AWS Certified Sysops Adminstrator - Associate (SOA-C02)
위 자격증을 공부하며 알게되는 내용들을 포스팅합니다.
Q1. AWS Organization을 사용하여 여러 AWS 계정을 관리, 모든 사용자가 Amazon S3 버킷을 엑세스 하려고 할때 읽기 권한이 필요하고, S3의 버킷데이터는 회사 외부의 누구도 엑세스 할 수 없어야 한다.
권한을 구성하고, Sysops 관리자가 S3 버킷에 정책을 추가하려고 할때 어떤 매개변수를 제공해야 하는가?
A. *(와일드카드)를 principal로 지정하고 PrincipalOrgId를 조건으로 지정하십시오.
B. 모든 계좌 번호를 본인으로 지정합니다.
C. PrincipalOrgId를 보안 주체로 지정합니다.
D. 조직의 마스터 계정을 주체로 지정합니다.
AWS 정책요소 Principal 보안주체
-
리소스에 대한 엑세스가 허용되거나 거부되는 보안 주체를 지정
-
모든보안주체
Amazon S3 버킷 정책과 같은 리소스 기반 정책의 경우 와일드카드(*)는 모든 사용자의 퍼블릭 엑세스를 지정한다.
"Principal" : "*""Principal" : { "AWS" : "*" }리소스 기반 정책에서
"Principal" { "AWS" : "*" }를Allow과 함께 사용하면 모든 사용자가 AWS에 로그인 하지 않아도 누구나 허용 할 수 있다.질문에서 모든 사용자가 읽을 수 있어야 하고, S3 버킷데이터는 회사 외부 사용자는 엑세스 할 수 없어야 하므로 조건을 추가해야한다.
- AWS: PrincipalOrgID 조건 키
조건키 설명 Operator(s) Value aws:PrincipalOrgID 지원에 액세스 하는 보안 주체가 계정에 속하는지 확인 모든 문자열 연산자 모든 AWS 조직 ID
위 조건을 통해 내 조직의 보안 주체에게만 엑스세를 부여한다.
자세한 예제는 AWS: PrincipalOrgID 조건 키 에서 볼 수 있습니다.
Ans. *(와일드카드)를 principal로 지정하고, PrincipalOrgld를 조건으로 지정한다.
Q2. AWS 클라우드에서 기업은 온라인 쇼핑 플랫폼을 유지 관리합니다. HTTPS 보안은 Elastic Load Balancer(ELB)에서 TLS 인증서를 사용하여 게이트웨이에서 제공됩니다.
최근에 TLS 인증서 만료로 인해 사이트가 중단되었습니다. 향후 이러한 문제를 방지하기 위해 SysOps 관리자는 인증서를 자동으로 갱신하는 시스템을 구현해야 합니다.
이러한 요구 사항을 충족하는 가장 최적의 옵션은 무엇입니까?
A. AWS Certificate Manager(ACM)를 사용하여 공인 인증서를 요청합니다. ACM의 인증서를 ELB와 연결합니다. 18개월마다 인증서를 갱신하도록 예약된 AWS Lambda 함수를 작성합니다.
B. AWS Certificate Manager(ACM)를 사용하여 공인 인증서를 요청합니다. ACM의 인증서를 ELB와 연결합니다. ACM은 인증서 갱신을 자동으로 관리합니다.
C. 타사 인증 기관(CA)에 인증서를 등록합니다. 이 인증서를 AWS Certificate Manager(ACM)로 가져옵니다. ACM의 인증서를 ELB와 연결합니다. ACM은 인증서 갱신을 자동으로 관리합니다.
D. 타사 인증 기관(CA)에 인증서를 등록합니다. CA에서 직접 인증서를 가져오도록 ELB를 구성합니다. 인증서가 만료일로부터 3개월 이내일 때 갱신되도록 ELB에서 인증서 갱신 주기를 설정합니다.
ACM ( AWS Certificate Manager)
: AWS 서비스와 내부 리소스에 사용할 공인 및 사설 SSL/TLS(Secure Sockets Layer/전송 계층 보안)인증서를 프로비저닝, 관리 및 배포를 지원한다.
전송(Transport)계층이란, TCP/IP 4계층 중 3계층을 뜻하고, 통신 노드 간의 연결을 제어하고, 신뢰성 있는 데이터 전송을 담당한다.
| L1 | L2 | L3 | L4 |
|---|---|---|---|
| Network(네트워크 계층) | Internet(인터넷 계층) | Transport Layer(전송 계층) | Application(응용 계층) |
ACM에서 사용할 수 있는 인증서 유형
공인 인증서 – ACM은 ACM 통합 서비스(Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway 등)에 사용되는 공인 인증서의 갱신 및 배포를 관리합니다.
가져온 인증서 – Amazon CloudFront, Elastic Load Balancing 또는 Amazon API Gateway에서 타사 인증서를 사용하려면, AWS Management Console, AWS CLI 또는 ACM API를 사용하여 해당 인증서를 ACM으로 가져와야 할 수 있습니다. ACM은 가져온 인증서에 대한 갱신 프로세스를 관리하지 않습니다. 따라서 가져온 인증서의 만료 날짜를 모니터링하여 만료되기 이전에 갱신하는 것은 고객의 책임입니다. AWS 관리 콘솔을 사용하면 가져온 인증서의 만료 날짜를 모니터링하고 만료되는 인증서를 대체할 새로운 서드 파티 인증서를 가져올 수 있습니다.
타사 인증서를 가져온 경우에는 자동 갱신을 할 수 없으므로 C,D는 틀린설명 이다.
Ans. B. AWS Certificate Manager(ACM)를 사용하여 공인 인증서를 요청합니다. ACM의 인증서를 ELB와 연결합니다. ACM은 인증서 갱신을 자동으로 관리합니다.
Q3. 기업에서 프로덕션 파일 서버를 AWS로 이전하는 중입니다. 가용 영역에 액세스할 수 없게 되거나 시스템 유지 관리가 수행되는 경우 파일 서버에 저장된 모든 데이터에 액세스할 수 있어야 합니다. 파일 서버는 SMB 프로토콜을 통해 사용자가 액세스할 수 있어야 합니다. 또한 사용자는 Windows ACL을 사용하여 파일 권한을 관리할 수 있어야 합니다.
어떤 솔루션이 이러한 기준을 충족할까요?
A. 단일 AWS Storage Gateway 파일 게이트웨이를 생성합니다.
B. Windows 파일 서버 다중 AZ 파일 시스템용 Amazon FSx를 생성합니다.
C. 2개의 가용 영역에 2개의 AWS Storage Gateway 파일 게이트웨이를 배포합니다. 파일 게이트웨이 앞에 Application Load Balancer를 구성합니다.
D. Windows 파일 서버 단일 AZ 2 파일 시스템용 Amazon FSx 2개를 배포합니다. Microsoft DFSR(분산 파일 시스템 복제)을 구성합니다.
SMB 프로토콜을 사용하려면 FSx 시스템을 사용해야하므로 A,C는 틀린설명이고,
가용 영역에 액세스 할 수 있어야한다고 했으므로 다중 AZ 파일 시스템을 사용하는 것이 맞는 설명
Ans. C
Q4.
기업은 Amazon Elastic File System(Amazon EFS) 파일 시스템을 사용하여 여러 Linux Amazon EC2 인스턴스에서 파일을 공유합니다. 15분 이상 동안 SysOps 관리자는 파일 시스템의 PercentIOLimit 통계가 지속적으로 100%로 설정되어 있음을 확인합니다. 또한 SysOps 관리자는 해당 파일 시스템에 대한 읽기 및 쓰기를 담당하는 프로그램이 제대로 수행되지 않는 것을 관찰했습니다. 파일 시스템에 액세스하는 동안 프로그램은 높은 처리량과 IOPS를 요구합니다.
PercentIOLimit 지표의 지속적으로 높은 값을 수정하려면 SysOps 관리자가 무엇을 해야 합니까?
A. 최대 I/O 성능 모드를 사용하는 새 EFS 파일 시스템을 만듭니다. AWS DataSync를 사용하여 데이터를 새 EFS 파일 시스템으로 마이그레이션하십시오.
B. EFS 수명 주기 정책을 만들어 향후 파일을 IA(Infrequent Access) 스토리지 클래스로 전환하여 성능을 향상시킵니다. AWS DataSync를 사용하여 기존 데이터를 IA 스토리지로 마이그레이션합니다.
C. 기존 EFS 파일 시스템을 수정하고 최대 I/O 성능 모드를 활성화합니다.
D. 기존 EFS 파일 시스템을 수정하고 프로비저닝된 처리량 모드를 활성화합니다.
AWS EFS 성능 , 범용 및 최대 I/O모드 차이점
AWS EFS는 범용 및 최대 I/O 모드로 나뉘는데, 대략적인 차이점은 다음과 같다.
- 초당 파일 시스템 작업 수
범용 모드는 초당 작업 제한이 있지만 , 최대 I/O모드는 작업 제한이 없다. - 파일 시스템 지연시간
범용 모드는 지연 시간이 짧고, 지연 시간에 민감한 작업에 적합하다. 최대 I/O 모드는 작업당 지연 시간이 범용 모드에 비해 높다.
파일 시스템을 생성한 이후에는 성능 모드를 변경할 수 없다.
C,D의 경우 기존 EFS를 수정한다고 얘기했으므로 틀린 설명.
Ans. A
Q5.
Amazon S3 인벤토리 보고서에 따르면 S3 버킷의 100만 개 이상의 객체가 암호화되지 않은 것으로 나타났습니다. 이러한 개체는 암호화되어야 하며 향후 모든 개체는 작성 시 암호화되어야 합니다.
SysOps 관리자는 이러한 요구 사항을 충족하기 위해 어떤 작업 조합을 취해야 합니까? (2개를 선택하세요.)
A. S3 버킷에 대한 구성 변경 사항에 대해 평가를 실행하는 AWS Config 규칙을 생성합니다. 암호화되지 않은 객체가 발견되면 AWS Systems Manager 자동화 문서를 실행하여 객체를 제자리에서 암호화합니다.
B. S3 버킷의 속성을 편집하여 기본 서버 측 암호화를 활성화합니다.
C. S3 Select를 사용하여 S3 인벤토리 보고서를 필터링하여 암호화되지 않은 모든 객체를 찾습니다. 암호화가 활성화된 상태에서 각 객체를 복사하는 S3 배치 작업을 생성합니다.
D. S3 Select를 사용하여 S3 인벤토리 보고서를 필터링하여 암호화되지 않은 모든 객체를 찾습니다. 각 객체 이름을 Amazon Simple Queue Service(Amazon SQS) 대기열에 메시지로 보냅니다. SQS 대기열을 사용하여 AWS Lambda 함수를 호출하여 "Encryption" 키와 "SSE-KMS" 값으로 각 객체에 태그를 지정합니다.
E. S3 이벤트 알림을 사용하여 S3 버킷에 대한 모든 새로운 객체 생성 이벤트에 대해 AWS Lambda 함수를 호출합니다. 객체가 암호화되었는지 확인하고 암호화되지 않은 객체가 발견되면 AWS Systems Manager 자동화 문서를 실행하여 제자리에서 객체를 암호화하도록 Lambda 함수를 구성합니다.
먼저 문제지문에서 알 수 있듯 작업 조합 2개를 선택 하라고 했으므로, 2개의 솔루션이 합쳐져 요구사항을 충족시키는 지문을 선택해야한다.
다음 배치 작업을 통해 기존의 암호화되지 않은 객체에 대해 암호화를 시킬 수 있다. 향후 생성되는 S3 객체도 암호화되어야 하므로, S3 버킷의 속성을 편집하여 새로운 객체에 대해 암호화가 되도록 설정한다.
Ans. B, C
Q6. 기업은 AWS 계정 내에서 IAM CreateUser API 요청이 수행될 때마다 이메일을 통해 알림을 받기를 원할 것입니다.
이 요구 사항을 달성하기 위해 SysOps 관리자는 어떤 활동을 조합하여 수행해야 합니까? (2개를 선택하세요.)
A. AWS CloudTrail을 이벤트 소스로 사용하고 IAM CreateUser를 이벤트 패턴에 대한 특정 API 호출로 사용하여 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다.
B. Amazon CloudSearch를 이벤트 소스로 사용하고 IAM CreateUser를 이벤트 패턴에 대한 특정 API 호출로 사용하여 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다.
C. AWS IAM Access Analyzer를 이벤트 소스로 사용하고 IAM CreateUser를 이벤트 패턴에 대한 특정 API 호출로 사용하여 Amazon EventBridge(Amazon CloudWatch Events) 규칙을 생성합니다.
D. 이메일 구독을 통해 Amazon Simple Notification Service(Amazon SNS) 주제를 이벤트 대상으로 사용합니다.
E. 이메일 구독이 있는 이벤트 대상으로 Amazon Simple Email Service(Amazon SES) 알림을 사용합니다.
위 내용을 통해 AWS CloudTrail, Amazon CloudWatch Logs, Amazon CloudWatch 및 Amazon SNS 조합을 사용하면 알림 없이 AWS IAM(Identity and Access Management) 구성이 변경되지 않도록 할 수 있다.
Cloud Search는 특정 PAI 호출을 사용 하여 규칙을 생성할 수 없다.
Ans A, D
Q7 .SysOps 관리자는 평균 CPU 사용량을 최소 60분 동안 모니터링하기 위해 평균 CPU 사용량이 10% 미만인 모든 Amazon EC2 인스턴스를 자동으로 종료하는 시스템을 개발해야 합니다.
운영 효율성 측면에서 이러한 목표를 가장 효과적으로 충족시키는 옵션은 무엇입니까?
A. 각 EC2 인스턴스에 cron 작업을 구현하여 60분마다 한 번씩 실행하고 현재 CPU 사용률을 계산합니다. CPU 사용률이 10% 미만인 경우 인스턴스 종료를 시작합니다.
B. 각 EC2 인스턴스에 대해 Amazon CloudWatch 경보를 구현하여 평균 CPU 사용률을 모니터링합니다. 기간을 1시간으로 설정하고 임계값을 10%로 설정합니다. 경보에 대한 EC2 작업을 구성하여 인스턴스를 중지합니다.
C. 각 EC2 인스턴스에 통합 Amazon CloudWatch 에이전트를 설치하고 기본 수준의 사전 정의된 지표 세트를 활성화합니다. 60분마다 CPU 사용률을 기록하고 CPU 사용률이 10% 미만인 경우 인스턴스 종료를 시작합니다.
D. AWS Systems Manager Run Command를 사용하여 60분마다 각 EC2 인스턴스에서 CPU 사용률을 얻습니다. CPU 사용률이 10% 미만인 경우 인스턴스 종료를 시작합니다.
CPU 사용량 경보 생성 , EC2 인스턴스를 중지, 종료, 재부팅 또는 복구하는 경보 생성
Ans. B
Q8 . AWS Lambda에서 기업은 서버리스 애플리케이션을 운영하고 있습니다. 데이터는 Amazon RDS for MySQL 데이터베이스 인스턴스에 저장됩니다. 사용이 점차 증가하고 있으며 최근 Lambda 함수가 데이터베이스에 연결을 시도할 때 "너무 많은 연결" 문제가 여러 번 발생했습니다. 조직은 이미 최대 허용 최대 연결 값을 활용하도록 데이터베이스를 구성했습니다.
이러한 오류를 해결하기 위해 SysOps 관리자가 취해야 할 가장 좋은 조치는 무엇입니까?
A. 데이터베이스의 읽기 전용 복제본을 만듭니다. Amazon Route 53을 사용하여 두 데이터베이스를 모두 포함하는 가중치 DNS 레코드를 생성합니다.
B. Amazon RDS 프록시를 사용하여 프록시를 생성합니다. Lambda 함수에서 연결 문자열을 업데이트합니다.
C. 데이터베이스가 사용하는 파라미터 그룹의 max_connect_errors 파라미터 값을 증가시킨다.
D. Lambda 함수의 예약된 동시성을 더 높은 값으로 업데이트 합니다.
AWS Lambda 와 함께 Amazon RDS 프록시 사용
RDS proxy : 애플리케이션 과 RDS의 중재자 역할
- 데이터 베이스에 연결 풀을 설정하고 관리하여 애플리케이션이 더 적은 수의 데이터베이스 연결을 할 수 있도록 한다.
- Lambda 함수는 데이터베이스 인스턴스 대신 RDS Proxy와 상호 작용한다. 동시 Lambda 함수에 의해 생성된 많은 동시 연결을 확장하는 데 필요한 연결 풀링을 처리합니다.
이를 통해 Lambda 애플리케이션은 모든 함수 호출에 대해 새 연결을 생성하는 대신 기존 연결을 재사용할 수 있습니다. - RDS 프록시는 데이터베이스 인스턴스가 연결 관리를 위해 더 적은 메모리와 CPU 리소스를 필요로 하도록 자동으로 확장된다. 또한 성능을 향상시키기 위해 웜 연결 풀을 사용합니다. RDS Proxy를 사용하면 유휴 연결 정리 및 연결 풀 관리를 처리하는 코드가 더 이상 필요하지 않습니다. 함수 코드가 더 깨끗하고 간단하며 유지 관리하기 쉽다.
Ans. B
Q9. 기업의 SysOps 관리자는 다양한 AWS 계정에서 향후 모든 EC2 인스턴스에 대한 템플릿으로 사용될 맞춤형 소프트웨어가 포함된 Amazon EC2 인스턴스를 생성했습니다. AWS 관리형 키는 EC2 인스턴스와 연결된 Amazon Elastic Block Store(Amazon EBS) 볼륨을 암호화하는 데 사용됩니다.
SysOps 관리자는 사용자 지정 EC2 인스턴스의 Amazon 머신 이미지(AMI)를 생성하고 이를 회사의 다른 AWS 계정에 배포하려고 합니다. 조직은 AWS Key Management Service(AWS KMS) 키를 사용하여 모든 AMI를 보호하고 공유 AMI에 대한 액세스를 승인된 AWS 계정으로 제한할 것을 요구합니다.
AMI를 다른 AWS 계정과 안전하게 공유할 수 있는 솔루션은 무엇입니까?
A. AMI가 생성된 계정에서 고객 마스터 키(CMK)를 생성합니다. AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 키 정책을 수정합니다. AMI를 공유할 AWS 계정 번호를 지정하도록 AMI 권한을 수정합니다.
B. AMI가 생성된 계정에서 고객 마스터 키(CMK)를 생성합니다. AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 키 정책을 수정합니다. AMI 사본을 생성하고 CMK를 지정합니다. 복사한 AMI에 대한 권한을 수정하여 AMI를 공유할 AWS 계정 번호를 지정합니다.
C. AMI가 생성된 계정에서 고객 마스터 키(CMK)를 생성합니다. AMI를 공유할 AWS 계정에 kms:DescribeKey, kms:ReEncrypt, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 키 정책을 수정합니다. AMI 사본을 생성하고 CMK를 지정합니다. 복사한 AMI에 대한 권한을 수정하여 공개합니다.
D. AMI가 생성된 계정에서 AMI가 공유될 AWS 계정에 kms:DescribeKey, kms:ReEncrypt, kms:CreateGrant 및 kms:Decrypt 권한을 제공하도록 AWS 관리형 키의 키 정책을 수정합니다. 와 함께. AMI를 공유할 AWS 계정 번호를 지정하도록 AMI 권한을 수정합니다.
AMI 복사
고려 사항
-
IAM 정책을 사용하여 사용자에게 AMI 복사 권한을 부여하거나 거부할 수 있습니다. CopyImage 작업에 대해 지정된 리소스 수준 권한은 새 AMI에만 적용됩니다. 소스 AMI에 대한 리소스 수준 권한은 지정할 수 없습니다.
-
AWS에서는 소스 AMI의 시작 권한, 사용자 정의 태그 또는 Amazon S3 버킷 권한이 새 AMI로 복사되지 않습니다. 복사 작업이 완료된 후 시작 권한, 사용자 정의 태그 및 Amazon S3 버킷 권한을 새 AMI에 적용할 수 있습니다.
-
AWS Marketplace AMI를 사용하거나 AWS Marketplace AMI에서 직접 또는 간접적으로 파생된 AMI를 사용하는 경우 계정 간에 복사할 수 없습니다. 대신에 AWS Marketplace AMI를 사용하여 EC2 인스턴스를 시작한 다음, 해당 인스턴스에서 AMI를 생성합니다. 자세한 내용은 Amazon EBS-backed Linux AMI 생성 섹션을 참조하세요.
이문제는 A,B 중에서 논의가 많다. 하지만 AWS에는 AWS 관리 키로 암호화된 모든 항목을 계정 간에 공유할 수 없다는 제한이 있어서, 사본을 만들고 공유하려면 고객 관리 키로 사본을 암호화해야 한다.
Ans. B
