 않는다. 자동으로 메모리 크기에 따라 할당되는 컴퓨팅 리소스(CPU, Network Bandwidth, Disk I/O) 성능들이 변한다. 

 

---

모의고사 2회차 오답노트 (216 ~ 285) (70문제)

한 회사가 전 세계로 사업을 확장하면서 Amazon Elastic Block Store(Amazon EBS) 볼륨의 데이터를 다른 AWS 리전에 백업해야 합니다. 데이터를 저장하는 대부분의 EBS 볼륨은 암호화되어 있지만, 일부 EBS 볼륨은 암호화되어 있지 않습니다. 이 회사는 모든 EBS 볼륨의 백업 데이터를 암호화해야 합니다.

관리 오버헤드를 최소화하면서 이러한 요구 사항을 충족할 수 있는 솔루션은 무엇일까요?

• A. Amazon Data Lifecycle Manager(Amazon DLM)에서 수명 주기 정책을 구성하여 리전 간 백업이 활성화된 EBS 볼륨 스냅샷을 생성합니다. AWS Key Management Service(AWS KMS)를 사용하여 스냅샷 사본을 암호화합니다.
• B. EBS 볼륨의 특정 시점 스냅샷을 생성합니다. 스냅샷 상태가 "완료"이면 스냅샷을 다른 리전으로 복사하고 "암호화됨" 매개변수를 "거짓"으로 설정합니다.
• C. EBS 볼륨의 특정 시점 스냅샷을 생성합니다. 스냅샷을 서버 측 암호화를 사용하는 Amazon S3 버킷에 복사합니다. S3 버킷에서 S3 교차 리전 복제를 활성화합니다.
• D. Python 런타임으로 AWS Lambda 함수를 예약합니다. EBS 볼륨 스냅샷을 생성하고, 암호화되지 않은 스냅샷을 암호화하고, 스냅샷을 다른 리전으로 복사하도록 Lambda 함수를 구성합니다.

답 : A

이유 : Amazon Data Lifecycle Manager(DLM)는 정의된 정책에 따라 EBS 볼륨 스냅샷을 자동으로 생성하고 관리할 수 있는 방법을 제공한다. DLM 수명 주기 정책을 구성하면 교차 리전 백업을 지정할 수 있으며, 이는 EBS 볼륨 스냅샷이 다른 AWS 리전에 자동으로 복사됨을 의미한다. 또한 AWS Key Management Service(AWS KMS)를 사용하여 복사된 스냅샷에 대한 암호화를 활성화하여 모든 백업 데이터가 필요에 따라 암호화되도록 구성할 수 있다.

 

한 회사가 분석에 사용할 애플리케이션에서 데이터를 수집하려고 합니다. 처음 90일 동안은 데이터 접근 빈도가 낮지만 높은 가용성을 유지해야 합니다. 이 기간 동안 회사의 분석팀은 밀리초 단위로 데이터에 접근해야 합니다. 그러나 90일 후에는 더 저렴한 비용으로 장기간 데이터를 보관해야 합니다. 90일 이후 검색 시간은 5시간 미만이어야 합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇일까요?

• A. 처음 90일 동안은 S3 Standard-Infrequent Access(S3 Standard-IA)에 데이터를 저장합니다. 90일 후 S3 Glacier Flexible Retrieval로 데이터를 이동하는 S3 수명 주기 규칙을 설정합니다.
• B. 처음 90일 동안은 S3 One Zone-Infrequent Access(S3 One Zone-IA)에 데이터를 저장합니다. 90일 후 S3 Glacier Deep Archive로 데이터를 이동하는 S3 수명 주기 규칙을 설정합니다.
• C. 처음 90일 동안은 S3 Standard에 데이터를 저장합니다. 90일 후 S3 Glacier Flexible Retrieval로 데이터를 이동하는 S3 수명 주기 규칙을 설정합니다.
• D. 처음 90일 동안은 S3 Standard에 데이터를 저장합니다. 90일 후 S3 Glacier Deep Archive로 데이터를 이동하는 S3 수명 주기 규칙을 설정합니다.

답 : A

 

한 회사의 애플리케이션은 현재 모든 AWS 서비스에 대한 모든 액세스를 허용하는 IAM 역할을 사용하고 있습니다. 시스템 운영 관리자는 회사의 IAM 정책이 애플리케이션에 필요한 권한만 허용하도록 해야 합니다.

시스템 운영 관리자는 이 요구 사항을 충족하는 정책을 어떻게 만들 수 있을까요?

• A. AWS CloudTrail을 활성화합니다. AWS Security Hub를 사용하여 정책을 생성합니다.
• B. Amazon EventBridge(Amazon CloudWatch Events)를 켭니다. AWS Identity and Access Management Access Analyzer를 사용하여 정책을 생성합니다.
• C. AWS CLI를 사용하여 AWS Identity and Access Management Access Analyzer에서 get-generated-policy 명령을 실행합니다.
• D. AWS CloudTrail을 켭니다. AWS Identity and Access Management Access Analyzer를 사용하여 정책을 생성합니다.

답 : D

이유 : IAM Access Analyzer는 AWS CloudTrail 로그를 분석하여 지정된 기간 내에 IAM 엔터티(사용자 또는 역할)에서 사용된 작업과 서비스를 식별한다.

 

한 회사에서 Amazon EC2 Amazon Machine Image(AMI)로 제공되는 타사 단위 테스트 솔루션을 배포하고 있습니다. 모든 시스템 구성 데이터는 Amazon DynamoDB에 저장되고, 테스트 결과는 Amazon S3에 저장됩니다.

제품을 운영하려면 최소 세 개의 EC2 인스턴스가 필요합니다. 이 회사의 테스트 팀은 스팟 인스턴스 가격이 특정 임계값에 도달하면 세 개의 EC2 인스턴스를 추가로 사용하려고 합니다. 시스템 운영 관리자는 이러한 기능을 제공하는 고가용성 솔루션을 구현해야 합니다.

운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족하는 솔루션은 무엇일까요?

• A. 시작 구성을 사용하여 Amazon EC2 Auto Scaling 그룹을 정의합니다. 제공된 AMI를 시작 구성에 사용합니다. 온디맨드 인스턴스 3개와 스팟 인스턴스 3개를 구성합니다. 시작 구성에서 스팟 인스턴스의 최대 가격을 설정합니다.
• B. 시작 템플릿을 사용하여 Amazon EC2 Auto Scaling 그룹을 정의합니다. 제공된 AMI를 시작 템플릿에 사용합니다. 온디맨드 인스턴스 3개와 스팟 인스턴스 3개를 구성합니다. 시작 템플릿에서 스팟 인스턴스의 최대 가격을 설정합니다.
• C. 시작 구성을 사용하여 두 개의 Amazon EC2 Auto Scaling 그룹을 정의합니다. 제공된 AMI를 시작 구성에 사용합니다. 한 Auto Scaling 그룹에 온디맨드 인스턴스 세 개를 구성합니다. 다른 Auto Scaling 그룹에 스팟 인스턴스 세 개를 구성합니다. 스팟 인스턴스가 있는 Auto Scaling 그룹의 시작 구성에서 스팟 인스턴스의 최대 가격을 설정합니다.
• D. 시작 템플릿을 사용하여 두 개의 Amazon EC2 Auto Scaling 그룹을 정의합니다. 시작 템플릿에 제공된 AMI를 사용합니다. 한 Auto Scaling 그룹에 온디맨드 인스턴스 세 개를 구성합니다. 다른 Auto Scaling 그룹에 스팟 인스턴스 세 개를 구성합니다. 스팟 인스턴스가 있는 Auto Scaling 그룹에 대해 시작 템플릿에서 스팟 인스턴스의 최대 가격을 설정합니다.

답 : B

이유 : 시작 구성(Launch Configure)는 생략된 기능만 사용할 수 있고, 여러 인스턴스 유형에 대해 지정하는 Auto Scaling Group를 설정하기 위해서는 시작 템플릿(Launch Template)를 사용해야 한다.

 

D가 아닌 이유 : 하나의 ASG에서도 온디맨드 인스턴스와 스팟 인스턴스를 혼합 구성할 수 있다.

 

시스템 운영 관리자는 여러 AWS 리전에 배포할 수 있는 애플리케이션 스택을 정의하기 위해 AWS CloudFormation 템플릿을 생성합니다. 또한 시스템 운영 관리자는 AWS Management Console을 사용하여 Amazon CloudWatch 대시보드를 생성합니다. 애플리케이션을 배포할 때마다 자체 CloudWatch 대시보드가 ​​필요합니다.

시스템 운영 관리자는 애플리케이션이 배포될 때마다 CloudWatch 대시보드 생성을 자동화하려면 어떻게 해야 할까요?

• A. AWS CLI를 사용하여 aws cloudformation put-dashboard 명령을 대시보드 이름으로 실행하는 스크립트를 생성합니다. 새 CloudFormation 스택이 생성될 때마다 이 명령을 실행합니다.
• B. 기존 CloudWatch 대시보드를 JSON으로 내보냅니다. CloudFormation 템플릿을 업데이트하여 AWS::CloudWatch::Dashboard 리소스를 정의합니다. 내보낸 JSON을 리소스의 DashboardBody 속성에 포함합니다.
• C. CloudFormation 템플릿을 업데이트하여 AWS::CloudWatch::Dashboard 리소스를 정의합니다. 내장 참조 함수를 사용하여 기존 CloudWatch 대시보드의 ID를 참조합니다.
• D. CloudFormation 템플릿을 업데이트하여 AWS::CloudWatch::Dashboard 리소스를 정의합니다. DashboardName 속성에 기존 대시보드의 이름을 지정합니다.

답 : B

 

SysOps 관리자가 Amazon Elastic Block Store(Amazon EBS) 볼륨이 연결된 Amazon EC2 인스턴스 세트에서 사용 가능한 디스크 공간을 모니터링하려고 합니다. SysOps 관리자는 EBS 볼륨의 사용된 디스크 공간이 임계값을 초과함과 동시에 DiskReadOps 지표도 임계값을 초과할 때만 알림을 받으려고 합니다. SysOps 관리자가 Amazon Simple Notification Service(Amazon SNS) 주제를 설정했습니다.

두 지표 모두 임계값을 초과할 때만 SysOps 관리자가 알림을 받을 수 있도록 하려면 어떻게 해야 합니까?

• A. EC2 인스턴스에 Amazon CloudWatch 에이전트를 설치합니다. 디스크 공간에 대한 메트릭 경보와 DiskReadOps 메트릭에 대한 메트릭 경보를 생성합니다. 두 메트릭 경보를 포함하는 복합 경보를 생성하여 SNS 주제에 알림을 게시합니다.
• B. EC2 인스턴스에 Amazon CloudWatch 에이전트를 설치합니다. 디스크 공간에 대한 메트릭 경보와 DiskReadOps 메트릭에 대한 메트릭 경보를 생성합니다. 각 경보가 SNS 주제에 알림을 게시하도록 구성합니다.
• C. EBSByteBalance% 메트릭과 DiskReadOps 메트릭에 대한 메트릭 알람을 각각 생성합니다. 두 메트릭 알람을 포함하는 복합 알람을 생성하여 SNS 주제에 알림을 게시합니다.
• D. EC2 인스턴스에 대한 상세 모니터링을 구성합니다. 디스크 공간에 대한 메트릭 알람과 DiskReadOps 메트릭에 대한 메트릭 알람을 생성합니다. 두 메트릭 알람을 포함하는 복합 알람을 생성하여 SNS 주제에 알림을 게시합니다.

답 : A

 

회사의 시스템 운영 관리자가 회사 AWS 계정 중 하나에 대한 AWS 지원 플랜을 변경해야 합니다. 계정에 다중 요소 인증(MFA)이 활성화되어 있는데 MFA 디바이스가 분실되었습니다.

시스템 운영 관리자는 어떻게 로그인해야 하나요?

• A. 이메일 및 전화 인증을 사용하여 루트 사용자로 로그인합니다. 새 MFA 장치를 설정합니다. 루트 사용자 비밀번호를 변경합니다.
• B. 관리자 권한이 있는 IAM 사용자로 로그인합니다. IAM 콘솔을 사용하여 MFA 토큰을 다시 동기화합니다.
• C. 관리자 권한이 있는 IAM 사용자로 로그인합니다. 새 디바이스를 추가하여 루트 사용자의 MFA 디바이스를 재설정합니다.
• D. 비밀번호 찾기 절차를 통해 이메일 주소를 확인하세요. 새 비밀번호와 MFA 기기를 설정하세요.

답 : A

 

한 회사에서 새로운 다중 계정 아키텍처를 구축하고 있습니다. 시스템 운영 관리자는 모든 AWS 계정의 사용자 액세스 및 권한을 중앙에서 관리하는 로그인 솔루션을 구현해야 합니다. 이 솔루션은 AWS Organizations와 통합되어야 하며, 타사 SAML(Security Assertion Markup Language) 2.0 ID 공급자(IdP)에 연결되어야 합니다.

이러한 요구 사항을 충족하기 위해 시스템 운영 관리자는 어떻게 해야 할까요?

• A. Amazon Cognito 사용자 풀을 구성합니다. 사용자 풀을 타사 IdP와 통합합니다.
• B. 타사 IdP로 AWS Single Sign-On을 활성화하고 구성합니다.
• C. 조직의 각 AWS 계정에 대해 타사 IdP를 AWS Identity and Access Management(IAM)와 페더레이션합니다.
• D. 타사 IdP를 AWS Organizations와 직접 통합합니다.

답 : B

이유 : AWS IAM Identity Center(AWS SSO)를 사용하면 여러 AWS 계정 및 비즈니스 애플리케이션에 대한 페더레이션된 액세스를 중앙에서 쉽게 관리하고 사용자에게 할당된 모든 계정 및 애플리케이션에 대한 단일 로그인(SSO) 액세스를 한곳에서 제공한다.

 

한 회사가 AWS Organizations에서 단일 조직을 사용하여 여러 계정을 관리하고 있습니다. 해당 조직은 모든 ​​기능을 활성화했습니다. 회사는 조직의 모든 계정과 모든 AWS 리전에서 AWS Config를 활성화하려고 합니다.

시스템 운영 관리자는 이러한 요구 사항을 가장 운영 효율적인 방식으로 충족하기 위해 무엇을 해야 할까요?

• A. AWS CloudFormation Stack Sets를 사용하여 모든 계정과 모든 지역에서 AWS Config를 켜는 스택 인스턴스를 배포합니다.
• B. AWS CloudFormation 스택 세트를 사용하여 모든 계정과 모든 지역에서 AWS Config를 활성화하는 스택 정책을 배포합니다.
• C. 서비스 제어 정책(SCP)을 사용하여 모든 계정과 모든 지역에서 AWS Config를 구성합니다.
• D. AWS CLI를 사용하여 조직의 모든 계정에서 AWS Config를 활성화하는 스크립트를 생성합니다. 조직의 관리 계정에서 스크립트를 실행합니다.

답 : A

 

시스템 운영 관리자가 더 이상 사용되지 않는 AWS CloudFormation 스택을 삭제해야 합니다. CloudFormation 스택은 DELETE_FAILED 상태입니다. 시스템 운영 관리자가 CloudFormation 스택 삭제에 필요한 권한을 검증했습니다.

다음 중 DELETE_FAILED 상태의 가능한 원인은 무엇입니까? (두 가지 선택)

• A. 스택을 삭제하기 위해 구성된 시간 제한이 너무 짧아서 삭제 작업을 완료할 수 없습니다.
• B. 스택에 중첩된 스택이 포함되어 있으므로 먼저 수동으로 삭제해야 합니다.
• C. 스택은 --disable-rollback 옵션과 함께 배포되었습니다.
• D. 스택의 보안 그룹과 연관된 추가 리소스가 있습니다.
• E. 스택에 객체가 여전히 포함되어 있는 Amazon S3 버킷이 있습니다.

답 : D, E

 

시스템 운영 관리자는 Amazon CloudFront를 통해 권한이 있는 사용자에게 디지털 콘텐츠를 제공하는 솔루션을 구성해야 합니다. 권한이 없는 사용자의 접근을 제한해야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. 디지털 콘텐츠를 공개 액세스가 차단되지 않은 Amazon S3 버킷에 저장하세요. 서명된 URL을 사용하여 CloudFront를 통해 S3 버킷에 액세스하세요.
• B. 퍼블릭 액세스가 차단된 Amazon S3 버킷에 디지털 콘텐츠를 저장합니다. 원본 액세스 ID(OAI)를 사용하여 CloudFront를 통해 콘텐츠를 전송합니다. CloudFront에서 서명된 URL을 사용하여 S3 버킷 액세스를 제한합니다.
• C. 퍼블릭 액세스가 차단된 Amazon S3 버킷에 디지털 콘텐츠를 저장합니다. 원본 액세스 ID(OAI)를 사용하여 CloudFront를 통해 콘텐츠를 전송합니다. 필드 수준 암호화를 활성화합니다.
• D. 디지털 콘텐츠를 공개 액세스가 차단되지 않은 Amazon S3 버킷에 저장하십시오. CloudFront를 통한 콘텐츠 전송을 제한하려면 서명된 쿠키를 사용하십시오.

답 : B

 

시스템 운영 관리자는 회사의 Amazon EC2 인스턴스가 예상대로 자동 확장되도록 해야 합니다. 시스템 운영 관리자는 Amazon EC2 자동 확장 수명 주기 후크를 구성하여 Amazon EventBridge(Amazon CloudWatch Events)로 이벤트를 전송합니다. 그러면 Amazon EventBridge는 AWS Lambda 함수를 호출하여 EC2 인스턴스를 구성합니다. 구성이 완료되면 Lambda 함수는 complete-lifecycle-action 이벤트를 호출하여 EC2 인스턴스를 서비스 상태로 전환합니다. 테스트 과정에서 시스템 운영 관리자는 EC2 인스턴스가 자동 확장될 때 Lambda 함수가 호출되지 않는다는 것을 발견했습니다.

이 문제를 해결하려면 시스템 운영 관리자가 어떻게 해야 할까요?

• A. Lambda 함수에 권한을 추가하여 EventBridge(CloudWatch Events) 규칙에 의해 호출될 수 있도록 합니다.
• B. 라이프사이클 후크에 오류나 시간 초과가 발생하면 라이프사이클 후크 동작을 CONTINUE로 변경합니다.
• C. EventBridge(CloudWatch Events) 규칙에서 재시도 정책을 구성하여 실패 시 Lambda 함수 호출을 다시 시도합니다.
• D. Lambda 함수 실행 역할을 업데이트하여 complete-lifecycle-action 이벤트를 호출할 수 있는 권한을 부여합니다.

답 : A

이유 : Lambda 함수 호출 자체가 안 된 것이기 때문에 A이다. 호출했는데 이후에 오류가 발생했다면 D로 의심해볼 수 있다.

 

한 회사에서 모든 IAM 사용자에게 다중 요소 인증(MFA) 사용을 의무화하고, 모든 API 호출을 CLI를 통해 수행하도록 요구하고 있습니다. 그러나 사용자에게 MFA 토큰을 입력하라는 메시지가 표시되지 않고, MFA 없이도 CLI 명령을 실행할 수 있습니다. MFA를 강제하기 위해, 이 회사는 MFA로 인증되지 않은 API 호출을 거부하는 IAM 정책을 모든 사용자에게 적용했습니다.

API 호출이 MFA를 사용하여 인증되도록 하려면 어떤 추가 조치를 취해야 할까요?

• A. IAM 역할에 MFA를 활성화하고 IAM 사용자가 역할 자격 증명을 사용하여 API 호출에 서명하도록 요구합니다.
• B. CLI를 사용하여 API 호출을 하기 전에 IAM 사용자에게 MFA로 AWS Management Console에 로그인하도록 요청합니다.
• C. MFA는 CLI 사용에 지원되지 않으므로 IAM 사용자가 콘솔을 사용하도록 제한합니다.
• D. 사용자가 get-session 토큰 명령에서 임시 자격 증명을 사용하여 API 호출에 서명하도록 요구합니다.

답 : D

이유 : get-session 함수 호출에서 반환되는 임시 보안 자격 증명을 사용하여 IAM 사용자는 MFA 인증이 필요한 API 작업에 대한 프로그래밍 방식 호출을 수행할 수 있다.

 

한 회사가 Amazon S3를 사용하여 자사 도메인 example.com과 하위 도메인 www.example.com에 정적 웹사이트를 구축하려고 합니다.

시스템 운영 관리자는 이 요구 사항을 어떻게 충족해야 할까요?

• A. 도메인과 하위 도메인 모두에 대해 example.com이라는 이름의 S3 버킷을 하나씩 만듭니다.
• B. 도메인과 하위 도메인 모두에 *.example.com이라는 와일드카드를 사용하여 하나의 S3 버킷을 만듭니다.
• C. example.com과 www.example.com이라는 두 개의 S3 버킷을 생성합니다. 하위 도메인 버킷이 도메인 버킷으로 요청을 리디렉션하도록 구성합니다.
• D. http://example.com과 http://*.example.com이라는 이름의 두 개의 S3 버킷을 생성합니다. 와일드카드(*) 버킷을 구성하여 요청을 도메인 버킷으로 리디렉션합니다.

답 : C

 

시스템 운영 관리자가 기업 네트워크의 사용자를 VPC에서 실행 중인 AWS 리소스에 연결하기 위해 AWS 클라이언트 VPN을 구성하고 있습니다. 규정 준수 요건에 따라 VPC로 향하는 트래픽만 VPN 터널을 통과할 수 있습니다.

시스템 운영 관리자는 이러한 요건을 충족하기 위해 클라이언트 VPN을 어떻게 구성해야 할까요?

• A. 클라이언트 VPN 엔드포인트를 NAT 게이트웨이를 통한 인터넷 경로가 있는 개인 서브넷과 연결합니다.
• B. 클라이언트 VPN 엔드포인트에서 분할 터널 옵션을 켭니다.
• C. 클라이언트 VPN 엔드포인트에서 DNS 서버 IP 주소를 지정합니다.
• D. VPN 클라이언트의 신원 인증서로 사용할 개인 인증서를 선택합니다.

답 : B

이유 : 분할 터널 옵션(Split Tunnel Option)을 사용해 VPC로 향하는 트래픽만 VPN 터널을 통과하도록 허용할 수 있다. 이외 트래픽은 정상적으로 인터넷과 통신한다.

 

SysOps 관리자가 5개의 Amazon EC2 인스턴스에 호스팅된 애플리케이션을 테스트하고 있습니다. 이 인스턴스들은 애플리케이션 로드 밸런서(ALB) 뒤의 Auto Scaling 그룹에서 실행됩니다. 부하 테스트 중 CPU 사용률이 높아 Auto Scaling 그룹이 확장되고 있습니다. SysOps 관리자는 Auto Scaling 그룹이 확장되기 전에 높은 CPU 사용률의 근본 원인을 파악하여 문제를 해결해야 합니다.

이러한 요구 사항을 충족하기 위해 SysOps 관리자는 어떤 조치를 취해야 할까요?

• A. 인스턴스 확장 보호를 활성화합니다.
• B. 인스턴스를 대기 상태로 전환합니다.
• C. ALB에서 리스너를 제거합니다.
• D. 실행 및 종료 프로세스 유형을 일시 중단합니다.

답 : B

이유 : ASG 확장 전 인스턴스를 대기 상태로 전환해 CPU 사용률을 낮추고, 해당 인스턴스에서 높은 CPU 사용률의 근본 원인을 확인할 수 있다.

 

D가 아닌 이유 : 원인 분석 시 불편하고, 서비스 중단 리스크를 부담해야 한다.

 

웹 애플리케이션이 애플리케이션 로드 밸런서(ALB) 뒤의 Amazon EC2 인스턴스에서 실행됩니다. 이 인스턴스는 여러 가용 영역에 걸쳐 Auto Scaling 그룹에서 실행됩니다. 시스템 운영 관리자는 이러한 EC2 인스턴스 중 일부가 Auto Scaling 그룹에서는 정상으로 표시되지만 ALB 대상 그룹에서는 비정상으로 표시되는 것을 발견했습니다.

이 문제의 가능한 원인은 무엇일까요?

• A. 보안 그룹이 ALB와 오류가 발생한 EC2 인스턴스 간의 트래픽을 허용하지 않습니다.
• B. 자동 크기 조정 그룹 상태 검사는 EC2 상태 검사를 위해 구성됩니다.
• C. EC2 인스턴스가 시작되지 않고 EC2 상태 검사에도 실패합니다.
• D. 대상 그룹 상태 점검이 잘못된 포트 또는 경로로 구성되었습니다.

답 : D

이유 : 이 문제는 ASG(Auto Scaling Group)와 ALB(Application Load Balancer)의 상태 점검 간에 불일치가 있을 때 발생합니다. ASG(Auto Scaling Group) 상태 점검은 기본적으로 EC2 상태 점검을 사용합니다. 즉, 인스턴스가 시스템 수준에서 실행 중이고 접근 가능한지 여부만 확인합니다. 반면 ALB 상태 점검은 애플리케이션 수준에서 수행됩니다. 즉, 인스턴스의 특정 포트와 경로(예: /healthcheck)를 점검합니다.

 

오류가 발생한 프로세스는 전체 프로세서를 사용하고 100%로 실행되는 것으로 알려져 있습니다. 시스템 운영 관리자가 문제가 2분 이상 발생할 때 Amazon EC2 인스턴스를 자동으로 재시작하도록 설정하려고 합니다.

어떻게 해야 할까요?

• A. EC2 인스턴스에 대한 기본 모니터링 기능을 갖춘 Amazon CloudWatch 알람을 생성합니다. 인스턴스를 다시 시작하는 작업을 추가합니다.
• B. EC2 인스턴스에 대한 자세한 모니터링을 제공하는 Amazon CloudWatch 알람을 생성합니다. 인스턴스를 다시 시작하는 작업을 추가합니다.
• C. 2분마다 예약된 시간에 호출되는 EC2 인스턴스를 다시 시작하는 AWS Lambda 함수를 만듭니다.
• D. EC2 상태 확인을 통해 호출된 EC2 인스턴스를 다시 시작하기 위한 AWS Lambda 함수를 생성합니다.

답 : B

이유 : 기본 모니터링은 5분 간격이며, 상세 모니터링은 1분 간격

 

한 회사가 Amazon S3 버킷에 대량의 민감한 데이터를 보관하고 있습니다. 회사 보안팀은 시스템 운영 관리자에게 S3 버킷에 있는 모든 객체가 암호화되었는지 확인해 달라고 요청합니다.

이러한 요구 사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

• A. S3 버킷에 대해 실행되고 각 객체의 상태를 출력하는 스크립트를 만듭니다.
• B. S3 버킷에 S3 인벤토리 구성을 생성합니다. 적절한 상태 필드를 포함합니다.
• C. 보안 팀에 S3 버킷에 대한 읽기 액세스 권한이 있는 IAM 사용자를 제공합니다.
• D. AWS CLI를 사용하여 S3 버킷에 있는 모든 객체 목록을 출력합니다.

답 : B

 

사용자들이 관계형 데이터베이스의 느린 응답 속도를 주기적으로 경험하고 있습니다. 이 데이터베이스는 350GB 범용 SSD(gp2) Amazon Elastic Block Store(Amazon EBS) 볼륨을 갖춘 버스트 가능한 Amazon EC2 인스턴스에서 실행됩니다. 시스템 운영 관리자는 Amazon CloudWatch에서 EC2 인스턴스를 모니터링하는 과정에서 느린 응답 시간 동안 VolumeReadOps 지표가 최고치의 10% 미만으로 떨어지는 것을 확인했습니다.

시스템 운영 관리자는 지속적으로 높은 성능을 유지하기 위해 무엇을 해야 할까요?

• A. gp2 볼륨을 일반 용도 SSD(gp3) EBS 볼륨으로 변환합니다.
• B. gp2 볼륨을 Cold HDD(sc1) EBS 볼륨으로 변환합니다.
• C. EC2 인스턴스를 메모리 최적화된 인스턴스 유형으로 변환합니다.
• D. EC2 인스턴스에서 무제한 모드를 활성화합니다.

답 : A

 

한 회사가 자사의 AWS 워크로드와 연결된 리소스에 사용자 정의 태그를 적용합니다. 태그를 적용한 지 20일이 지난 후, 회사는 AWS Cost Explorer 콘솔에서 태그를 사용하여 뷰를 필터링할 수 없다는 것을 알게 되었습니다.

이 문제의 원인은 무엇입니까?

• A. Cost Explorer에서 태그를 사용하여 뷰를 필터링하려면 최소 30일이 걸립니다.
• B. 회사는 비용 할당을 위한 사용자 정의 태그를 활성화하지 않았습니다.
• C. 회사는 AWS 비용 및 사용 보고서를 작성하지 않았습니다.
• D. 회사는 AWS Budgets에서 사용 예산을 생성하지 않았습니다.

답 : B

이유 : Cost Explorer 콘솔에서 태그를 사용해 뷰를 필터링하고 싶으면 비용 할당을 위한 사용자 정의 태그(user-defined tags for cost allocation)를 활성화 해야한다.

참고 : https://iwantbaobab.tistory.com/613

 

한 회사에 여러 AWS Lambda 함수를 사용하는 중요한 서버리스 애플리케이션이 있습니다. 각 Lambda 함수는 자체 Amazon CloudWatch Logs 로그 그룹에 매일 1GB의 로그 데이터를 생성합니다. 회사 보안팀은 모든 로그 그룹에서 유형별로 그룹화된 애플리케이션 오류 수를 요청합니다.

시스템 운영 관리자는 이 요구 사항을 충족하기 위해 무엇을 해야 할까요?

• A. stats 명령과 count 함수를 사용하여 CloudWatch Logs Insights 쿼리를 수행합니다.
• B. groupby 키워드와 count 함수를 사용하여 CloudWatch Logs 검색을 수행합니다.
• C. SELECT 및 GROUP BY 키워드를 사용하는 Amazon Athena 쿼리를 수행합니다.
• D. SELECT 및 GROUP BY 키워드를 사용하는 Amazon RDS 쿼리를 수행합니다.

답 : A

이유 : CloudWatch Logs Insights에는 간단하지만 강력한 몇 가지 명령으로 구성된 맞춤형 쿼리 언어가 포함되어 있다. (대용량 로그에 대한 고속 쿼리 기능 제공함)

 

아래와 같은 형태로 사용된다.

stats count(*) by level

 

시스템 운영 관리자가 VPC에 Amazon S3 게이트웨이 엔드포인트를 구성합니다. VPC 내부의 프라이빗 서브넷에는 아웃바운드 인터넷 액세스가 없습니다. 사용자가 프라이빗 서브넷 중 하나에 있는 Amazon EC2 인스턴스에 로그인했지만 동일한 AWS 리전에 있는 Amazon S3 버킷에 파일을 업로드할 수 없습니다.

이 문제를 해결하는 방법은 무엇입니까?

• A. EC2 인스턴스 역할 정책을 업데이트하여 대상 S3 버킷에 대한 s3:PutObject 액세스를 포함합니다.
• B. EC2 보안 그룹을 업데이트하여 포트 80에 대해 0.0.0.0/0으로의 아웃바운드 트래픽을 허용합니다.
• C. S3 게이트웨이 엔드포인트에 대한 S3 접두사 목록 대상 경로를 포함하도록 EC2 서브넷 경로 테이블을 업데이트합니다.
• D. S3 버킷 정책을 업데이트하여 개인 서브넷 CIDR 블록에서 s3:PutObject 액세스를 허용합니다.

답 : C

이유 : D를 설정하기 위해서는 C를 확인해야 한다.

 

한 회사의 시스템 운영 관리자가 고가용성 환경을 관리하고 있습니다. 이 환경에는 Amazon EC2 인스턴스와 Amazon RDS 다중 AZ 데이터베이스가 포함되어 있습니다. EC2 인스턴스는 애플리케이션 로드 밸런서(Application Load Balancer) 뒤의 자동 확장 그룹에 있습니다.

최근 이 회사는 장애 조치(failover) 테스트를 수행했습니다. 시스템 운영 관리자는 RDS 데이터베이스의 장애 조치 시간을 최소 10% 줄여야 합니다.

이 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. RDS 인스턴스 크기를 늘립니다.
• B. RDS 클러스터를 수정하여 단일 가용성 영역에서 실행합니다.
• C. 다른 AWS 리전에 읽기 전용 복제본을 생성합니다. 장애 발생 시 읽기 전용 복제본을 승격합니다.
• D. RDS 프록시를 생성합니다. 애플리케이션을 프록시 엔드포인트로 지정합니다.

답 : D

이유 : 프록시를 통해 동작하고 있는 다른 AZ RDS 인스턴스로 빠르게 장애 복구 조치 가능. 그동안 문제 해결에 힘 쓰면 됨.

 

C가 틀린 이유 : 다른 리전에 복제본을 생성할 이유가 없고, 리전 간 장애 조치 시간은 더 오래 걸림. RTO 증가

 

한 회사의 시스템 운영 관리자가 여러 AWS 계정에 걸쳐 모든 신규 EC2 인스턴스의 템플릿으로 사용될 맞춤형 소프트웨어가 포함된 Amazon EC2 인스턴스를 생성했습니다. EC2 인스턴스에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨은 AWS 관리형 키로 암호화됩니다.

시스템 운영 관리자는 맞춤형 EC2 인스턴스의 Amazon 머신 이미지(AMI)를 생성하고 회사의 다른 AWS 계정과 AMI를 공유할 계획입니다. 회사는 모든 AMI를 AWS Key Management Service(AWS KMS) 키로 암호화하고 권한이 있는 AWS 계정만 공유 AMI에 액세스할 수 있도록 요구합니다.

 

다른 AWS 계정과 AMI를 안전하게 공유하려면 어떤 솔루션을 사용해야 할까요?

• A. AMI가 생성된 계정에서 고객 관리형 KMS 키를 생성합니다. AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt*, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 키 정책을 수정합니다. AMI를 공유할 AWS 계정 번호를 지정하도록 AMI 권한을 수정합니다.
• B. AMI가 생성된 계정에서 고객 관리형 KMS 키를 생성합니다. AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt*, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 키 정책을 수정합니다. AMI 사본을 생성하고 KMS 키를 지정합니다. 복사된 AMI의 권한을 수정하여 AMI를 공유할 AWS 계정 번호를 지정합니다.
• C. AMI가 생성된 계정에서 고객 관리형 KMS 키를 생성합니다. AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt*, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 키 정책을 수정합니다. AMI 사본을 생성하고 KMS 키를 지정합니다. 복사된 AMI의 권한을 수정하여 공개 상태로 설정합니다.
• D. AMI가 생성된 계정에서 AWS 관리형 키의 키 정책을 수정하여 AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt*, kms:CreateGrant 및 kms:Decrypt 권한을 부여합니다. AMI를 공유할 AWS 계정 번호를 지정하도록 AMI 권한을 수정합니다.

답 : B

이유 : 암호화된 EBS 볼륨 인스턴스에 대한 AMI를 다른 계정에 공유해야 한다. 1. AMI 사본을 생성하고, 2. 암호화된 EBS 볼륨에 대한 KMS 키를 지정(어떤 키를 공유할지)하고, 3. 그 키를 사용할 수 있는 사용 권한(키 정책)을 부여하고, 4. 최종적으로 AMI를 공유할 AWS 계정(계정 번호)을 지정한다.

 

D가 아닌 이유 : "AWS 관리 키"는 다른 계정과 공유할 수 없습니다.

 

SysOps 관리자는 Amazon EC2 인스턴스에 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨의 읽기 및 쓰기 지표를 기반으로 알림을 생성해야 합니다. SysOps 관리자는 DiskReadBytes 지표와 DiskWriteBytes 지표에 대한 Amazon CloudWatch 경보를 생성하고 활성화합니다.

동일한 경보 구성으로 EC2 인스턴스에 설치된 사용자 지정 모니터링 도구는 볼륨 지표가 임계값을 초과했음을 나타냅니다. 그러나 CloudWatch 경보는 ALARM 상태가 아니었습니다.

CloudWatch 경보가 제대로 작동하도록 하려면 어떤 조치를 취해야 합니까?

• A. EC2 인스턴스에 CloudWatch 에이전트를 설치하고 구성하여 원하는 지표를 캡처합니다.
• B. EC2 인스턴스에 AWS Systems Manager Agent를 설치하고 구성하여 원하는 지표를 캡처합니다.
• C. EBS 볼륨에 대해 VolumeReadBytes 메트릭과 VolumeWriteBytes 메트릭을 사용하도록 CloudWatch 알람을 재구성합니다.
• D. EC2 인스턴스에 대해 VolumeReadBytes 메트릭과 VolumeWriteBytes 메트릭을 사용하도록 CloudWatch 알람을 재구성합니다.

답 : C

이유 : DiskRead/WriteBytes 지표는 인스턴스 스토어 볼륨을 나타내는 지표이다. EC2 인스턴스가 아닌 EBS 볼륨에 대한 알림을 생성하고 싶어하기 때문에 답은 C이다.

 

한 회사가 최근 서버 인프라를 Amazon EC2 인스턴스로 이전했습니다. 이 회사는 Amazon CloudWatch 지표를 사용하여 인스턴스 메모리 사용률과 사용 가능한 디스크 공간을 추적하려고 합니다.

이러한 요구 사항을 충족하기 위해 시스템 운영 관리자는 어떻게 해야 할까요?

• A. AWS Management Console에서 CloudWatch로 모니터링해야 하는 모든 인스턴스에 대해 CloudWatch를 구성합니다. AWS는 지정된 인스턴스에 대한 에이전트를 자동으로 설치하고 구성합니다.
• B. 모든 인스턴스에 CloudWatch 에이전트를 설치하고 구성합니다. 인스턴스가 CloudWatch에 로그를 기록할 수 있도록 IAM 역할을 추가합니다.
• C. 모든 인스턴스에 CloudWatch 에이전트를 설치하고 구성합니다. 인스턴스가 CloudWatch에 로그를 쓸 수 있도록 IAM 사용자를 연결합니다.
• D. 모든 인스턴스에 CloudWatch 에이전트를 설치하고 구성합니다. 인스턴스가 CloudWatch에 로그를 기록할 수 있도록 필요한 보안 그룹을 연결합니다.

답 : B

이유 : CloudWatch에 지표를 전송하려면 EC2 인스턴스에서 에이전트 설치 + 인스턴스 프로필(역할)에 CloudWatchAgentServerPolicy 정책을 연결해야 한다. 

 

한 회사가 최근 기본 부팅 볼륨을 사용하여 Amazon EC2 인스턴스에 MySQL을 배포했습니다. 이 회사는 1.75TB 데이터베이스를 복구하려고 합니다. 시스템 운영 관리자는 적절한 Amazon Elastic Block Store(Amazon EBS) 볼륨을 프로비저닝해야 합니다. 이 데이터베이스는 최대 10,000 IOPS의 읽기 성능이 필요하며, 크기가 증가하지 않을 것으로 예상됩니다. 가장 낮은

비용으로 필요한 성능을 제공하는 솔루션은 무엇일까요?

• A. 2TB Cold HDD(sc1) 볼륨을 배포합니다.
• B. 2TB 처리량 최적화 HDD(st1) 볼륨을 배포합니다.
• C. 2TB 범용 SSD(gp3) 볼륨을 배포합니다. IOPS를 10,000으로 설정합니다.
• D. 2TB 프로비저닝 IOPS SSD(io2) 볼륨을 배포합니다. IOPS를 10,000으로 설정합니다.

답 : C

이유 : 최대 16,000 IOPS 까지는 gp3로 충당 가능하다.

 

한 회사가 Auto Scaling 그룹에서 Amazon EC2 온디맨드 인스턴스를 운영하고 있습니다. 이 인스턴스는 Amazon Simple Queue Service(Amazon SQS) 대기열의 메시지를 처리합니다. Auto Scaling 그룹은 대기열의 메시지 수에 따라 확장되도록 설정되어 있습니다. 메시지는 완전히 처리되는 데 최대 12시간이 걸릴 수 있습니다. 시스템 운영 관리자는 메시지 처리 중에 인스턴스가 중단되지 않도록 해야 합니다.

이러한 요구 사항을 충족하기 위해 시스템 운영 관리자는 무엇을 해야 할까요?

• A. 메시지 처리 시작 시 처리 스크립트에서 Amazon EC2 Auto Scaling API를 호출하여 Auto Scaling 그룹의 특정 인스턴스에 대한 인스턴스 축소 보호를 활성화합니다. 메시지 처리가 완료된 후에는 처리 스크립트에서 Amazon EC2 Auto Scaling API를 호출하여 인스턴스 축소 보호를 비활성화합니다.
• B. 자동 크기 조정 그룹의 종료 정책을 OldestInstance로 설정합니다.
• C. 자동 크기 조정 그룹의 종료 정책을 OldestLaunchConfiguration으로 설정합니다.
• D. 메시지 처리 시작 시 처리 스크립트에서 Amazon EC2 Auto Scaling API를 호출하여 Auto Scaling 그룹의 특정 인스턴스에 대한 Launch 및 Terminate 스케일링 프로세스를 일시 중단합니다. 메시지 처리가 완료된 후 처리 스크립트에서 Amazon EC2 Auto Scaling API를 호출하여 스케일링 프로세스를 재개합니다.

답 : A

 

 

한 회사가 AWS Organizations를 사용하여 AWS에서 여러 계정을 관리합니다. 회사 보안팀은 네이티브 AWS 서비스를 사용하여 Center for Internet Security(CIS) AWS Foundations Benchmark에 따라 모든 AWS 계정을 정기적으로 검사하려고 합니다.

이러한 요구 사항을 충족하는 가장 운영 효율적인 방법은 무엇입니까?

• A. 중앙 보안 계정을 AWS Security Hub 관리자 계정으로 지정합니다. Security Hub 관리자 계정에서 초대를 보내고 멤버 계정에서 초대를 수락하는 스크립트를 생성합니다. 새 계정이 생성될 때마다 스크립트를 실행합니다. Security Hub가 CIS AWS Foundations 벤치마크 검사를 실행하도록 구성합니다.
• B. Amazon Inspector를 사용하여 모든 계정에서 CIS AWS Foundations 벤치마크를 실행합니다.
• C. 중앙 보안 계정을 Amazon GuardDuty 관리자 계정으로 지정합니다. GuardDuty 관리자 계정에서 초대를 보내고 멤버 계정에서 초대를 수락하는 스크립트를 생성합니다. 새 계정이 생성될 때마다 스크립트를 실행합니다. GuardDuty가 CIS AWS Foundations 벤치마크 검사를 실행하도록 구성합니다.
• D. AWS Security Hub 관리자 계정을 지정합니다. 조직 내 새 계정이 자동으로 멤버 계정이 되도록 구성합니다. CIS AWS Foundations 벤치마크 검사를 활성화합니다.

답 : D

 

 

시스템 운영 관리자는 AWS 애플리케이션에 대한 재해 복구(DR) 계획을 설계해야 합니다. 이 애플리케이션은 애플리케이션 로드 밸런서(ALB) 뒤의 Amazon EC2 인스턴스에서 실행됩니다. 인스턴스는 Auto Scaling 그룹에 속합니다. 이 애플리케이션은 Amazon Aurora PostgreSQL 데이터베이스를 사용합니다. 복구 시간 목표(RTO)와 복구 지점 목표(RPO)는 각각 15분입니다.

시스템 운영 관리자가 이러한 요구 사항을 가장 비용 효율적으로 충족하기 위해 취해야 할 단계 조합은 무엇입니까? (두 가지 선택)

• A. DR 지역으로 내보내도록 Aurora 백업을 구성합니다.
• B. Aurora 글로벌 데이터베이스 옵션을 사용하여 DR 지역에 데이터를 복제하도록 Aurora 클러스터를 구성합니다.
• C. ALB와 자동 확장 그룹을 사용하여 DR 리전을 구성합니다. 기본 리전과 동일한 구성을 사용합니다.
• D. ALB와 자동 확장 그룹을 사용하여 DR 영역을 구성합니다. 자동 확장 그룹의 최소 용량, 최대 용량, 원하는 용량을 각각 1로 설정합니다.
• E. 장애 조치 활동 중에 AWS CloudFormation을 사용하여 새 ALB와 새 자동 확장 그룹을 수동으로 시작합니다.

답 : B, D

이유 : Global Aurora는 다른 리전에 읽기 전용 복사본을 생성하여 장애 조치(DR)를 위해 수동으로 읽기/쓰기 모드로 승격 가능 + 비용 효율적으로 구성하기 위해 ALB + ASG 조합을 DR 리전에 생성하되 용량을 1로 설정

 

한 회사에 Amazon Elastic File System(Amazon EFS) 파일 시스템을 사용하는 애플리케이션이 있습니다. 최근 애플리케이션 로직 오류로 인해 여러 파일이 손상되었습니다. 이 회사는 EFS 파일 시스템의 백업 및 복구 기능을 개선하고자 합니다. 개별 파일을 신속하게 복구할 수 있어야 합니다.

이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇일까요?

• A. Amazon Data Lifecycle Manager(Amazon DLM)를 구성하여 데이터 사본을 Amazon S3 Glacier 저장소에 보관합니다. S3 Glacier 검색 요청을 사용하여 개별 파일을 검색합니다.
• B. 다른 AWS 리전에 두 번째 EFS 파일 시스템을 생성합니다. AWS DataSync를 구성하여 데이터를 백업 파일 시스템에 복사합니다. 백업 EFS 파일 시스템에서 파일을 복사하여 복구합니다.
• C. Amazon EFS에서 AWS Backup을 활성화하여 파일 시스템을 Amazon S3 Glacier 볼트에 백업합니다. S3 Glacier 검색 요청을 사용하여 개별 파일을 검색합니다.
• D. Amazon EFS에서 AWS Backup을 활성화하여 파일 시스템을 백업 볼트에 백업합니다. 부분 복원 작업을 사용하여 개별 파일을 가져옵니다.

답 : D

 

 

한 회사가 WORM(Write Once, Ready Many) 드라이브를 거버넌스 모드에서 S3 객체 잠금이 구성된 Amazon S3 버킷으로 마이그레이션합니다. 마이그레이션 과정에서 회사는 불필요한 데이터를 S3 버킷에 복사합니다.

시스템 운영 관리자가 AWS CLI를 사용하여 S3 버킷에서 불필요한 데이터를 삭제하려고 시도합니다. 그러나 시스템 운영 관리자에게 오류가 발생합니다.

시스템 운영 관리자가 불필요한 데이터를 성공적으로 삭제하려면 어떤 단계 조합을 수행해야 합니까? (두 가지 선택)

• A. 보관 기한을 늘립니다.
• B. s3:BypassLegalRetention 권한이 있는 역할을 맡습니다.
• C. s3:BypassGovernanceRetention 권한이 있는 역할을 맡습니다.
• D. 삭제 명령을 실행할 때 요청에 x-amz-bypass-governance-retention:true 헤더를 포함합니다.
• E. 삭제 명령을 실행할 때 요청에 x-amz-bypass-legal-retention:true 헤더를 포함합니다.

답 : C, D

이유 : 거버넌스에는 특수 권한이 있으면 객체 버전을 덮어쓰거나 삭제, 잠금 설정을 변경할 수 있다.

 

한 회사가 애플리케이션 로드 밸런서(ALB) 뒤의 Amazon EC2 인스턴스 플릿에 지역 뉴스 웹사이트를 구축합니다. 이 회사는 잘 알려진 소셜 ID 공급자(IdP)를 통해 시청자 인증을 구현하려고 합니다. 회사의 개발팀은 솔루션에 AWS 네이티브 서비스를 사용해야 합니다.

이러한 요구 사항을 충족하는 작업 조합은 무엇입니까? (두 가지 선택)

• A. 소셜 IdP를 사용하여 Amazon Cognito 사용자 풀 구성
• B. OpenID Connect(OIDC) 호환 IdP 엔드포인트 구성
• C. ALB 대상 그룹에서 대상으로 AWS Lambda 권한 부여자를 생성합니다.
• D. 인증 규칙을 추가하기 위해 ALB 리스너를 구성합니다.
• E. Lambda@Edge를 사용하여 ALB에서 시청자 요청을 승인합니다.

답 : A, D

이유 : Cognito User Pool + ALB 리스너 연동 문제

 

회사 웹사이트에는 AWS에서 웹 계층과 데이터베이스 계층이 포함되어 있습니다. 웹 계층은 두 개의 가용 영역에 걸쳐 Auto Scaling 그룹에서 실행되는 Amazon EC2 인스턴스로 구성됩니다. 데이터베이스 계층은 Amazon RDS for MySQL Multi-AZ DB 인스턴스에서 실행됩니다. 데이터베이스 서브넷 네트워크 ACL은 데이터베이스에 액세스해야 하는 웹 서브넷으로만 제한됩니다. 웹 서브넷은 기본 규칙이 적용된 기본 네트워크 ACL을 사용합니다.

회사의 운영 팀은 Auto Scaling 그룹 구성에 세 번째 서브넷을 추가했습니다. Auto Scaling 이벤트가 발생한 후 일부 사용자가 간헐적으로 오류 메시지를 받는다고 보고합니다. 오류 메시지는 서버가 데이터베이스에 연결할 수 없다는 내용입니다. 운영 팀은 라우팅 테이블이 올바르고 모든 보안 그룹에서 필요한 포트가 열려 있는지 확인했습니다.

웹 서버가 DB 인스턴스와 통신할 수 있도록 시스템 운영 관리자는 어떤 조치 조합을 취해야 합니까? (두 가지 선택)

• A. 기본 ACL에서 임시 포트 범위와 소스를 데이터베이스 서브넷으로 지정하여 TCP 유형의 인바운드 허용 규칙을 만듭니다.
• B. 기본 ACL에서 MySQL/Aurora(3306) 유형의 아웃바운드 허용 규칙을 생성합니다. 대상을 데이터베이스 서브넷으로 지정합니다.
• C. 데이터베이스 서브넷의 네트워크 ACL에서 MySQL/Aurora(3306) 유형의 인바운드 허용 규칙을 생성합니다. 소스를 세 번째 웹 서브넷으로 지정합니다.
• D. 데이터베이스 서브넷의 네트워크 ACL에서 임시 포트 범위와 세 번째 웹 서브넷을 대상으로 하는 TCP 유형의 아웃바운드 허용 규칙을 만듭니다.
• E. 데이터베이스 서브넷의 네트워크 ACL에서 MySQL/Aurora(3306) 유형의 아웃바운드 허용 규칙을 생성합니다. 대상을 세 번째 웹 서브넷으로 지정합니다.

답 : C, D

이유 : DB 요청에 따른 인바운드 허용 및 DB 응답에 따른 아웃바운드 허용

 

시스템 운영 관리자가 자동 ​​확장 그룹에 속한 Amazon EC2 인스턴스에 애플리케이션을 배포하려고 합니다. 애플리케이션에 종속성을 설치해야 합니다. 애플리케이션 업데이트는 매주 제공됩니다.

시스템 운영 관리자는 애플리케이션 업데이트를 정기적으로 통합하는 솔루션을 구현해야 합니다. 또한, 이 솔루션은 Amazon 머신 이미지(AMI) 생성 중에 취약점 검사를 수행해야 합니다.

이러한 요구 사항을 충족하는 가장 운영 효율적인 솔루션은 무엇입니까?

• A. Packer를 사용하는 스크립트를 작성합니다. 스크립트를 실행하기 위한 Cron 작업을 예약합니다.
• B. EC2 인스턴스에 애플리케이션과 종속성을 설치합니다. EC2 인스턴스의 AMI를 생성합니다.
• C. 사용자 정의 레시피와 함께 EC2 Image Builder를 사용하여 애플리케이션과 종속성을 설치합니다.
• D. Amazon EventBridge 예약된 규칙을 사용하여 EC2 CreateImage API 작업을 호출합니다.

답 : C

 

 

AnyCompany는 Example Corp를 인수하여 두 회사의 비즈니스 시스템을 통합하려고 합니다. AnyCompany의 IT 부서는 Example Corp의 IT 티켓팅 시스템과 통합해야 합니다.

시스템 운영 관리자는 AnyCompany 계정의 Amazon EC2 인스턴스에 대한 Amazon CloudWatch 알람을 사용하여 Example Corp의 티켓팅 시스템에 새 티켓을 생성하는 솔루션을 구현해야 합니다. 티켓팅 시스템은 새 티켓 생성을 위한 HTTPS 엔드포인트를 제공합니다. 티켓팅 시스템은 다음 JSON 형식의 메시지를 수신합니다.

CloudWatch 알람에서 티켓을 생성하는 방법 중 개발 시간을 최소화하면서 이러한 요구 사항을 충족하는 방법은 무엇입니까?

• A. 적절한 이벤트를 필터링하고 EventBridge API 대상을 대상으로 지정하는 Amazon EventBridge 규칙을 생성합니다. HTTPS 엔드포인트로 이벤트를 전송하도록 EventBridge API 대상을 구성합니다. EventBridge 규칙에서 소스를 티켓팅 시스템과 호환되는 출력으로 변환하는 입력 변환기를 생성합니다.
• B. 적절한 이벤트를 필터링하고 Amazon Kinesis 데이터 스트림을 대상으로 지정하는 Amazon EventBridge 규칙을 생성합니다. Kinesis 데이터 스트림에서 이벤트를 수신하는 AWS Lambda 함수를 생성합니다. Lambda 함수가 AWS Glue 작업을 시작하여 데이터를 변환하고 출력을 HTTPS 엔드포인트로 전달하도록 구성합니다.
• C. 적절한 이벤트를 필터링하고 Amazon Simple Notification Service(Amazon SNS)를 대상으로 지정하는 Amazon EventBridge 규칙을 생성합니다. 이벤트를 변환하여 HTTPS 엔드포인트로 전송하도록 Amazon SNS를 구성합니다.
• D. 적절한 이벤트를 필터링하고 AWS Step Functions 상태 머신을 대상으로 지정하는 Amazon EventBridge 규칙을 생성합니다. Step Functions에서 이벤트를 변환하고 HTTPS 엔드포인트로 전송하는 AWS Lambda 함수와 AWS Glue 작업을 생성합니다.

답 : A

이유 : EventBridge 규칙(CloudWatch 알람 이벤트 필터링) + EventBridge API 대상(외부 HTTPS 엔드포인트로 이벤트 전송) + Input Transformer(JSON 변환) 조합을 사용하면 AWS 완전 관리형으로 구현할 수 있다.

 

시스템 운영 관리자가 Amazon EC2 Auto Scaling 그룹에 새로운 Amazon EC2 스팟 인스턴스 플릿을 프로비저닝해야 합니다. Auto Scaling 그룹은 다양한 인스턴스 유형을 사용합니다. 구성된 플릿은 실행되는 인스턴스 수에 비해 가용성이 가장 높은 풀에서 가져와야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. 자동 확장 그룹의 최대 용량까지 스팟 인스턴스를 시작합니다.
• B. 다각화된 전략을 사용하여 스팟 인스턴스를 시작합니다.
• C. 용량 최적화 전략을 사용하여 스팟 인스턴스를 시작합니다.
• D. Spot Instance Advisor를 활용하여 최적의 Spot 할당 전략을 결정하세요.

답 : C (capacity optimized strategy)

 

SysOps 관리자가 eu-west-2 리전에 사용자 지정 Amazon 머신 이미지(AMI)를 생성하고 이 AMI를 사용하여 Amazon EC2 인스턴스를 시작합니다. SysOps 관리자는 동일한 AMI를 사용하여 다른 두 리전(us-east-1 및 us-east-2)에서 EC2 인스턴스를 시작해야 합니다.

추가 리전에서 사용자 지정 AMI를 사용하려면 SysOps 관리자가 어떻게 해야 합니까?

• A. AMI를 추가 지역에 복사합니다.
• B. AWS Management Console의 커뮤니티 AMI 섹션에서 AMI를 공개합니다.
• C. AMI를 추가 리전에 공유합니다. 필요한 액세스 권한을 할당합니다.
• D. AMI를 새 Amazon S3 버킷에 복사합니다. 추가 리전에 대한 액세스 권한을 AMI에 할당합니다.

답 : A

이유 : 다른 계정이면 공유해야 하지만, 같은 계정 내 다른 지역은 복사(Copy)하면 된다.

 

한 회사가 개인 금융을 위한 대화형 애플리케이션을 개발하고 있습니다. 이 애플리케이션은 Amazon S3에 금융 데이터를 저장하며, 데이터는 암호화되어야 합니다. 회사는 자체 암호화 키를 제공하고 싶어하지 않습니다. 하지만 암호화 키가 언제 사용되었고 누가 사용했는지를 보여주는 감사 추적 기능을 유지하고 싶어합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇일까요?

• A. 클라이언트가 제공한 키를 사용하여 클라이언트 측 암호화를 사용합니다. 암호화된 사용자 데이터를 Amazon S3에 업로드합니다.
• B. S3 관리 암호화 키(SSE-S3)를 사용하여 서버 측 암호화를 사용하여 Amazon S3의 사용자 데이터를 암호화합니다.
• C. 고객이 제공한 암호화 키(SSE-C)를 사용하는 서버 측 암호화를 사용하여 Amazon S3의 사용자 데이터를 암호화합니다.
• D. AWS KMS 관리 암호화 키(SSE-KMS)를 사용하여 서버 측 암호화를 사용하여 Amazon S3의 사용자 데이터를 암호화합니다.

답 : D

이유 : SSE-S3 암호화는 감사 추적 기능을 지원하지 않는다. 감사 추적 기능은 SSE-KMS를 사용해야 한다.

 

한 회사에 Amazon S3 버킷을 생성하는 AWS CloudFormation 템플릿이 있습니다. 사용자가 Active Directory 자격 증명을 사용하여 회사 AWS 계정에 인증하고 CloudFormation 템플릿을 배포하려고 시도합니다. 그러나 스택 생성이 실패합니다.

이 실패의 원인은 무엇일까요? (두 가지 선택)

• A. 사용자의 IAM 정책은 cloudformation:CreateStack 작업을 허용하지 않습니다.
• B. 사용자의 IAM 정책은 cloudformation:CreateStackSet 작업을 허용하지 않습니다.
• C. 사용자의 IAM 정책은 s3:CreateBucket 작업을 허용하지 않습니다.
• D. 사용자의 IAM 정책은 s3:ListBucket 작업을 명시적으로 거부합니다.
• E. 사용자의 IAM 정책은 s3:PutObject 작업을 명시적으로 거부합니다.

답 : A, C

 

Amazon RDS for PostgreSQL DB 클러스터에는 7일 보존 기간의 자동 백업이 활성화되어 있습니다. 시스템 운영 관리자는 원래 DB 클러스터에서 24시간 이내에 생성된 데이터를 사용하여 새 RDS DB 클러스터를 생성해야 합니다.

운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족하는 솔루션은 무엇입니까? (두 가지 선택)

• A. 가장 최근의 자동화된 스냅샷을 확인합니다. 스냅샷을 새 RDS DB 클러스터로 복원합니다.
• B. 기본 데이터베이스 백업 도구를 사용하여 Amazon S3에 데이터베이스를 백업합니다. 새 RDS DB 클러스터를 생성하고 데이터를 새 RDS DB 클러스터에 복원합니다.
• C. 원래 RDS DB 클러스터에 읽기 전용 복제본 인스턴스를 생성합니다. 읽기 전용 복제본을 독립형 DB 클러스터로 승격합니다.
• D. 새 RDS DB 클러스터를 생성합니다. AWS Database Migration Service(AWS DMS)를 사용하여 현재 RDS DB 클러스터에서 새로 생성된 RDS DB 클러스터로 데이터를 마이그레이션합니다.
• E. pg_dump 유틸리티를 사용하여 원래 RDS DB 클러스터의 데이터를 Amazon EC2 인스턴스로 내보냅니다. 새 RDS DB 클러스터를 생성합니다. pg_restore 유틸리티를 사용하여 EC2 인스턴스의 데이터를 새 RDS DB 클러스터로 가져옵니다.

답 : A, C

 

한 회사가 애플리케이션 로드 밸런서(ALB)를 사용하여 Amazon EC2에 호스팅된 글로벌 사용자 기반 웹사이트를 관리하고 있습니다. 웹 서버 부하를 줄이기 위해 시스템 운영 관리자는 ALB를 오리진으로 사용하여 Amazon CloudFront 배포를 구성합니다. 일주일 동안 솔루션을 모니터링한 후, 관리자는 ALB가 여전히 요청을 처리하고 있으며 웹 서버 부하에 변화가 없음을 확인했습니다.

이 문제의 가능한 원인은 무엇입니까? (두 가지 선택)

• A. CloudFront에는 ALB가 원본 액세스 ID로 구성되어 있지 않습니다.
• B. DNS는 여전히 CloudFront 배포 대신 ALB를 가리키고 있습니다.
• C. ALB 보안 그룹은 CloudFront에서 들어오는 트래픽을 허용하지 않습니다.
• D. CloudFront 배포에서는 기본, 최소, 최대 TTL(Time to Live)이 0초로 설정됩니다.
• E. ALB와 연관된 대상 그룹은 스티키 세션에 대해 구성됩니다.

답 : B, D

B 이유 : DNS가 CloudFront 배포 대신 사용자 트래픽을 계속 ALB로 직접 전달하는 경우 요청이 CloudFront를 통해 처리되지 않으며 웹 서버 부하가 감소하지 않습니다.

D 이유 : TTL(Time to Live) 설정이 0초로 설정된 경우 CloudFront가 ALB의 응답을 캐시하지 않고 각 요청을 ALB로 직접 전달합니다.이로 인해 ALB가 모든 요청을 계속 처리하고 웹 서버 부하가 감소하지 않습니다.

 

시스템 운영 관리자는 example.com과 www.example.com의 Amazon Route 53 호스팅 영역이 애플리케이션 로드 밸런서(ALB)를 가리키도록 구성해야 합니다.

이러한 요구 사항을 충족하기 위해 시스템 운영 관리자는 어떤 조치를 취해야 합니까? (두 가지 선택)

• A. example.com에 대한 A 레코드를 구성하여 ALB의 IP 주소를 가리키도록 합니다.
• B. www.example.com에 대한 A 레코드를 구성하여 ALB의 IP 주소를 가리키도록 합니다.
• C. example.com에 대한 별칭 레코드를 구성하여 ALB의 CNAME을 가리킵니다.
• D. www.example.com에 대한 별칭 레코드를 구성하여 Route 53 example.com 레코드를 가리킵니다.
• E. example.com에 대한 CNAME 레코드를 구성하여 ALB의 CNAME을 가리키도록 합니다.

답 : C, D

이유 :

ALB는 내부적으로 IP를 공개하지 않으므로, ALIAS 레코드를 사용해 ALB의 DNS 이름, APEX(Root) 도메인과 매핑해야 된다.

 

시스템 운영 관리자가 온프레미스 웹사이트의 고가용성 문제를 해결하기 위해 Amazon Route 53 DNS 옵션을 평가하고 있습니다. 이 웹사이트는 기본 액티브 서버와 보조 패시브 서버, 두 개의 서버로 구성되어 있습니다. Route 53은 관련 상태 확인에서 2xx 또는 3xx HTTP 코드가 반환되면 트래픽을 기본 서버로 라우팅해야 합니다. 다른 모든 트래픽은 보조 패시브 서버로 전달되어야 합니다. 장애 조치(failover) 레코드 유형, 세트 ID 및 라우팅 정책은 기본 서버와 보조 서버 모두에 대해 적절하게 설정되었습니다.

Route 53을 구성하기 위해 다음으로 취해야 할 단계는 무엇입니까?

• A. 각 서버에 대해 A 레코드를 생성합니다. 레코드를 Route 53 HTTP 상태 확인과 연결합니다.
• B. 각 서버에 대해 A 레코드를 생성합니다. 레코드를 Route 53 TCP 상태 확인과 연결합니다.
• C. 각 서버에 대해 '평가 대상 상태'를 '예'로 설정한 별칭 레코드를 생성합니다. 해당 레코드를 Route 53 HTTP 상태 확인과 연결합니다.
• D. 각 서버에 대해 '평가 대상 상태'를 '예'로 설정한 별칭 레코드를 생성합니다. 해당 레코드를 Route 53 TCP 상태 확인과 연결합니다.

답 : A

이유 : 두 대의 온프레미스 웹 서버에 대해 이야기하고 있는데, 이는 각 서버의 IP 주소가 있다는 것을 의미한다. 별칭은 ELB와 같은 클라우드 리소스에 대한 것이다.