AWS SAA 공부 (1)

1번

• 소비자 디바이스에서 센서 데이터를 수집하는 3계층 환경 호스팅
• 트래픽은 Load Balancer 를 통해 라우팅
• 웹 계층은 EC2 인스턴스로 서비스
• DB는 애플리케이션의 경우 EC2 인스턴스로 라우팅
• 로드밸런서를 WAF 로 연결하는건 저장 보안에 대한 내용
• 데이터 보안을 위해 웹 계층은 TLS 수신기를 구성하고 Load Balancer 에 서버 인증서를 추가
• TLS : 인터넷에서 정보를 암호화해서 송수신하는 프로토콜, SSL에 기반한 기술로 표준형 프로토콜
• AWS shield 란? DDOS 공격 보호

2번

• AWS Direct Connect 연결을 활용하여, us-east-1 리전의 1페타바이트 S3 버킷을 us-west-2 리전으로 s3버킷에 데이터 복제 방법은?
• S3 교차 리전 복제 구성을 추가하여 S3버킷으로 데이터 복사
• 지역 이동이 핵심이다.

3번

• 하이브리트 애플리케이션의 가용성 및 성능을 향상시키기 위해,
• 앱은 EC2 인스턴스에서 호스팅되는 TCP 기반 워크로드와 On Premise에 보관되는 상태 비저장 UDP 기반 작업으로 구성됨
• 가용성과 성능 향상을 위해 어떻게?
  -> Performance 성능은 Accelerator 로 기억
  -> TCP - NLB, UDP - NLB 둘다 NLB로 처리

4번

• 한 웹 서버는 디비와 함께 퍼블릭 서브넷에 구축된 반면, 다른 한 웹 서버와 db는 프라이빗 서프넷에 구축
• 기본 네트워크 ACL 설정은 모든 서브넷 구축하는데 사용되며, VPC의 기본 보안 그룹은 새 사용자 지정 보안 그룹으로 대체
• 웹 서버는 SSL 연결을 사용하는 사용자만 액세스 되어야함
• DB는 퍼블릭 서브넷에서만 생성되는 웹 레이어에 접근 가능
• IP 범위 182.20.0.0/16 에서 인바운드, 아웃바운드 모두 트래픽 차단
• 어떻게?
• 포트 3306에 대한 인바운드 규칙 사용하여 서버 보안 그룹 만들고, 소스를 웹서버 보안그룹으로 지정
• anywhere(0.0.0.0/0) HTTPS 포트 443 트래픽에 대한 인바운드 규칙 사용하여 보안 그룹 만들고 182.20.0.0/16에 대한 네트워크 ACL 인바운드 및 아웃 바운드 거부 규칙 만듬
• nACL 은 서브넷 에서, 보안그룹은 서브넷 내 인스턴스에서 사용 가능
• Security Group 에서는 인스턴스 레벨에서의 Allow 설정만 가능, 명시적으로 Deny 설정 불가, 반면 서브넷 레벨에서는 NACL 에서 Allow, Deny 설정 모두 가능

5번

• 관리자가 가상화폐 관련 사이버 공격으로부터 조직을 보호하기 위해 사용할 수 있는 AWS 서비스는?
• 아마존 GuardDuty
• Cognito : 회원관리
• GuardDuty : 외부 침입 분석 및 방어
• Inspector : 내부 취약점 분석(모니터만 가능)
• Macie : 민감한 개인정보 관리

6번

• 코드를 수정하지 않고, 데이터베이스 다운타임을 최소화 하는 방법은?
• 다중 AZ 옵션 지정(Multi-AZ)하고 기존 DB Instance 에 변환
• Amazon Route 53 은 DNS 웹 서비스인데, 트래픽의 흐름을 로드밸런서 등을 통해 트래픽 관리하는것임

7번

• S3 스펙에 대해
• Standard : 모든 데이터 유형에 적합한 범용 스토리지, 대개 자주 액세스 하는 데이터에 사용됨 (Infrequent Access 는 라이브 상태가 된 지 오래되었지만, 밀리 초 단위 액세스 성능이 요구되는 자주 액세스 하지 않는 데이터 용)
• Intelligent - Tiering : 액세스 패턴을 알 수 없거나 액세스 패턴이 변경되는 데이터에 자동 비용 절감 효과
• One Zone - Infrequent Access : 밀리초 단위 액세스 성능이 요구되는 다시 생성 가능한 자주 액세스하지 않는 데이터용
• S3 Glacier Instant Retrieval : 밀리초 단위의 즉각적인 검색을 이용하여 분기에 한 번 액세스 하는 장기 아카이브 데이터용( 자주 접근하지 않을때, Access 비용이 들기 때문)
• S3 Glacier Flecible Retrieval : 검색 옵션이 1분부터 12시간까지인 장기 백업 및 아카이브용
• S3 Glacier Deep Archive : 일년에 한두 번 액세스하고 12시간 이내에 복원할 수 있는 장기 데이터 아카이브용

8번

• 온프레미스 데이터센터에서 AWS 상용기성 애플리케이션으로 마이그레이션, 소프트웨어는 예측 가능한 용량 및 가동 시간 요구 사향과 함께 소켓 및 코어 단위로 라이선스 부여
• EC2 전용 예약 호스트
• 고객이 core 단위 s/w 라이센스 보유시는 무조건 전용 호스트
• 예측 가능하므로, 예약임
• 인스턴스는 같이 쓰는 장비 느낌임
• 온디맨드 인스턴스 : 약정 없이 초당 사용한 만큼 비용 지불
• 스팟 인스턴스 : 사용 안하는 인스턴스를 경매 방식으로 구매하여 사용
• 예약 인스턴스 : 예측 가능한 경우에 유용
• Saving Plan : 1년 또는 3년 기간의 일정 사용량을 약정하여 요금의 인스턴스 사용
• 전용 호스트 : 물리적인 전용 서버 할당 받아 사용, 라이센스 사용 가능
• 전용 인스턴스 : 사용자 라이센스 사용 불가

9번

• On-Premise 에서 데이터 분석과 시각화 및 데이터 유지 관리
• AWS Storage Gateway for files : On-Premise 소프트웨어 클라우드 기반 스토리지에 연결하여 데이터 보안 기능으로 AWS 에 데이터를 저장
• Redshift : 쿼리속도를 향상사키는 자동화를 통해 최대 3배 더 나은 가격대비 성능
• DataSync : Storage GW 비슷하지만, 파일만 지원, 데이터 카피 지원, 계속적인 복제 가능
• Transfer Family : FTP등의 파일 전송기술로 데이터를 전송할 수 있는 방식(전송에 주력)
• EFS(Elastic File System) : NFS 프로토콜을 이용하는 리눅스 OS에서 사용되는 네트워크 파일 스토리지
• 수십~수백대의 EC2를 하나의 EFS로 연결
• EBS(Elastic Block Store) : 동일한 가용 영역에 있는 1개의 EC2에만 연결 가능, 여러개의 EBS볼륨 생성해서 EC2에 연결 가능(N:1)

10번

• 2티어 애플리케이션, 싱글 AZ EC2 & Multi-AZ RDS, 새 관리자는 highly accessibility 를 원할 경우에
• Multi-AZ EC2 Auto Scaling을 사용하도록 애플리케이션을 구성하고, Application Load Balancer 생성

11번

• 한 비즈니스에서 로드 밸런싱된 프론트엔드, 컨테이너 기반 응용 프로그램 및 relational db 구축중인데, 사람의 개입이 거의 필요하지 않는 접근성이 높은 시스템 설계 필요 (highly accessibility)
• 다중 AZ모드에서 RDS DB 인스턴스 생성
• Fargate 시작 유형으로 Amazon Elastic Container Service 클러스트를 생성하여 동적 애플리케이션 로드 처리 (Fargate 는 정답확률 높음)

12번

• DDos 공격 방어
• WAF, SHIELD,

13번

• 일반적인 보안 제한을 유지하면서 AWS Organizations를 통해 개별 AWS 계정을 개발자에게 제공하는 보안 솔루션 개발중, 개별 개발자는 자신의 AWS 계정에 루트 사용자 액세스 권한을 갖기때문에, 새로운 개발자 계정에 배포된 AWS CloudTrail 구성이 업데이트 되지 않았는지 체그하기위해 해야하는 활동은?
• AWS CloudTrail : 거버넌스, 규정 준수, 운영 및 위험 감사 활성화 하는 AWS 서비스
• IAM의 중요한 개념 : 정책을 만들어서, user 또는 user group에 Role 을 부여함
• AWS Organizations : 계정관리 서비스 모델과 비교해서, SCP(Service Control Policies) -> account (Organizational Units)의 형태 개념

14번

• AWS 전환하고 싶은데, 3 티어(Web, Application, MySQL)로 나뉘어져 있음, 인스턴스 또는 클러스터 관리할 필요 없이 할라면 어떤 조합을 사용해야하는지?
• Amazon Aurora 서버리스(DB) , Fargate(Application)
• AWS 서버리스 서비스 : Lambda, Fargate, S3, DynamoDB, Aurora, SNS, SQS, API Gateway

15번

• EC2 인스턴스에서 호스팅되고, ALB(Application Load Balancer)에서 관리할 웹 앱 개발중, 악의적인 인터넷 활동 및 공격에 대한 복원력과 새로 발견된 취약점 및 노출에 대해 보호하기 위한 사항은?
• AWS Shield Advanced에 가입하고 일반적인 취약점과 노출을 차단, DDOs도 방어 (WAF는 자동으로 포함)
• WAF 는 취약점밑 노출만 보호함

16번

• S3에서 호스팅 되는 웹 사이트를 자주 수정해야하는 솔루션 개발중, 규정 준수 요구 사항으로는 이전 버전의 개체는 거의 액세스 되지 않으며, 2년 후에는 제거해야함
• S3 Glacier 로 라이프 설정 (아카이브 용)

17번

• 3 Tier 계층, Web : EC2 + ALB, Middle : EC2 3대, SQS를 통해 웹 티어에서 격리, 백엔드 : DynamoDB
  - SQS(Simple Queue Service) : 마이크로 서비스, 분산 시스템 및 서버리스 애플리케이션을 쉽게 분리하고 확장할 수 있도록 지원하는 완전관리형 메세지 대기열 서비스 -> Auto Scaling 으로 해결

18번

• EC2 인스턴스에 분산 데이터베이스를 구현할 때, 단일 인스턴스 손실을 견딜 수 있도록 여러 인스턴스에 걸쳐 모든 데이터 복제, 서버당 초당 수백만건의 트랜잭션을 수용하기 위해 대기 시간이 짧고 처리량이 높은 블록 스토리지 옵션 어떤걸로 사용해야할지?
• EC2 인스턴스 스토어 : 데이터 복제에 가장 적합함(IOPS(속도)가 높음), 임시 저장소 느낌, 중요한 장기 데이터는 S3, EBS, EFS 적합함

19번

• 웹 애플리케이션은 EC2 에서 호스팅 되고 있고, 유저가 업로드한 문서는 EBS에 저장하고 있음. 이 업데이트가 적용된 후 사용자는 페이지를 새로 고칠때마다 페이지의 일부를 볼 수 있지만, 전체를 볼 수 없는데 해결 방안은?
• EFS를 사용하자
• EBS와 EFS의 가장 큰 차이점중 하나는, EBS는 단일 AZ안에서만 접근이 가능한 저장소인 반면, EFS는 다중 AZ안에서도 접근이 가능함. 그래서 EBS -> EFS로 마이그레이션이 필요

20번

• 여러 부서에 대해 S3 버킷을 다른 부서들과 공유할 경우 가장 적은 노력이 드는 솔루션은?
• 다른 부서에 대한 교차 계정 액세스를 허용하도록 S3 버킷 정책 설정

21번

• ELB를 사용해서 EC2 인스턴스에서 호스팅 될 새로운 온라인 서비스 개발중, 하지만, 많은 클라이언트는 방화벽에 허용된 IP 주소와만 통신 가능(화이트 리스트 방식), 어떤 권장 사항을 제공해야함?
• NLB(Network Load Balancer) 사용하면 됨
• NLB : EIP(Elastic IP Address, 고정된 IP 주소) 연결 가능, L4, 단순하지만 빠름
• ALB(Application Load Balancer) : L7 스위치로 스마트하지만, NLB에 비해 다소 느리고, EIP 연결 불가
• Classic Load Balancer : AWS 초창기 부터 서비스되던 L4

22번

• 온라인 마켓플레이스 웹 애플리케이션 호스팅에서, 피크 시간 동안 수십만명의 사용자에게 서비스를 제공, 다양한 매부 시스템과 수백만 건의 금융 거래에 대한 정보를 공유하기 위해 실시간 솔루션 필요, 빠른 검색을 위해 문서 데이터 베이스에 저장하기 전에 민감한 데이터 제거하기 위한 트랜잭션 필요, 어떤 권장 사항을 제시해야하는가?
• Kinesis Data Streams로 스트리밍 후 AWS Lambda를 사용하여 민감한 데이터 제거 후 DynamoDB에 저장함
• Kinesis Data Streams : 실시간으로 데이터 수집 및 캡쳐 (수동 확장, 프로비저닝 필요, 일반적으로 24시간동안 스트리밍 제공, 추가비용 낼 경우 최대 7일)
• Kinesis Data Firegose : 실시간으로 데이터 처리후 분석툴로 로드 전송 (자동 확장 가능, 일괄 처리, 암호화 및 압축 가능, S3, Elasticsearch Service 또는 Redshift로 스트리밍 가능)

23번

• EC2 요금을 비교하는 그래프를 작성하기 위해 심층 연구를 수행중, 어떻게 데이터를 생성하는게 옳을까?
• Cost Explorer : 빌링쪽 그래프로 시간에 따른 AWS 비용 및 사용량의 시각화, 이해 및 관리에 좋음

24번

• 원래 웹 사이트에 액세스 할 수 없는 경우에 고객을 백업된 정적 오류 페이지로 안내하는 솔루션 개발중인데, 주요 웹사이트의 DNS 레코드는 Route 53에 보관되며, 도메인은 ALB(Application Load Balancer)를 참조한다. 해당 내용을 개발하기 위해서 사용되는 구성은?
• Route 53 Active-passive 장애 조치 구성을 설정한다. Route 53은 서버의 강태를 모니터링 하는 기능으로써, 상태가 좋지 않은 경우 다른 서버로 라우팅하는 장애조치를 취함 (장애조치: 기본 라우팅이 실패하면 보조로 자동 라우팅 되는 방식)

25번

• 미국과 유럽의 사용자가 존재하는 웹 응용프로그램, 프로그램은 db계층과 웹 서버 계층으로 나뉘어짐, db계층은 물리적으로 가까운 us-east-1에 위치한 mssql db에 구성, Route 53 지리 근접 라우팅은 가장 가까운 리전의 인스턴스로 트래픽을 라우팅 하는데 사용됨, 하지만, 유럽 사용자는 미국 사용자와 동일한 수준의 쿼리 성능을 얻지 못하고 있는데 어떤 개선이 이루어져야 하는가?
• DB를 MySql 호환모드에서 Aurora 글로벌 데이터 베이스로 마이그레이션 한 후 유럽 리전중 하나에서 읽기전용 복제본을 구성
• Aurora 글로벌 데이터 베이스 : 단일 Aurora db를 여러 AWS 리전으로 확장해줌, db 성능에 영향 주지 않고 복제하고 빠르게 재해 복구 가능

26번

• 보안팀은 90일 마다 모든 IAM 사용자의 액세스 키를 교체해야하는데, 키가 오래된것이 발견되면 비활성화 하고 제거해야한다. 90일 이상 된 키를 감지하고 수정하려할때 최소한의 운영노력인 솔루션은?
• AWS Config 규칙을 생성하는데, EventBridge 규칙을 정의하고 키를 제거하는 AWS Lambda 함수를 트리거 한다.
• 보통 완전 관리형인 Serverless가 답인 경우가 많아서 Lambda Function 이 자주 답임

27번

• ECS(Elastic Container Service)를 활용하여 애플리케이션 호스팅 고가용성 보장하기 위해 한 가용영역의 노드를 사용할 수 없어도 애플리케이션 업데이트 가능하게 해야하며, 초당 100개의 요청을 받을것을 예상하는데 각 컨테이너 작업은 초당 최소 60개의 요청 처리 가능, minimum healthy percent 파라미터가 50%로 설정되고 maximum healthy percent 파라미터가 100%로 설정된 롤링 업데이트 배포 모드를 사용하도록 ECS를 구성했는데 요구사항을 충족하는 가용 영역 구성은?
• 3개의 가용영역에 애플리케이션을 배포하면 각 가용영역에 2개씩 작업이 수행된다. 왜냐면, 3개중 1개가 안사용되면 2개인데 각 가용영역당 2개기 때문에 총 4개의 task 설정 가능인데 min healthy percent 가 50% 이므로 2개디 때문에 2개의 애플리케이션 돌릴 수 있음

28번

• 데이터 레이크를 배포할때, 설계자는 전송 및 저장 데이터에 대한 암호화 접근 방식을 설명해야 하는데, 키는 90일마다 교체해야하며, 키 사용자와 관리자 사이의 엄격한 권한 분리가 있어야 하며 키 사용량 모니터링이 가능해야하는데 어떤 액션을 권장해야할까?
• 고객 관리형 고객 마스터 키(CMK), KMS 관리형 키(SSE-KMS)를 사용한 서버측 암호화
• AWS 관리형 고객 마스터 키는 3년마다 자동으로 교체되며 이 교체 일정은 변경할 수 없음
• S3 관리형 키는 고유한 키값으로 암호화/kms 관리형 키는 이미 생성한 고객 관리형 키를 지정할 수 있음