SAP 영역 1 - 조직의 복잡성을 고려한 솔루션 설계

첫 번째로는 작업 설명 1 ‘네트워크 연결 전략 설계’에 관한 것입니다. 이 작업 설명의 시험 문제는 다중 리전 글로벌 인프라 설계에 대한 지식을 테스트합니다. 이 동영상에서는 다중 VPC의 연결 옵션, 서비스 엔드포인트 사용, AWS 도구를 사용한 트래픽 흐름 문제 해결에 대한 주제를 다룹니다.

 

다음으로는 두 번째 작업 설명인 ‘보안 제어 규정’을 검토합니다. 이 작업 설명은 복잡한 조직을 위한 보안 모범 사례에 대한 지식을 평가합니다. 검토된 주제에는 계정 간 액세스 관리, 암호화 전략, 중앙 집중식 보안 이벤트 감사 등이 포함됩니다.

 

세 번째로는 작업 설명 3 ‘신뢰할 수 있고 탄력적인 아키텍처 설계’에 대해 논의합니다. 이 작업 설명은 재해 복구 및 장애 관리에 대한 지식을 평가합니다. 검토된 주제에는 복구 시점 목표 및 복구 시간 목표에 기반한 재해 복구 솔루션 설계, 효과적인 백업 및 복원 전략 설계 등이 포함됩니다.

 

다음은 작업 설명 4, ‘다중 계정 AWS 환경 설계’에 대한 단원입니다. 다중 계정 거버넌스, 중앙 집중식 로깅 및 이벤트 알림, 환경 간에 AWS 리소스 공유에 대해 살펴봅니다.

 

마지막에서는 작업 설명 5 ‘비용 최적화 및 가시성 전략 결정’에 대해 설명합니다. 이 작업 설명의 문제는 구매 옵션이 비용 및 성능에 미치는 영향에 대한 이해도를 평가합니다. 이 동영상에서는 태깅 전략, AWS 구매 옵션, AWS 도구를 사용한 비용 및 사용량 모니터링에 대해 설명합니다.

 

마지막으로, 다음에는 영역 1 ‘조직의 복잡성을 고려한 솔루션 설계’의 샘플 문제를 살펴보는 세 개의 연습 문제가 이어집니다.

 

---

네트워크 연결 전략 아키텍트

AWS에서 복잡한 네트워크를 관리하려면 프라이빗 및 퍼블릭 인터넷으로의 트래픽 흐름을 원활히 하기 위해 서로 다른 계정 및 리전의 여러 AWS VPC를 서로 연결하거나 엔터프라이즈 네트워크 또는 지사에 연결해야 할 수 있습니다.

 

네트워크 전략은 워크로드가 서로 통신하고, 보안 아키텍처에 적합하고, 신뢰할 수 있고 탄력적이며, 비용을 최적화할 수 있도록 해야 합니다. 네트워크 설계를 신중하게 계획하면 이를 달성할 수 있는 토대가 됩니다. 이 시험에서는 복잡한 네트워크를 지원하기 위해 AWS 글로벌 인프라의 구성 요소를 사용하는 방법을 잘 알고 있어야 합니다. 이미 알고 있겠지만 여기에는 리전, 가용 영역, 로컬 영역, 엣지 로케이션 및 리전 엣지 캐시가 포함됩니다.

 

지연 시간, 규정 준수, 비용 또는 서비스 및 기능 가용성과 관련된 특정 요구 사항을 기반으로 리전 및 가용 영역을 선택하는 방법을 잘 알고 있어야 합니다. 다음과 같은 AWS 서비스를 사용하기 위한 기능, 제한 사항 및 모범 사례를 알아야 합니다. 어떤 상황에서 Amazon Virtual Private Cloud(Amazon VPC), AWS Direct Connect, AWS Client VPN, AWS Site-to-Site VPN, AWS Transit Gateway, AWS PrivateLink를 써야 하는지를 잘 이해하셔야 합니다.

 

또한 확장성, 고가용성, 비용 및 보안 요구 사항을 기반으로 AWS 서비스를 결합하는 능력을 평가하는 문제를 예상할 수 있습니다. 다음 주제에서는 네트워크 세분화 옵션을 평가하는 데 중점을 둡니다.

 

비용, 보안, 성능 및 안정성에 대한 요구 사항에 따라 네트워크 세그먼트를 분리하는 방법을 이해해야 합니다. 예를 들어, 네트워크를 세분화하여 다음과 같은 작업을 수행하는 방법을 알아야 합니다.

·       다중 방어 계층을 생성하여 사이버 공격 속도를 완화합니다.

·       권한 경계를 생성하여 데이터 및 네트워크 리소스에 대한 액세스를 제한합니다.

·       또한 운영 중단 범위를 제한하여 인프라의 탄력성을 개선합니다.

 

이제 세분화 전략을 사용하여 네트워크를 분리했으므로 이러한 세그먼트가 서로 통신하는 방식을 이해해야 합니다.

 

시스템 내부 및 시스템 간 연결, 퍼블릭 IP 주소 관리, 프라이빗 IP 주소 관리, 도메인 이름 확인과 같은 네트워크 고려 사항은 이미 익숙하셔야합니다.

 

Amazon Route 53 및 Route 53 Resolver를 사용하여 DNS 라우팅을 처리하는 방법을 명확히 이해해야 합니다. 또한 AWS Transit Gateway를 사용하여 리전 간 연결과 하이브리드 연결을 관리하는 방법을 이해해야 합니다. 마지막으로, 서비스 엔드포인트 및 AWS PrivateLink를 사용하여 트래픽을 AWS 네트워크 상에 유지함으로써 트래픽을 보호하는 방법을 알아야 합니다.

 

대규모 네트워크 연결 전략을 설계할 때는 모든 구성 요소에 대한 중앙 집중식 모니터링을 통해 구성 요소의 내부 상태를 파악하는 것이 필수적입니다. 시험에는 네트워크 활동을 모니터링하고 캡처할 AWS 서비스 및 구성 요소를 사용하는 솔루션을 추천하는 능력을 테스트하는 문제가 있을 수 있습니다. Amazon CloudWatch, AWS CloudTrail 및 VPC 흐름 로그에서 계정 전체의 사용 데이터를 집계하는 방법을 알아야 합니다. 또한 콘텐츠 검사, 위협 모니터링, 문제 해결을 위해 Amazon VPC 트래픽 미러링을 사용하여 네트워크 트래픽을 복제하는 방법을 알아야 합니다. 다중 계정 구조에서 계정 전반의 보안 취약성을 검사하도록 Amazon Inspector를 구성하는 방법을 알아야 합니다.

보안 제어 규정

복잡한 대규모 조직의 보안 태세를 개선하는 방식으로 데이터, 시스템 및 자산을 보호하는 방법을 이해해야 합니다. 이 작업 설명은 AWS Well-Architected Framework의 보안 핵심 요소, 특히 보안 기본 요구 사항, Identity and Access Management, 데이터 보호의 중점 영역과 일치합니다.

 

보안은 환경에서 가장 중요한 요소 중 하나이며 시험 전반에 걸쳐 끊임없이 나오는 주제이기도 합니다. 보안 개념 및 서비스를 이해하고 이러한 개념과 서비스가 인프라 설계에 미치는 영향을 이해하는 것이 중요합니다.

 

보안에만 초점을 맞추지 않는 시나리오의 경우에도 솔루션을 선택할 때 이를 고려해야 합니다. 시험 문제는 복잡한 조직에서 AWS 계정 및 비즈니스 애플리케이션 전반의 Identity and Access Management에 대한 이해도를 평가합니다. 복잡한 정책을 평가하는 방법과 비즈니스 요구 사항에 따라 리소스에 대한 액세스를 허용 또는 제한하도록 정책을 구성하는 방법을 알아야 합니다. 또한 계정 전반에서 이러한 정책의 관리를 간소화하는 방법도 알아야 합니다.

 

예를 들어, 현재 하나의 복잡한 대규모 버킷 정책을 사용하고 있는 Amazon Simple Storage Service(Amazon S3) 버킷에 대한 액세스 관리 효율성을 개선하라는 요청을 받을 수 있습니다. 대신 각각 더 규모가 작고 세분화된 정책을 가진 여러 S3 액세스 포인트를 사용할 수 있습니다.

 

역할을 사용하여 AWS 리소스에 대한 임시 액세스를 제공하는 AWS의 모범 사례도 잘 알고 있어야 합니다. 또한 사용자에게 할당된 모든 계정 및 애플리케이션에 대한 페더레이션 액세스를 제공하는 것과 관련된 문제와 서드 파티 자격 증명 공급자와의 통합에 대한 문제도 나올 수 있습니다.

이 섹션의 솔루션에는 AWS 서비스와 구성 요소의 조합이 포함되어 있습니다. 페더레이션 액세스를 지원하도록 AWS Identity and Access Management 정책 및 역할을 구성하는 방법을 알아야 합니다. AWS IAM Identity Center를 사용하여 페더레이션 사용자에게 단일 액세스 지점을 제공하는 방법을 알아야 합니다. Amazon Cognito 또는 IAM Identity Center를 사용하여 페더레이션 액세스를 위해 서드 파티 자격 증명 공급자와 통합하는 방법을 이해해야 합니다.

 

AWS Security Token이 페더레이션 사용자를 위한 임시 보안 자격 증명을 생성하는 방법도 알아야 합니다.

 

또한 어떤 AWS 네트워크 혹은 애플리케이션 보호 서비스가 여러 리전의 / 여러 AWS 계정에 대해 호스트, 네트워크 및 애플리케이션 수준 경계에서 세분화된 보호를 제공하는지 이해해야 합니다.

 

이 시험은 트래픽을 검사 및 필터링하여 무단 액세스를 방지하고 규정 준수 요구 사항을 충족하는 솔루션을 선택할 수 있는 능력을 평가합니다. 이 영역에 대한 문제는 특정 IP 범위로의 인바운드 및 아웃바운드 트래픽 허용과 같은 시나리오에 초점을 맞출 수 있습니다.

 

라우팅 테이블과 같은 AWS 구성 요소를 사용하여 네트워크 트래픽을 전달하는 방법, 보안 그룹을 VPC 및 AWS 리소스에 대한 네트워크 액세스를 제어하는 기본 메커니즘으로 사용하는 방법, 네트워크 액세스 제어 목록(네트워크 ACL)을 사용하여 보안 그룹과 결합하면 심층적 방어 접근 방식을 제공하는 스테이트리스 네트워크 제어를 제공하는 방법을 이해해야 합니다.

 

다른 문제에서는 SQL 명령어 주입 공격 또는 크로스 사이트 스크립팅과 같은 일반적인 공격으로부터 웹 애플리케이션을 보호하거나 분산 서비스 거부(DDoS) 공격 같은 표적 공격을 탐지하고 대응하는 데 초점을 맞출 수 있습니다.

 

AWS Network Firewall과 같은 서비스를 사용하여 네트워크 트래픽에 따라 자동으로 확장되는 스테이트풀 방식의 관리형 침입 탐지를 제공하는 방법을 잘 알고 있어야 합니다. IP 주소등을 사용자가 지정한 조건에 따라 HTTP 혹은 HTTPS 콘텐츠에 대한 액세스를 제어하는 AWS 웹 애플리케이션 방화벽도 있습니다.

 

AWS Shield가 어떻게 DDoS 공격에 대한 자동 보호를 제공하는지 이해해야 합니다.

 

마지막으로, AWS Firewall Manager가 어떻게 여러 계정을 관리하고 유지 관리 작업을 간소화하는지 이해해야 합니다.

 

추가적으로 고려해야 할 보안 전략으로는 암호화 및 인증서 관리가 있습니다. 복잡한 조직에서는 암호화 요구 사항을 적용하고 암호화 키를 관리하는 것이 어려울 수 있습니다. 저장 데이터 암호화를 적용하려면 데이터를 자동으로 암호화하는 기본 설정을 제공하는 서비스를 알고 있어야 합니다. AWS Key Management Service를 사용하여 암호화 키를 생성, 저장, 관리하는 방법을 알아야 합니다. 또한 규정 준수 요구 사항을 충족하기 위해 AWS CloudHSM을 사용하여 전용 하드웨어 기반 암호화 키 스토리지를 언제 제공해야하는 지도 알아야합니다. 이 영역에 대한 다른 문제는 인증서 관리와 SSL 및 TLS 인증서를 사용하여 네트워크 통신을 보호하고 리소스의 ID를 설정하는 데 초점을 맞출 수 있습니다. 클라우드 및 대규모 내부 리소스에서 AWS 서비스와 함께 사용할 인증서를 프로비저닝, 관리 또는 배포하는 솔루션을 평가하라는 요청을 받을 수 있습니다.

 

AWS Certificate Manager는 물론, AWS Certificate Manager가 Elastic Load Balancing 및 Amazon CloudFront와 같은 AWS 서비스와 통합되어 서비스에 SSL/TLS 인증서를 배포하는 방법에 대해 잘 알고 있어야 합니다. 또한 Amazon API Gateway를 사용하여 게이트웨이의 사용자 지정 도메인 이름에 대한 SSL/TLS 인증서를 생성하는 방법도 잘 알고 있어야 합니다.

 

이 동영상에서 다루는 마지막 주제는 규정 준수입니다. 이미 알고 있듯이 규정 준수 책임은 AWS와 고객 간에 공유됩니다. AWS는 하드웨어와 데이터 센터의 물리적 및 환경적 보안을 포함하여 기본 인프라에 대한 감사를 지속적으로 거칩니다. 고객이 책임지는 규정 준수 영역의 경우, AWS 서비스 및 기능을 사용하여 규정 준수 상태를 종합적으로 파악하고 조직이 따르는 관행 및 표준에 따라 환경을 지속적으로 모니터링할 수 있습니다.

 

시험에서 중앙 집중식 보안 이벤트 알림 및 감사를 위해 여러 계정에서 AWS 서비스를 구성하고 결합하는 능력을 평가하는 시나리오를 볼 수 있습니다.

 

AWS CloudTrail을 사용하여 AWS 계정의 활동을 모니터링하는 방법과 AWS Security Hub를 사용하여 계정 전체에서 보안 데이터를 수집하는 방법을 이해해야 합니다. 또한 Amazon Inspector를 사용하여 취약성을 탐지하는 방법과 Amazon GuardDuty를 사용하여 워크로드에서 악의적인 활동을 모니터링하는 방법을 알아야 합니다.

 

마지막으로, AWS IAM Access Analyzer를 사용하여 IAM 정책을 검증하고, AWS CloudTrail 로그를 기반으로 정책을 생성하고, 외부 엔터티와 공유되는 계정 내 리소스를 식별하는 방법을 알아야 합니다.

신뢰할 수 있고 탄력적인 아키텍처 설계

AWS Well-Architected Framework의 안정성 핵심 요소, 특히 안정성 기본 요구 사항, 워크로드 아키텍처 및 장애 관리 중점 영역과 일치합니다.

 

복잡한 조직을 위해 설계할 때는 장애 복구를 위한 강력한 기반과 검증된 프로세스를 갖춘 아키텍처를 구축하는 것이 중요합니다. AWS Well-Architected Framework는 안정성을 워크로드가 예상한 시간에 의도한 기능을 정확하고 일관되게 수행할 수 있는 능력으로 정의합니다.

 

또한 복원력을 워크로드 내 모든 구성 요소의 부하, 공격 및 장애로 인해 스트레스를 받을 때 복구할 수 있는 능력으로 정의합니다. AWS Well-Architected Framework 및 이 작업 설명의 맥락에서 ‘안정성’에 대해 더 자세히 설명해 보겠습니다.

 

대규모 서비스를 제공하기 위해 조직에서는 종종 여러 환경 간에 워크로드를 분리합니다. 애플리케이션 관련 문제, 구성 오류 또는 악의적인 활동의 위험을 제한하기 위해 프로덕션 워크로드를 개발 워크로드와 분리할 수 있습니다. 이러한 환경에는 여러 AWS 계정, 여러 리전, 여러 VPC 및 데이터 센터가 포함될 수 있습니다. 이 시험에서 비즈니스 요구 사항에 따라 서비스 또는 워크로드의 안정성을 높이는 고가용성, 다중 리전, 다중 계정 아키텍처를 설계하는 능력을 평가할 것으로 예상할 수 있습니다. 이러한 아키텍처는 수요 급증에 대응하고 안정적인 성능을 유지할 수 있도록 자동으로 확장할 수 있어야 합니다.

 

예를 들어, 서로 다른 Amazon Route 53 라우팅 유형을 사용하고 VPC의 Amazon Elastic Compute Cloud(Amazon EC2) Auto Scaling 그룹과 함께 Amazon Elastic Load Balancing을 사용하여 리전 간에 트래픽을 분산하는 데 익숙해야 합니다. 또는 최종 사용자와 더 가까운 위치에 콘텐츠를 캐시하기 위한 Amazon CloudFront, AWS 글로벌 네트워크에 액세스하기 위해 가장 가까운 엣지 로케이션으로 트래픽을 보내는 AWS Global Accelerator와 같은 서비스를 사용하여 워크로드의 지연 시간을 줄이는 방법도 있습니다.

 

다음으로, 복원력 있는 아키텍처에 대해 알아보겠습니다. 이 지식 영역에 대한 문제는 복잡한 조직의 재해 복구 전략에 초점을 맞춥니다. 재해 복구는 자연 재해, 대규모 기술 장애 또는 인간의 위협, 예를 들어, 공격 또는 실수 등에 대응하여 일회성 복구 목표를 달성하는 데 중점을 둡니다. 이는 시간 단위로 측정된 허용 가능한 데이터 손실량을 나타내는 복구 시점 목표(RPO)와 장애 시 허용되는 최대 가동 중지 시간인 복구 시간 목표(RTO) 관련 내용을 포함할 가능성이 높습니다.

 

다음과 같은 재해 복구 전략과 복원력 있는 아키텍처를 제공하기 위해 리전 간에 인프라를 복제하는 방법을 잘 알고 있어야 합니다. 다중 사이트(액티브/액티브) 웜 스탠바이 파일럿 라이트 RTO, RPO, 작업량, 비용 등 지정된 요구 사항을 기반으로 재해 복구 솔루션을 설계하는 데 익숙해야 합니다.

 

예를 들어 제로 RTO가 필요하고 비용이 중요하지 않다면 다중 사이트를 고려해 볼 수 있습니다. 그러나 더 긴 RTO를 견딜 수 있다면 파일럿 라이트가 적절한 선택일 수 있습니다.

 

리전 간에 인프라를 복제하는 것 외에도 워크로드 구성 요소 및 백업을 복제하기 위한 전략을 정의해야 합니다. AWS Elastic Disaster Recovery를 사용하여 컴퓨팅 및 볼륨 스토리지 리소스를 재해 복구 리전에 복제하는 방법과 AWS Backup을 사용하여 AWS 계정 전반의 백업 프로세스를 중앙에서 관리하고 자동화하는 방법을 알아야 합니다.

다중 계정 AWS 환경 설계

복잡한 조직에는 보안, 규정 준수, 데이터 보존 및 기타 요구 사항과 관련하여 서로 다른 요구 사항을 가진 비즈니스 단위 또는 제품 팀이 있는 것이 일반적입니다.

 

이렇게 다양한 비즈니스 단위를 별도의 AWS 계정으로 구성하면 비즈니스 단위 간에 격리 경계를 제공하므로 고유한 요구 사항을 충족하기 위해 다양한 거버넌스 전략을 적용할 수 있습니다. 조직의 복잡성이 증가함에 따라 필요한 AWS 계정의 수는 몇 개에서 수백 또는 수천 개에 달할 수 있습니다. 다중 계정을 사용하여 워크로드를 격리하는 것은 운영 우수성, 보안, 안정성, 비용 최적화를 비롯한 대부분의 AWS Well-Architected Framework 원칙에서 모범 사례입니다. 그러나 이로 인해 계정의 보안, 관리 및 모니터링이 더욱 복잡해집니다.

 

AWS Organizations 및 AWS Resource Access Manager 시험의 이 섹션에서는 운영 복잡성을 최소화하고 보안, 거버넌스 및 운영 요구 사항에 효율적으로 대응할 수 있도록 다중 계정 AWS 환경을 설계하는 데 필요한 기술을 평가합니다.

 

AWS Organizations를 사용하여 새 계정을 생성하고, 조직구성단위(OU)로 그룹화하여 계정 관리를 간소화하고, 거버넌스 요구 사항을 충족하기 위해 서비스 제어 정책을 적용하는 방법을 이해해야 합니다. 또한 AWS Resource Access Manager를 사용하여 계정 간에 리소스를 공유하는 방법을 알아야 합니다. 예를 들어, 회사 A가 회사 B를 인수했는데 두 회사 모두 여러 AWS 계정을 사용하여 워크로드를 격리하고 있습니다.

 

모든 계정을 통합하여 최소한의 노력으로 중앙에서 관리하는 데 필요한 단계를 제공하는 솔루션을 선택할 수 있어야 합니다. 시험의 이 섹션에서 제시될 수 있는 또 다른 서비스는 AWS Control Tower입니다. 안전한 다중 계정 AWS 환경을 설정 및 관리하는 프로세스를 간소화하는 관리형 서비스입니다. AWS Control Tower가 AWS 다중 계정 환경의 출발점 역할을 하는 랜딩 존을 구축하는 데 어떻게 도움이 되는지 이해해야 합니다. Account Factory 기능을 사용하여 사전 승인된 계정 구성으로 새 계정의 프로비저닝을 자동화하는 방법을 알아야 합니다. 전사적으로 가드레일을 사용하여 보안, 운영 및 규정 준수에 대한 거버넌스 규칙이 시행되도록 하는 방법을 알아야 합니다. 또한 AWS Control Tower 대시보드를 사용하여 AWS 계정의 규정 준수를 지속적으로 모니터링하는 방법도 알아야 합니다.

 

다음 주제는 복잡한 조직이 글로벌 인프라 전반에서 일어나는 일을 모니터링하는 능력의 중요성에 관한 것입니다. 이 시험은 제시된 시나리오를 기반으로 중앙 집중식 로깅 및 이벤트 알림에 대한 전략을 추천할 수 있는 능력을 평가할 수 있습니다. 이 동영상에서 이미 다룬 서비스 외에도, 리소스 구성이 조직의 정책 및 지침을 준수하지 않을 때 알림을 제공하도록 Amazon CloudTrail 및 AWS Config와 같은 서비스를 구성하는 방법을 이해해야 합니다.

 

그런 다음 이러한 알림을 Amazon EventBridge와 같은 다른 서비스로 전송하여 문제 해결 조치 또는 알림과 같은 자동 응답을 제공하는 방법을 이해해야 합니다.

비용 최적화 및 가시성 전략 결정

서비스와 리소스를 가장 비용 효율적으로 사용하는 다중 리전 인프라를 설계하고 모니터링하는 것이 포함됩니다.

 

비용 최적화와 관련된 중요한 개념을 개략적으로 살펴보려면 AWS Well-Architected Framework의 비용 최적화 핵심 요소. 특히 지출 및 사용량 인식 및 비용 효율적인 리소스 중점 영역을 검토하시기바랍니다.

 

이 시험은 비용을 최소화하면서 비즈니스 성과를 달성하는 비용 최적화된 다중 리전 워크로드를 구축하고 운영하는 기술을 평가합니다.

 

인프라를 비용 최적화하려면 워크로드의 복잡성과 규모가 증가함에 따라 지속적인 미세 조정 및 개선 프로세스를 거쳐야 합니다. 비용 절감을 최적화하려면 워크로드에 적합한 리소스를 선택하는 방법을 이해해야 합니다.

 

비용을 최소화하면서 성능 및 운영 효율성과 같은 다른 요구 사항을 충족할 수 있는 하이브리드 다중 리전 AWS 환경을 설계하는 기술을 평가받을 수도 있습니다.

 

예를 들어 다중 VPC 및 다중 리전 환경을 구축할 때 VPC 피어링과 AWS Transit Gateway 중에서 선택할 수 있어야 합니다. Transit Gateway에서는 연결 수 및 이러한 연결을 통해 전송된 데이터 양에 대해 시간당 요금이 부과됩니다. 하지만 이 서비스는 관리를 간소화하고 필요한 VPN 연결 수를 줄입니다. Transit Gateway의 운영 오버헤드가 낮으면 추가 데이터 처리 비용보다 큰 이점과 비용 절감 효과를 얻을 수 있습니다.

 

언제 하이브리드 인프라를 위해 AWS Direct Connect 또는 AWS Site-to-Site VPN을 선택해야 하는지 이해해야 합니다. AWS Direct Connect는 데이터 전송 비용이 저렴하지만 AWS Direct Connect 로케이션에서 교차 연결을 설정해야 합니다. 이 경우 설정하는 데 시간이 걸리고 추가 비용이 발생합니다. 반면, AWS Site-to-Site VPN은 몇 분 만에 활성화될 수 있지만 더 높은 데이터 전송 요금이 부과됩니다.

 

비용을 제어하기 위해 언제 어디서 VPC 엔드포인트를 사용하여 AWS 내에서 트래픽을 라우팅하고 인터넷, NAT 게이트웨이, VPN 연결 또는 AWS Direct Connect를 통한 송신 트래픽을 줄여야 하는지 이해해야 합니다.

 

또한 모든 요청을 다시 VPC로 라우팅하는 대신 Amazon CloudFront를 사용하여 전 세계 엣지 로케이션에 데이터를 캐시하는 비용 절감 방법을 이해해야 합니다.

 

다음으로 다중 계정 구조를 사용하는 복잡한 조직 내에서 비용 및 결제를 관리하는 방법을 알아야 합니다. AWS Organizations와 통합 결제를 구현하여 모든 AWS 계정의 요금을 합산하는 방법을 알고 있어야 합니다. 이렇게 하면 여러 계정에 대한 단일 청구서가 생성되고 계정 간 요금 추적이 지원됩니다. 또한 조직 내 모든 계정의 사용량을 합산하여 대량 구매 할인, 예약 인스턴스 할인 및 Savings Plans를 공유함으로써 비용 절감을 실현할 수 있습니다.

 

이 시험에서는 조직 전체에서 사용되는 모든 워크로드에 적합한 구매 옵션을 선택하고 관리하는 방법을 알아야 합니다. 예를 들어, 현재 사용량을 기준으로 컴퓨팅 리소스에 적합한 Savings Plan을 선택하는 방법과 시간이 지남에 따라 사용량 변화가 예상되는지 여부를 이해하는 것이 중요합니다.

 

Savings Plans는 조직 또는 통합 결제 패밀리 내의 모든 계정에서 구매할 수 있습니다. 기본적으로 Savings Plans에서 제공하는 혜택은 조직 내 모든 계정의 사용량에 적용됩니다. 복잡한 조직은 일반적으로 여러 비즈니스 단위에서 관리하는 여러 워크로드를 운영합니다. 결제를 통합하고 싶지만 각 비즈니스 단위의 비용을 추적해야 합니다. 리소스 비용을 워크로드, 개별 조직 또는 제품 소유자에 매핑하여 AWS 사용량 및 비용을 추적하는 효과적인 태깅 전략을 개발하는 데 능숙해야 합니다. 리소스에 태그를 지정하면 해당 데이터가 비용 및 사용량 정보에 추가되므로 보고서를 실행하고 분석을 수행할 수 있습니다. 예를 들어 테스트 또는 프로덕션 등 환경별로 리소스에 태그를 지정하면 개발 비용과 프로덕션 비용을 구분하는 데 도움이 될 수 있습니다.

 

이 시험에서는 AWS에서의 비용 및 사용량을 모니터링하는 데 능숙해야 합니다. AWS Compute Optimizer를 사용하여 다중 계정, 다중 리전 워크로드의 크기를 적절하게 조정하는 방법을 이해해야 합니다. AWS Compute Optimizer는 사용 내역을 기반으로 컴퓨팅 리소스에 대한 권장 사항을 제공하는 무료 서비스입니다. AWS Organizations에서 Compute Optimizer에 신뢰할 수 있는 액세스를 활성화하면 조직의 모든 계정에서 지원되는 작업을 수행할 수 있습니다. AWS Cost Explorer를 통해 AWS 계정 전체의 AWS 비용 및 사용량을 일별 또는 월별로 시각화하고 관리하는 방법을 이해해야 합니다.

 

또한 Amazon Athena와 Amazon QuickSight를 사용하여 사용자 지정 대시보드를 생성하고 조직 전체의 비용 및 사용량을 심층적으로 분석하는 방법에 익숙해야 합니다. 마지막으로, 다중 계정 환경에서 AWS Budgets를 사용하여 리소스 사용량 및 비용을 추적하는 방법을 이해해야 합니다. 계정의 비용 및 사용량 상태에 자동으로 대응하도록 AWS Budget Actions를 구성하는 데 익숙해야 합니다.

 

연습문제 1

한 회사가 모든 애플리케이션을 AWS의 us-east-1 리전으로 마이그레이션합니다. 이 회사는 AWS Organizations에서 회사를 Transit Gateway에 연결하는 두 개의 VPC가 포함된 개발 계정을 추가합니다. 또한 다른 VPC가 포함된 프로덕션 계정도 추가합니다. 이 회사가 프로덕션 VPC를 Transit Gateway에 연결하려면 어떤 단계를 조합해야 합니까? (정답 3개를 선택하세요)

 

옵션 A, Organizations 관리 계정을 사용하여 리소스 공유를 활성화합니다.

 

옵션B, 개발 계정에서 IAM 정책을 사용하여 Transit Gateway를 프로덕션 계정과 공유합니다.

 

옵션 C, 프로덕션 계정에서 AWS Identity and Access Management(IAM)을 사용하여 프로덕션 VPC를 개발 계정과 공유합니다.

 

옵션 D, AWS Resource Access Manager를 사용하여 Transit Gateway를 프로덕션 계정과 공유합니다.

 

옵션 E, AWS Resource Access Manager를 사용하여 프로덕션 VPC를 개발 계정과 공유합니다.

 

옵션 F, 프로덕션 계정의 VPC를 Transit Gateway에 연결합니다.

 

옵션 A부터 보자면, AWS Organizations의 리소스 공유를 사용하여 조직의 다른 계정에서 리소스를 사용할 수 있도록 합니다. 리소스 공유를 활성화하면 프로덕션 계정이 조직 내 개발 계정과 리소스를 공유할 수 있습니다. 따라서 'A'는 세 가지 정답의 유력한 후보가 맞습니다. 하지만 우선 모든 옵션을 검토하여 최선의 답변을 파악하는 것이 가장 좋습니다.

 

옵션 B는 IAM 정책을 사용하여 프로덕션 계정과 개발 계정 간에 Transit Gateway를 공유하는 방법을 설명합니다. Transit Gateway를 Organization 내 다른 계정과 IAM정책을 통해 공유할 수는 없기 때문에 이는 올바르지 않습니다. IAM 정책을 엔터티(예를 들어 IAM 역할)에 연결해야 합니다. AWS 계정과 VPC는 IAM 역할을 수임할 수 없습니다. 옵션 B는 오답입니다.

 

옵션 C는 IAM을 사용하여 프로덕션 VPC를 개발 계정과 공유하는 방법을 설명합니다. IAM을 사용하여 계정 간에 리소스를 공유할 수 없기 때문에 이 역시 올바르지 않습니다. 또한 VPC가 Transit Gateway에 액세스해야 하므로 회사는 VPC가 아니라 Transit Gateway를 공유해야 합니다.

 

옵션 D는 AWS Resource Access Manager를 사용하여 두 AWS 계정에서 리소스를 공유하는 방법을 설명합니다. AWS Resource Access Manager을 사용하여 AWS Organizations 내 계정 간에 VPC 연결을 위해 Transit Gateway를 공유할 수 있습니다. 따라서 옵션 D도 세 가지 정답의 유력한 후보입니다.

 

옵션 E 역시 AWS Resource Access Manager을 사용하여 두 AWS 계정에서 리소스를 공유하는 방법을 설명합니다. AWS RAM이 계정 간에 리소스를 공유하는 데 적합한 서비스이긴 하지만 앞서 언급한 것처럼 VPC에 Transit Gateway에 대한 액세스 권한을 부여해야 합니다. VPC는 공유할 필요가 없습니다. 옵션 E는 또 다른 오답입니다.

 

마지막으로 옵션 F는 회사가 프로덕션 계정의 VPC를 Transit Gateway에 연결하여 사용합니다. 이것은 요구사항에 주어져 있기 때문에 필요할 것이라고 생각합니다.

 

따라서 옵션 A, D, F가 정답이 됩니다.

연습문제 2

한 회사가 회사의 애플리케이션을 호스팅하는 Amazon EC2 인스턴스 중 하나가 정교한 네트워크 공격의 표적이 된 것으로 의심합니다. 의심되는 공격을 조사하려면 네트워크 관리자가 네트워크 트래픽 메시지 내용을 검사해야 합니다. Solutions Architect는 관련 트래픽을 모니터링하고 캡처할 솔루션을 추천해야 합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇일까요?

 

옵션 A, 영향을 받는 EC2 인스턴스의 탄력적 네트워크 인터페이스를 모니터링하도록 VPC 흐름 로그를 구성합니다. Amazon S3 버킷을 대상으로 구성합니다. 대상 S3 버킷에 저장된 흐름 로그를 분석합니다.

 

옵션 B, 영향을 받는 EC2 인스턴스의 탄력적 네트워크 인터페이스를 원본으로 하고 또 다른 EC2 인스턴스 네트워크 인터페이스를 대상으로 하여 트래픽 미러링을 구성합니다. 트래픽 미러링이 캡처하는 데이터를 분석합니다.

 

옵션 C, 영향을 받는 EC2 인스턴스의 탄력적 네트워크 인터페이스를 모니터링하도록 VPC 흐름 로그를 구성합니다. Amazon GuardDuty를 활성화하고 GuardDuty 콘솔 또는 Amazon EventBridge를 사용하여 결과를 확인합니다.

 

옵션 D, EC2 인스턴스를 모니터링하도록 Amazon Inspector를 구성합니다. EC2 인스턴스에 Amazon Inspector 에이전트를 설치합니다. 평가를 실행합니다. Amazon Inspector 콘솔을 사용하여 결과를 확인합니다.

 

옵션 A부터 보겠습니다. VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처할 수 있게 해주는 기능입니다. 하지만 VPC 흐름 로그는 네트워크 트래픽의 메시지 내용을 캡처하지 않기 때문에 이 시나리오에서는 VPC 흐름 로그가 회사에 도움이 되지 않습니다.

 

옵션 B에서는 EC2 인스턴스의 네트워크 인터페이스에서 인바운드 및 아웃바운드 네트워크 트래픽을 복사할 수 있는 Amazon VPC 기능인 트래픽 미러링을 사용하는 방법을 설명합니다. 이 트래픽은 별도의 대상 인스턴스의 네트워크 인터페이스로 전송됩니다. 여기에서 보안 및 모니터링 애플리케이션을 통해 트래픽을 검토할 수 있습니다. 트래픽 미러링에는 네트워크 관리자가 검사해야 할 메시지 내용이 포함됩니다. 따라서 B는 유력한 정답 후보이지만 모든 옵션을 검토하여 최선의 답변을 파악하는 것이 가장 좋습니다.

 

옵션 C는 VPC 흐름 로그를 사용하여 영향을 받는 EC2 인스턴스의 탄력적 네트워크 인터페이스를 모니터링하고 Amazon GuardDuty 또는 Amazon EventBridge를 사용하여 결과를 검토하는 방법을 설명합니다. GuardDuty 또는 EventBridge를 사용하여 VPC 흐름 로그를 검토할 수 있지만 옵션 C에서도 옵션 A와 동일한 문제가 있습니다. VPC 흐름 로그는 네트워크 관리자가 필요로 하는 메시지 내용을 캡처하지 못합니다.

 

옵션 D는 Amazon Inspector를 사용하여 EC2 인스턴스를 모니터링하는 방법을 설명합니다. Amazon Inspector는 EC2 인스턴스의 네트워크 접근성과 이 인스턴스에서 실행 중인 애플리케이션의 보안 상태를 테스트할 수 있습니다. 하지만 Amazon Inspector는 네트워크 트래픽의 메시지 내용을 캡처하지 않습니다.

 

따라서 옵션 B가 정답이 됩니다.

연습문제 3

한 회사가 단일 AWS 리전에 많은 리소스를 보유하고 있습니다. 리소스에는 Amazon Elastic Block Store(Amazon EBS) 볼륨과 Amazon DynamoDB 테이블이 포함됩니다. 이 회사는 향후 백업 계획에 AWS 리소스 유형을 추가할 계획입니다. 회사는 Prod, Dev, Test의 세 가지 태그 중 하나로 리소스에 태그를 지정합니다. 시스템 관리자는 다양한 리소스를 수동으로 백업하고 동일한 리전에 백업을 저장합니다. 회사 규정에 따라 시스템 관리자는 Dev 및 Test 리소스를 매일 백업해야 합니다. Prod 리소스는 하루에 두 번 백업해야 합니다. 회사는 백업을 자동화하고 Prod 백업을 두 번째 리전에 저장해야 합니다.

최소한의 운영 노력으로 이러한 요구 사항을 충족하는 솔루션은 무엇일까요?

 

옵션 A, 두 개의 Amazon Data Lifecycle Manager(Amazon DLM) 정책을 생성합니다. Prod 태그가 지정된 리소스를 12시간마다 백업하도록 첫 번째 정책을 구성합니다. 첫 번째 정책에 기본 위치를 사용합니다. Dev 또는 Test 태그가 지정된 리소스에 대해 두 번째 정책을 계정 간 복사 이벤트 정책으로 구성합니다. 24시간마다 두 번째 리전에 백업을 기록하도록 두 번째 정책을 구성합니다.

 

옵션 B, 두 개의 Amazon Data Lifecycle Manager(Amazon DLM) 정책을 생성합니다. Prod 태그가 지정된 리소스에 대해 첫 번째 정책을 계정 간 복사 이벤트 정책으로 구성합니다. 12시간마다 두 번째 리전에 백업을 기록하도록 첫 번째 정책을 구성합니다. Dev 또는 Test 태그가 지정된 리소스를 하루에 한 번 백업하도록 두 번째 정책을 구성합니다. 두 번째 정책에 기본 위치를 사용합니다.

 

옵션 C, AWS Backup에서 두 개의 백업 계획을 생성합니다. Prod 태그가 지정된 지원되는 리소스를 모두 포함하도록 첫 번째 계획을 구성합니다. 12시간마다 첫 번째 백업 계획을 실행합니다. 이러한 백업을 두 번째 리전의 백업 저장소에 저장합니다. Dev 또는 Test 태그가 지정된 지원되는 리소스를 모두 포함하도록 두 번째 백업 계획을 구성합니다. 두 번째 백업 계획을 매일 실행합니다. 이러한 백업을 기본 백업 저장소에 저장합니다.

 

옵션 D, AWS Backup에서 두 개의 백업 계획을 생성합니다. Prod 태그가 지정된 지원되는 리소스를 모두 포함하도록 첫 번째 백업 계획을 구성합니다. 12시간마다 첫 번째 백업 계획을 실행합니다. 이러한 백업을 기본 백업 저장소에 저장합니다. Dev 또는 Test 태그가 지정된 지원되는 리소스를 모두 포함하도록 두 번째 백업 계획을 구성합니다. 두 번째 백업 계획을 매일 실행합니다. 이러한 백업을 두 번째 리전의 백업 저장소에 저장합니다.

 

옵션 A부터, Amazon DLM은 EBS 스냅샷의 생성, 보존 및 삭제를 자동화합니다. 하지만 Amazon DLM은 Amazon DynamoDB와 같은 다른 리소스를 백업하지 않습니다. 다른 리소스를 백업하려면 별도로 추가 구성이 필요합니다. 또한 기본 백업 위치에서는 Prod 백업을 두 번째 리전에 저장하지 않습니다. 이 솔루션은 최소한의 운영 노력으로는 요구 사항을 충족할 수 없습니다. EBS 리소스가 아닌 리소스를 백업하기 위해 추가 서비스를 사용해야 하기 때문입니다.

 

옵션 B는 Prod 백업을 두 번째 리전에 저장하는 교차 계정 복사 정책을 사용하는 방법을 설명합니다. 이는 요구 사항 중 하나에 부합합니다. 하지만 Amazon DLM은 EBS만 지원하므로 다른 리소스를 백업하려면 추가 구성이 필요합니다. 또한 이 솔루션은 최소한의 운영 노력으로는 요구 사항을 충족하지 못합니다.

 

옵션 C는 AWS 서비스 전반에서 데이터 백업을 자동화할 수 있는 기능을 제공하는 완전관리형 서비스인 AWS Backup을 사용하는 방법을 설명합니다. 이는 현재 일정에 따라 리소스 전반의 백업 프로세스를 자동화해야 한다는 요구 사항과 최소한의 노력으로 자동화해야 한다는 요구 사항을 충족합니다. 이 옵션에는 태그별로 백업을 생성하고 이를 두 번째 리전에 저장하는 AWS Backup의 기능이 포함됩니다. 이는 또 하나의 요구 사항을 충족합니다. 따라서 C는 유력한 정답 후보이지만 모든 옵션을 검토하여 최선의 답변을 파악하는 것이 가장 좋습니다. 또한 문제에는 솔루션이 최소한의 운영 노력을 필요로 해야 한다는 요구 사항도 있습니다.

 

마지막으로 옵션 D는 AWS Backup을 사용하여 리소스 백업을 관리하는 방법을 설명합니다. 옵션 C와 유사하지만 기본 백업 저장소는 Prod 리소스와 동일한 리전에 위치하므로 Prod 백업을 두 번째 리전에 저장해야 한다는 요구 사항을 충족하지 못합니다. 다른 리전 백업 저장소에 저장하도록 요구사항이 구성되어 있기 때문에 가장 올바른 것은 C일 것입니다. 따라서 옵션 C가 정답이 됩니다.

플래시 카드

1. 사용자에게 다른 계정의 리소스에 대한 액세스 권한을 제공하려면 어떻게 해야 합니까?

AWS Identity and Access Management(AWS IAM) 역할을 사용하고 필요한 권한을 연결합니다.

 

2. AWS에서 두 네트워크를 함께 공유하거나 연결하는 몇 가지 방법에는 어떤 것이 있습니까?

VPC 피어링, AWS Transit Gateway, AWS Direct Connect, AWS Site-to-Site VPN 및 VPC 엔드포인트

 

3. AWS는 트래픽을 라우팅할 때 어떤 접두사 일치를 우선시합니까?

AWS는 가장 긴 접두사 일치를 사용하여 트래픽을 라우팅할 위치를 결정합니다.

 

4. 한 번의 작업으로 여러 AWS 리전에 인프라를 배포하려면 어떻게 해야 합니까?

AWS CloudFormation Stacksets를 사용합니다.

 

5. 현재 AWS Direct Connect 연결을 사용 중인 경우 AWS에서 네트워크의 고가용성을 어떻게 보장할 수 있습니까?

Direct Connect와 Site-to-Site VPN 또는 상이한 위치의 다른 Direct Connect 연결

 

6. 서비스 제어 정책(SCP)과 IAM 정책의 차이점은 무엇입니까?

SCP는 주로 AWS Organizations의 조직구성단위 내에서 사용되지만 개인 계정에도 적용할 수 있습니다. SCP는 IAM 정책을 대체하지 않으며, 작업을 수행하려면 해당 IAM 정책 권한이 여전히 필요합니다. 조직구성단위에는 IAM 정책을 연결할 수 없습니다.

 

7. Amazon CloudFront 서명 URL은 어떤 방법으로 사용할 수 있습니까?

프라이빗 콘텐츠에 대한 사용자 액세스는 두 가지 방법으로 제어합니다. CloudFront 엣지 캐시에 있는 파일에 대한 액세스를 제한할 수 있으며, Amazon Simple Storage Service(S3) 버킷에 있는 파일에 대한 액세스를 제한할 수 있습니다.

 

8. Parameter Store와 AWS Secrets Manager의 주요 차이점은 무엇입니까?

• Parameter Store는 비밀번호나 암호 뿐만 아니라 URL, 데이터베이스 호스트 이름, 사용자 지정 설정, 제품 키와 같은 애플리케이션 구성 변수도 포함한 더 많은 사용 사례에 대응할 수 있도록 설계되었습니다. 파라미터 생성을 위한 기본 선택 항목은 일반 텍스트 문자열 값이지만 필요하다면 암호화를 활성화할 수 있습니다. 
• Secrets Manager는 암호화가 필요한 기밀 정보를 위해 설계되었으며 암호화는 항상 활성화되어 있습니다. Secrets Manager에서는 데이터를 일반 텍스트로 저장할 수 없습니다. Secrets Manager는 자동 키 로테이션을 지원합니다.

 

9. Amazon Cognito 사용자 풀과 자격 증명 풀의 차이점은 무엇입니까?

• 사용자 풀은 인증(신원 확인)에 사용됩니다. 사용자 풀을 사용하면 앱 사용자가 사용자 풀을 통해 로그인하거나 타사 ID 공급자(IdP)를 통해 페더레이션할 수 있습니다.
• 자격 증명 풀은 권한 부여(액세스 제어)에 사용됩니다. 자격 증명 풀을 사용하여 사용자에 대한 고유 ID를 생성하고 다른 AWS 서비스에 대한 액세스 권한을 부여할 수 있습니다.

 

10. AWS에서 로드 밸런서는 어떤 프로토콜을 사용합니까?

• Application Load Balancer: HTTP, HTTPs 및 gRPC
• Network Load Balancer: TCP, UDP 및 TLS
• Gateway Load Balancer: IP

 

11. 포워드 웹 프록시 서버란 무엇입니까?

포워드 프록시는 프라이빗 네트워크의 연결을 수락하고 해당 요청을 퍼블릭 인터넷으로 전달합니다.

 

12. PowerUserAccess와 AdministratorAccess란 무엇입니까?

• PowerUserAccess는 애플리케이션 개발 태스크를 수행하며 AWS 인식 애플리케이션 개발을 지원하는 리소스 및 서비스를 생성하고 구성할 수 있습니다.
• AdministratorAccess는 전체 액세스 권한을 가지며 AWS의 모든 서비스 및 리소스에 대한 권한을 위임할 수 있습니다.

 

13. 재해 복구 전략은 무엇입니까?

다중 사이트, 웜 대기, 파일럿 라이트, 백업 및 복원

 

14. 신뢰할 수 있는 액세스를 위한 명령줄 인터페이스(CLI) 명령인 enable-sharing-with-aws-organization은 어떤 기능을 합니까?

AWS Resource Access Manager(AWS RAM)를 사용하여 한 조직 계정이 소유하고 있는 AWS 리소스를 다른 조직 계정과 공유합니다.