[AWS-SAA] 덤프 풀이 (51~100)
❌51. 배송 통계를 추출하고, 데이터를 읽기 쉬운 HTML 형식으로 구성 / 매일 아침 여러 이메일 주소로 동시에 보고서를 보내 (C,E 선택했음)
- AWS Glue : ETL (추출, 변환, 로드) 작업에 중점 -> HTML 형식으로 구성하는 등의 작업에는 부적절 => Lambda와 EventBridge(매일 아침 )사용이 더 적절
- Amazon SES (Amazon Simple Email Service) : 이메일을 안전하고, 전세계적으로 보내기에 적절한 관리 시스템
52. 수십 기가바이트에서 수백 테라바이트에 이르는 다양한 크기의 출력 파일, 표준 파일 시스템 구조에 저장, 자동으로 확장되는 솔루션
-Amazon EFS (Elastic File System) : multi-AZ의 EC2 인스턴스들이 공유할 수 있는 global service
-Amazon EBS (Elastic Block System) : AZ 단위로 묶여있고, 기본적으론 한 인스턴스에만 attach 가능 (io1/io2는 multi도 제공) / EC2 인스턴스가 종료 시에 비활성화 됨 (옵션)
-Amazon ECS : 아마존 자체의 컨테이너 서비스 / EC2 Launch Type(프로비저닝, ECS Agent 필요) + Fargate Launch Type (서버리스, ECS Task definition 만 필요)
-Amazon EKS : 아마존의 쿠버네티스 서비스로 다양한 클라우드에서 지원 (클라우드, 컨테이너 간 마이그레이션 시 유리)
/ Managed Node Groups, Self-Managed Nodes, AWS Fargate
53. 기록은 1년 동안 즉시 액세스. 관리자와 루트 사용자를 포함하여 회사의 어느 누구도 10년 동안 기록을 삭제할 수 없습니다. 기록은 최대한의 복원력으로 저장
- S3 Object Lock : WORM (Write Once Read Many) 모델
- Retention mode - Compliance (규정 준수 모드) : 루트 사용자까지 포함하여 수정하거나 삭제 불가 / 모드 변경은 불가하지만 기간은 단축 가능
- Retention mode - Governance (거버넌스 모드) : 몇몇 사용자들은 변경, 수정 권한을 가지고 있음
- Legal Hold (법적 보존) : 모든 객체를 무기한으로 보존, S3:PutObjectLegalHold IAM 권한으로 이동과 삭제는 가능
54. 두 개의 Amazon EC2 인스턴스에 호스팅된 Windows 파일 공유. 사용자가 현재 파일에 액세스하는 방식을 보존하는 고가용성 및 내구성 있는 스토리지 솔루션.
- Amazon FSx for Windows : SMB 프로토콜, 윈도우 NTFS 지원 / 온프레미스의 윈도우 파일서버와 결합
- Amazon S3 파일 게이트웨이 : 온프레미스 서버 중 최신 사용 데이터를 file gateway에 캐싱 (NFS, SMB 사용) / S3 Glaacier에 직접은 x (life cycle 사용해야)
55. Amazon EC2 인스턴스와 Amazon RDS DB 인스턴스를 사용하는 애플리케이션을 호스팅. 각 가용성 영역에는 퍼블릭 서브넷, 프라이빗 서브넷, 데이터베이스 전용 서브넷이 포함. 프라이빗 서브넷에서 실행되는 EC2 인스턴스만 RDS 데이터베이스에 액세스.
- Security Group : 기본적으로 모든 걸 거부하고, 허용규칙만 설정 가능 / Stateful이므로 인바운드 허용 시 아웃바운드도 허용
- NACL (Network Access Control List) : 서브넷의 트래픽을 관리함 (서브넷 당 하나의 NACL) / 기본적으로 모든 걸 거부하고, 허용규칙을 우선순위에 따라 작성 (작은 숫자가 우선) / stateless이므로 인바운드, 아웃바운드 별도
❌ 56. Amazon Route 53에 도메인 이름을 등록. ca-central-1 지역의 Amazon API Gateway를 백엔드 마이크로서비스 API의 퍼블릭 인터페이스로 사용. 타사 서비스가 HTTPS를 사용할 수 있도록 회사의 도메인 이름과 해당 인증서로 API Gateway URL을 설계.
(B 선택했음)
- API Gateway : REST API를 생성하며, AWS 서비스에 직접적 접근보단 Websocket Protocol을 사용해 API로 들어오게끔 제어 / 보안, 캐싱 기능
**Endpoint Types
(1) Edge-Optimized : 글로벌 clients를 위한 것으로, CloudFront Edge locations에서 요청이 옴. API Gateway는 한 리전에만 있고,
(2) Regional : 동일한 리전의 클라이언트로 부터 옴.
(3) Private : VPC ENI를 통해서 접근 가능.
**Security
(1) User Authentication through : IAM Roles, Cognito, Custom Authorizer
(2) Custom Domain Name HTTPS : ACM (AWS Certificate Manager)와 연계 / Edge-Optimized일 땐 us-east-1에 있고, Regional일 땐 API Gateway가 있는 리전에 있음 / Route53에 CNAME이나 A-alias를 설정하면 됨!
57. 이 웹사이트는 사용자에게 이미지를 업로드하여 다른 사용자와 공유할 수 있는 기능을 제공합니다. 이 회사는 이미지에 부적절한 콘텐츠가 포함되지 않도록 하려고 합니다.
- Amazon Rekognition : 이미지, 비디오의 물체, 사람 등을 인식 / facial analysis, facial search / 최소신뢰 임계값을 설정하여 콘텐츠조정기능에 사용
- Amazon Comprehend : NLP (자연어 처리 기술) / 문맥과 관계도 파악
- Amazon SageMaker : 개발자, 데이터사이언티스트들이 ML 모델을 쉽게 만들 수 있도록 지원 (모델 training, tune)
58. 어떤 회사는 확장성과 가용성에 대한 요구 사항을 충족하기 위해 컨테이너에서 중요한 애플리케이션을 실행하고자 합니다. 이 회사는 컨테이너화된 워크로드를 실행하는 기본 인프라를 프로비저닝하고 관리하는 책임을 지고 싶어하지 않습니다.
- Fargate Launch Type (서버리스, ECS Task definition 만 필요)
59. 이 회사는 매일 30TB가 넘는 클릭스트림 데이터를 분석할 플랫폼이 필요
- Amazon Redshift : OLAP(Onlie Analytical Processing)의 DW 서비스 / 열기반 스토리지 데이터와 병렬 처리 쿼리 엔진 / 인덱스 사용이 가능해 복잡한 쿼리, 조인, 집합 연산에 있어서 Athena보다 유리
- Amazon Kinesis Data Firehorse : "근실시간(Near Real Time)" 서버리스 데이터 스트리밍 시스템
/ S3, Redshift, OpenSearch, 3rd party, custom HTTP 쪽으로 스트리밍 데이터를 보냄 / 자동 스케일링이 가능하고 데이터 저장은 불가능
- Amazon EMR : Elastic MapReduce, 여러개의 ec2 인스턴스를 구성해야하며 프로비저닝과 구성에 신경을 써야함
60. HTTP와 HTTPS를 별도로 처리하도록 구성된 Application Load Balancer(ALB) . 모든 요청을 웹사이트로 전달하여 요청이 HTTPS를 사용하도록 하려고 합니다.
- HTTPS 리다리이렉션 : ALB에 HTTPS로 리다이렉션 하는 리스너 규칙을 만들고, TLS 인증서를 ACM (AWS Certificatioe Manager)에서 취득
61. 개발자는 백엔드 Amazon RDS 데이터베이스에 직접 연결되는 Amazon EC2 인스턴스에 애플리케이션을 배포. 애플리케이션에 데이터베이스 자격 증명을 하드코딩해서는 안 됩니다. 또한 이 회사는 정기적으로 데이터베이스 자격 증명을 자동으로 순환하는 솔루션을 구현.
- Amazon Secrets Manager : RDS와 연계하여 DB 접근 사용자 이름, 비번 등을 관리 / rotation of secrets(자동회전)을 강제하여 일정 시간 후 비번 변경 (람다 활용) / replica를 만들어 multi-region에서 활용 가능
- SSM Parameter Store : configuration과 암호를 위한 보안 스토리지, cloudFormation과 연계 / 원하는 방식으로 매개변수를 계층화 가능 (전체 경로 or 특정 경로) / TTL 설정은 가능하나 자동회전은 X
62. ALB(Application Load Balancer) 뒤에서 실행. 외부 인증 기관(CA)에서 발급한 SSL/TLS 인증서로 에지에서 암호화되.
인증서는 만료되기 전에 매년 순환.
- ACM : 자동 순환 기능 없음. daily expiration events를 evendbridge로 보내서 수동으로 회전하도록 함!
이 때, AWS Config를 같이 사용하여 acm-certificate-expiration-check로 유효성을 판단
❌63. 문서 관리 애플리케이션에 등록된 사용자 수가 700,000명. 대용량 .pdf 파일을 .jpg 이미지 파일로 변환하는 제품. .pdf 파일의 평균 크기는 5MB입니다. 이 회사는 원본 파일과 변환된 파일을 저장해야 합니다. 솔루션 아키텍트는 시간이 지남에 따라 빠르게 증가할 수요를 수용할 수 있는 확장 가능한 솔루션.
=> Lambda를 사용해 파일변환 중 사용된 실제 컴퓨팅 시간에 대해서만 비용 지불(On-demand) & 정적인 데이터를 내구성있고 확장 가능한 저장소인 S3에 저장하여 가장 비용 효율적!!!
+ 평균 파일크기 5MB이므로 람다로 처리하기에 적당한 크
- AWS Elastic Beanstalk : 개발자 중심적인 애플리케이션 배포 view / EC2, ASG, ELB, RDS 등을 자동으로 배포해주는 관리형 서비스 / 이거 자체에 대해서는 무료지만 기반의 인스턴스들에 대해서는 비용 지불
/ Web Server Environment Tier(ELB + ASG) + Worker Environment Tier(SQS+ASG)
64. 온프레미스에서 실행되는 Windows 파일 서버에 5TB가 넘는 파일 데이터를 보유. Windows 워크로드를 AWS로 이전. 회사는 최소한의 지연 시간으로 AWS와 온프레미스 파일 스토리지에 액세스할. 운영 오버헤드를 최소화하고 기존 파일 액세스 패턴을 크게 변경할 필요가 없는 솔루션이 필요합니다. 이 회사는 AWS에 연결하기 위해 AWS 사이트 간 VPN 연결을 사용
- Amazon FSx File Gateway : 로컬 캐시를 활용해서 자주 접근하는 데이터를 캐싱 / SMB, NTFS 등 윈도우에 적합
65. 이 병원은 API Gateway와 Lambda를 사용하여 PDF 형식과 JPEG 형식의 보고서를 업로드합니다. 이 병원은 보고서에서 보호된 건강 정보(PHI)를 식별하기 위해 Lambda 코드를 수정
- Amazon Textract : 스캔된 문서에서 AI, ML등을 활용해 텍스트, 손글씨, 데이터 등을 추출
- Amazon Comprehend Medical : PHI 정보를 감지하기위한 NLP 서비스
❌66. 이 파일은 삭제하기 전에 4년 동안 보관. 파일에는 쉽게 재생산할 수 없는 중요한 비즈니스 데이터가 포함되어 있으므로 항상 즉각적인 접근성이 필요. 객체 생성 후 처음 30일 동안 자주 액세스되지만 처음 30일 이후에는 거의 액세스되지 않습니다.
- S3 Standard-Infrequent Access (Standard-IA) : 자주 엑세스하지는 않지만, 즉각적인 접근이 필요할 때 사용 / 99.9%의 가용성을 가짐
- S3 One Zone-IA : 단일 AZ에서 99.9999..%의 내구성을 가지지만, AZ가 손실되면 데이터 손실
=> 4년 후에 삭제임!!!
❌67. 애플리케이션은 Amazon SQS 대기열에서 메시지를 처리하고 Amazon RDS 테이블에 쓰고 대기열에서 메시지를 삭제합니다. 가끔 RDS 테이블에서 중복 레코드가 발견됩니다. SQS 대기열에는 중복 메시지가 없습니다.
솔루션 아키텍트는 메시지가 한 번만 처리되도록
- SQS 메시지 가시성 초과 : 메시지가 POLL된 후 다른 사용자에게 일정시간동안 보이지 않게끔 (default 30초)
- ChangeMessageVisibility API : 소비자가 처리하는데 더 시간이 필요할 때, 가시성 시간 초과를 늘림!!!!!
❌ 68. AWS 리전에 대한 일관된 낮은 지연 시간을 가진 고가용성 연결. 비용을 최소화해야 하며 기본 연결이 실패할 경우 더 느린 트래픽을 허용할 의향.
- AWS Direct Connect (DX) : 전용 프라이빗 연결 제공 / Direct Connect Location, Virtual Private Gateway가 필요 / Direct Connect Gateway를 통해 다양한 리전의 VPC에 연결 가능
- Site-to-Site VPN Connections : VGW(Virtual Private Gateway, AWS 쪽의 VPN 커넥터)와 Customer Gateway(CGW, customer 사이드의 sw, 물리적 장비)를 연결. 이 때 VGW쪽에서 라우트 전파(Route Propagation)를 활성화해야!!
/ 추가적으로 VPN CloudHub를 사용하면 다수의 VPN Connections들을 연결할 수 있음 / 퍼블릭 인터넷 활용!!
=> DX 실패 시 VPN Connections를 백업으로 사용함!!
❌ 69. Application Load Balancer 뒤의 Amazon EC2 인스턴스에서 비즈니스에 중요한 웹 애플리케이션을 실행. EC2 인스턴스는 Auto Scaling 그룹에 있습니다. 이 애플리케이션은 단일 가용성 영역에 배포된 Amazon Aurora PostgreSQL 데이터베이스를 사용합니다. 이 회사는 애플리케이션이 최소한의 다운타임과 최소한의 데이터 손실로 고가용성을 유지.
- Aurora : AWS 전용 기술로, PG와 MySQL을 지원 / 3AZ에 걸쳐서 6개의 copies를 가질 수 있고, Master와 15개의 read replicas를 가짐
/ Cross Region Replication도 가능은 함 => 오답 이유 : 데이터 전송 비용 등 추가적인 복잡성, "단일 가용성 영역에 배포"
/ Custom Endpoints : 용도에 따라 어떤 replica로 갈지 지정 가능
/ Proxy Fleet : 프록시로 요청이 들어와, 요청의 양에 따라서 오토스케일링 가능 (pay per second)
/ Global Aurora : 1개의 primary region이 있고, 5개까지의 secondary regions 들이 있음, 장애 시 secondary를 primary로 승급 가능
- RDS Proxy : DB커넥션을 poll 해서, DB효율성을 늘리고 connection open을 최소화 / VPC만 가능 / Authentication, secrets Manager 강제 가능 / 장애 조치에 유리
70. 룹은 웹 서비스를 실행하는 여러 EC2 인스턴스가 있는 Amazon EC2 Auto Scaling 그룹을 사용하도록 구성. NLB가 애플리케이션에 대한 HTTP 오류를 감지하지 못한다는 것을 알아차렸습니다. 이러한 오류는 웹 서비스를 실행하는 EC2 인스턴스를 수동으로 다시 시작해야 합니다. 회사는 사용자 지정 스크립트나 코드를 작성하지 않고도 애플리케이션의 가용성을 개선.
- Gateway Load Balancer : 3rd party network virtual appliance를 배포하고 scale하기 위한 로드밸런서 /
Layer 3 (Network Layer)에서 동작 (ip packet 단위)
- Application Load Balancer : Layer 7 (HTTP) 에서 동작 / micro services, container-based application 에 적합
- Network Load Balancer : Layer 4 (TCP/UDP)에서 동작 / AZ별로 하나의 static IP를 가지고 있어 Elastic IP 할당을 지원 /
EC2 Instances, IP Addresses 뿐만 아니라 ALB도 Target Group이 될 수 있음
❌71. Amazon DynamoDB. 데이터 손상의 경우 솔루션 아키텍트는 15분의 복구 지점 목표(RPO)와 1시간의 복구 시간 목표(RTO)를 충족하는 솔루션을 설계
- Amazon DynamoDB : 서버리스 NoSQL DB / 자동 스케일 가능, 프로비저닝이 필요 없음 / 테이블 내에 Primary Key와 attributes로 구성되며, attributes는 자유롭게 추가 가능 (스키마 전개가 빠름) /
DAX (DynamoDB Accelerator) : 고가용성, 완전 관리형 인메모리 캐시로 대용량 개별 연산에 좋음 / TTL 사용 (세션 종료)
Stream Processing : item level의 DB변경을 순서대로 스트리밍 / Global Tables : Active-active replication
/ PITR 백업 (Point-in-time recovery) : 최대 35일 내로 원하는 시점 복구가 가능, 복구 시 새로운 테이블 생성
/ On-demand backups : 긴 시간동안 백업을 유지해야할 경우. AWS Backups로 관리 (재해복구목적으로 리전 간 백업 복사 가능)
-RTO (복구지점목표) : 어느정도의 다운을 수용할지, 재해발생시점으로부터 복구되는 "지점"
-RPO (복구시간목표) : 얼마나 자주 백업을 실행할지, 과거 어느 "시간"으로 목표
72. 동일한 AWS 지역에 위치한 Amazon S3 버킷의 사진을 자주 업로드하고 다운로드 해야하는 사진 처리 응용 프로그램을 실행
- VPC 엔드포인트 (AWS PrivateLink) : AWS 서비스를 인터넷 대신 프라이빗 네트워크를 사용하여 연결 가능
/ Interface Endpoints (ENI security group 사용) + Gateway Endpoint (라우트 테이블 사용)
❌73. 개인 서브넷의 Amazon EC2에서 Linux 기반 애플리케이션 인스턴스를 출시. VPC의 공개 서브넷의 Amazon EC2 인스턴스에서 Linux 기반 베스천 호스트를 출시. 솔루션 아키텍트는 온프레미스 네트워크에서 회사의 인터넷 연결을 통해 베스천 호스트와 애플리케이션 서버에 연결해야 합니다. 솔루션 아키텍트는 모든 EC2 인스턴스의 보안 그룹이 해당 액세스를 허용하는지 확인
- Bastion Host : private subnet에 있는 EC2에 인터넷 SSH 연결을 하기 위해 public subnet에 설정
정해진 CIDR로부터 22번 포트 인터넷 인바운드 엑세스 허용 필요
EC2의 security group에서는 Bastion Host의 "private IP"를 허용 필요
74. 퍼블릭 서브넷의 Amazon EC2에서 호스팅되는 퍼블릭 웹 계층으로 구성. 데이터베이스 계층은 프라이빗 서브넷의 Amazon EC2에서 실행되는 Microsoft SQL Server로 구성.
=> 웹계층 : 443 포트로 https 허용 / 데이터베이스게층 : 1433은 SQL 기본 포트이므로 이것만 허용하도록!
75. 애플리케이션은 RESTful 서비스를 통해 서로 통신하는 애플리케이션 계층으로 구성. 한 계층이 과부하되면 트랜잭션이 삭제됩니다. 솔루션 아키텍트는 이러한 문제를 해결하고 애플리케이션을 현대화하는 솔루션을 설계.
Amazon API Gateway(RESTful 서비스, 서버리스) + SQS (분리) + Lambda (자동확장 기능 지원) = 최소 운영 오버헤드!!!
76. 단일 공장에 있는 여러 기계에서 매일 10TB의 계측 데이터를 수신합니다. 이 데이터는 공장 내에 있는 온프레미스 데이터 센터의 SAN(스토리지 영역 네트워크)에 저장된 JSON 파일로 구성. 데이터를 Amazon S3로 보내서 중요한 거의 실시간 분석을 제공하는 여러 추가 시스템에서 액세스할 수 있도록 하려고 합니다. 데이터가 민감한 것으로 간주되므로 안전한 전송이 중요.
- AWS DataSync : 대용량의 데이터를 동기화여 옮길 때 이용 , 옮길위치(온프레미스, aws)에 에이전트가 있어야 함 / 양방향 동기화가 가능 / 대상 : S3, EFS, FSx
- AWS DMS (Database Migration Service) : 데이터베이스의 마이그레이션과 복제를 위한 시스템으로 복원력이 있고, 자가치유가 가능 / Homogeneous, Heterogeneous(이기종) 모두 있음
/ SCT (Schema Conversion Tool) : 이기종 마이그레이션 시에 활용 / Continuous, Multi-AZ 가능
77. 시간 데이터 수집 아키텍처. API, 데이터가 스트리밍될 때 데이터를 변환하는 프로세스, 그리고 데이터를 위한 스토리지 솔루션.
Amazon API Gateway(서버리스) + Lambda (서버리스, 데이터 처리) + Amazon Kinesis (실시간성) + S3 (데이터 저장)
= 최소 운영 오버헤드!!!
78. 사용자 거래 데이터를 Amazon DynamoDB 테이블에 보관. 7년 동안 데이터를 보관.
- AWS Backup : 완전 관리형, 자동 백업 서비스 / cross-region, cross-acount 지원 / PITR, On-Demand, Tag-based backup 지원
/ Backup plans를 설정 가능 (주기, 윈도우, 저장기간)
/ Vault Lock : WORM 강제 , 백업을 한층 더 보호
79. Amazon DynamoDB 테이블. 대부분 아침에 사용되지 않습니다. 저녁에는 읽기 및 쓰기 트래픽이 예측할 수 없는 경우가 많습니다. 트래픽 급증이 발생하면 매우 빠르게 발생.
80. 솔루션 아키텍트는 기존 AWS 계정의 Amazon Machine Image(AMI)를 MSP 파트너의 AWS 계정과 공유. AMI는 Amazon Elastic Block Store(Amazon EBS)에서 지원하며 AWS Key Management Service(AWS KMS) 고객 관리 키를 사용하여 EBS 볼륨 스냅샷을 암호화. 솔루션 아키텍트가 MSP 파트너의 AWS 계정과 AMI를 공유하는 가장 안전한 방법?
- AMI : Amazon Machine Image로 ec2 인스턴스의 customizaiotn / boot strap 등을 통해 빠르게 인스턴스 시작 지원
**launchPermission :특정 계정과 공유할 수 있도록 허용!
81. 처리할 작업 수에 따라 필요에 따라 애플리케이션 노드를 추가하고 제거하는 동안 병렬로 실행. 프로세서 애플리케이션은 상태 비저장입니다. 솔루션 아키텍트는 애플리케이션이 느슨하게 결합되어 있고 작업 항목이 내구성 있게 저장.
- SQS : 대기열에 내구성있게 저장 가능 (용량 제한이 없음!!) -> 대기열 항목 수에 따라서 자동확장
82. AWS Certificate Manager(ACM)로 가져온 인증서를 사용하도록 Elastic Load Balancer를 구성. 각 인증서가 만료되기 30일 전에 회사의 보안 팀에 알려야.
- AWS Config를 같이 사용하여 acm-certificate-expiration-check로 유효성을 판단
83. 미국에 있는 온프레미스 서버를 사용하여 호스팅됩니다. 이 회사는 유럽에서 제품을 출시. 새로운 유럽 사용자를 위해 사이트 로딩 시간을 최적화하려고 합니다. 사이트의 백엔드는 미국에 남아야 .
- Amazon CloudFront : Content Delivery Network / 엣지의 캐시를 활용하여 read performance를 증가 (Global Edge Network) / OAC(Origin Accesss Control)로 보안 유지 / Public 네트워크만 사용 가능 / 캐시무효화
※ CORS(Cross-Origin Resource Sharing)과는 다름 : 여기의 CORS Header는 Access-Control-Allow-Origin
❌84. EC2 인스턴스는 피크 시간에 평균 30%의 CPU 사용률을 보이고 비피크 시간에는 10%의 CPU 사용률을 보입니다.
프로덕션 EC2 인스턴스는 하루 24시간 실행됩니다. 개발 및 테스트 EC2 인스턴스는 매일 최소 8시간 실행됩니다. 이 회사는 개발 및 테스트 EC2 인스턴스가 사용되지 않을 때 중단하기 위한 자동화를 구현
- 온디맨드 인스턴스 : 사용한 만큼 pay / 비용 효율성 떨어짐 => 30%, 10% 등으로 어느정도 정해져있으므로 예약이 더 효율적
- 스팟 인스턴스 : MAX price보다 넘어서면 언제든 리소스를 잃을 수 있음 (사용되지 않을 때 중지랑은 개념이 다름)
85. 사용자가 웹 인터페이스나 모바일 앱을 통해 문서를 업로드하는 프로덕션 웹 애플리케이션. 새로운 규제 요건에 따라, 새로운 문서는 저장된 후에는 수정하거나 삭제할 수 없습니다.
- S3 Glacier Vault Lock : WORM(Write Once Read Many Model)에 적용 => 삭제나 변경할 수 없도록 설정
- S3 Object Lock (객체 잠금)
- Retention mode - Compliance (규정 준수 모드) : 루트 사용자까지 포함하여 수정하거나 삭제 불가 / 모드 변경은 불가하지만 기간은 단축 가능
- Retention mode - Governance (거버넌스 모드) : 몇몇 사용자들은 변경, 수정 권한을 가지고 있음
- Legal Hold (법적 보존) : 모든 객체를 무기한으로 보존, S3:PutObjectLegalHold IAM 권한으로 이동과 삭제는 가능
86. 공통 Amazon RDS MySQL Multi-AZ DB 인스턴스에 자주 액세스해야 하는 여러 웹 서버. 사용자 자격 증명을 자주 회전해야 하는 보안 요구 사항을 충족하는 동시에 웹 서버가 데이터베이스에 연결할 수 있는 안전한 방법을 원합니다.
- Amazon Secrets Manager : RDS와 연계하여 DB 접근 사용자 이름, 비번 등을 관리 / rotation of secrets(자동회전)을 강제하여 일정 시간 후 비번 변경 (람다 활용) / replica를 만들어 multi-region에서 활용 가능
+> 필요한 IAM 권한 부여!!
87. Amazon API Gateway API에서 호출하는 AWS Lambda 함수에서 애플리케이션을 호스팅. Lambda 함수는 고객 데이터를 Amazon Aurora MySQL 데이터베이스에 저장. 데이터베이스를 업그레이드할 때마다 Lambda 함수는 업그레이드가 완료될 때까지 데이터베이스 연결을 설정하지 못합니다. 그 결과 일부 이벤트에 대한 고객 데이터가 기록되지 않습니다.
솔루션 아키텍트는 데이터베이스 업그레이드 중에 생성된 고객 데이터를 저장하는 솔루션을 설계해야 합니다.
=> RDS Proxy는 여러개의 DB가 있는 상황에서는 정상적인 DB로 연결해주지만, 이 경우엔 DB 여러개에 대한 언급도 없고 DB 업데이트때는 모든 연결에 문제가 있을수도
🛑88. 미국 내 지역에서 수년간 데이터를 수집했습니다. 이 회사는 3TB 크기이며 계속 증가하는 Amazon S3 버킷에 데이터를 호스팅합니다. 이 회사는 S3 버킷이 있는 유럽 마케팅 회사와 데이터를 공유하기 시작했습니다. 이 회사는 데이터 전송 비용을 최대한 낮추고자 합니다.
- S3 크로스 리전 복제 (CRR) : 비동기적으로 S3를 다른 리전에 복제 / 규정준수, 지연시간 줄임, 다른 계정 간 복제 시에 유용 => AWS 프라이빗 네트워크 내에서 이루어지므로 가격적인 이점 있음
- SRR (Same-Region Replication) : 비동기적으로 s3를 동일 리전에 복제 / 로그 기록, production과 test 간의 복제
- Cross-Account Access : S3 버킷 policy를 수정하여 다른 계정에서 접근하게끔도 할 수 있음. 단, 이경우엔 데이터 전송비용이 많이 들수 밖에!!
89. S3 버킷은 버킷 정책을 사용하여 최소 권한 원칙에 따라 감사팀 IAM 사용자 자격 증명에 대한 액세스를 제한. 회사 관리자는 S3 버킷에서 실수로 문서를 삭제하는 것을 걱정하고 보다 안전한 솔루션을 원합니다.
- S3 Versioning : 버킷 레벨에서 동일한 키의 데이터면 버전으로 업로드
- S3 MFA Delete : 완전한 삭제나 버저닝 설정 시에 MFA 인증을 하도록 강제함 (bucket owner인 root account만 가능)
90. 공개적으로 액세스할 수 있는 영화 데이터를 저장하기 위해 SQL 데이터베이스를 사용하고 있습니다. 이 데이터베이스는 Amazon RDS Single-AZ DB 인스턴스에서 실행. 스크립트는 매일 무작위 간격으로 쿼리를 실행하여 데이터베이스에 추가된 새 영화 수를 기록. 스크립트가 실행 중일 때 개발 작업에 데이터베이스 성능이 부족하다는 것을 알아챘습니다. 솔루션 아키텍트는 이 문제를 해결하기 위한 솔루션을 추천.
91. 한 회사에 VPC의 Amazon EC2 인스턴스에서 실행되는 애플리케이션. 애플리케이션 중 하나는 Amazon S3 API를 호출하여 객체를 저장하고 읽어야 합니다. 회사의 보안 규정에 따라 애플리케이션의 트래픽은 인터넷을 통과할 수 없습니다.
- VPC 엔드포인트 (AWS PrivateLink) : AWS 서비스를 인터넷 대신 프라이빗 네트워크를 사용하여 연결 가능
/ Interface Endpoints (ENI security group 사용) + Gateway Endpoint (라우트 테이블 사용)
92. Amazon S3 버킷에 민감한 사용자 정보를 저장하고 있습니다. 이 회사는 VPC 내부의 Amazon EC2 인스턴스에서 실행되는 애플리케이션 계층에서 이 버킷에 대한 보안 액세스를 제공하려고 합니다.
- 프라이빗 네트워크 사용을 위한 VPC 게이트웨이 엔드포인트 (VPC) + VPC로부터 오는 엑세스를 허용하는 버킷정책 (S3 bucket policy)
❌93. MySQL 데이터베이스로 구동되는 온프레미스 애플리케이션을 실행. 정상 작동 시간 동안 데이터베이스에서 많은 읽기 활동을 보여줍니다. 4시간마다 회사의 개발팀은 프로덕션 데이터베이스의 전체 내보내기를 가져와 스테이징 환경에서 데이터베이스를 채웁니다. 이 기간 동안 사용자는 허용할 수 없는 애플리케이션 지연을 경험합니다. 개발팀은 절차가 완료될 때까지 스테이징 환경을 사용할 수 없습니다.
솔루션 아키텍트는 애플리케이션 지연 문제를 완화하는 대체 아키텍처를 권장해야 합니다. 또한 대체 아키텍처는 개발팀이 지연 없이 스테이징 환경을 계속 사용할 수 있는 기능을 제공.
- Aurora : AWS 전용 기술로, PG와 MySQL을 지원 / 3AZ에 걸쳐서 6개의 copies를 가질 수 있고, Master와 15개의 read replicas를 가짐
/ Cross Region Replication도 가능은 함
/ Custom Endpoints : 용도에 따라 어떤 replica로 갈지 지정 가능
/ Proxy Fleet : 프록시로 요청이 들어와, 요청의 양에 따라서 오토스케일링 가능 (pay per second)
/ Global Aurora : 1개의 primary region이 있고, 5개까지의 secondary regions 들이 있음, 장애 시 secondary를 primary로 승급 가능
/ Aurora DB Cloning (복제!!) : copy-on-write protococl을 사용해서 새로운 오로라 db를 만듦 -> staging db로 활용
=> RDS보다 높은 성능, auto scaling이 더 쉬움
/ resotore from S3 : 온프레미스 db일 때는 Percona XtraBackup 활용, 그 외 S3, new Aurora
94. 사용자가 작은 파일을 Amazon S3에 업로드하는 애플리케이션을 설계하고 있습니다. 사용자가 파일을 업로드하면 해당 파일은 데이터를 변환하고 JSON 형식으로 저장하여 나중에 분석할 수 있도록 하는 간단한 일회성 처리. 각 파일은 업로드 후 가능한 한 빨리 처리해야 합니다. 수요는 다양합니다. 어떤 날에는 사용자가 많은 수의 파일을 업로드합니다. 다른 날에는 사용자가 몇 개의 파일을 업로드하거나 전혀 업로드하지 않습니다.
어떤 솔루션이 운영 오버헤드를 최소화하면서 이러한 요구 사항을 충족할???
SQS (이벤트 처리, 분리) + AWS Lambda (데이터 처리, 서버리스) + Dynamo DB (서버리스)
- D의 EventBridge와 DataStreams는 대량의 데이터를 실시간으로 스트리밍하고 처리할 때 사용
95. 제품 데이터는 Amazon RDS MySQL DB 인스턴스에 저장됩니다. 운영 팀은 애플리케이션 성능 저하를 분리하고 읽기 트래픽과 쓰기 트래픽을 분리하려고 합니다. 솔루션 아키텍트는 애플리케이션의 성능을 빠르게 최적화
=> 읽기 부하를 일관되게 처리할려면 동일한 컴퓨팅 및 스토리지 리소스 할당 필요!!!
🛑96. IAM Policy
- CIDR = Classes Inter-Domain Routing으로 IP Address range를 정의
ex> 10.100.100.0/24 : 2^(32-24) = 2^8 = 256개의 IP 허용 10.100.100.0 ~ 10.100.100.255
+> VPC마다 5개의 IP 주소는 예약됨
(EX> CIDR 10.0.0.0/24 : 10.0.0.0 - 네트워크주소, 10.0.0.1 - VPC router, 10.0.0.2 - Amazon-provided DNS,
10.0.0.3 - AWS 미래 사용자를 위해, 10.0.0.255 - 네트워크 브로드캐스트 주소)
97. 온프레미스에서 실행되는 대규모 Microsoft SharePoint 배포를 실행 중이며, Microsoft Windows 공유 파일 스토리지가 필요. 워크로드를 AWS 클라우드로 마이그레이션하려고 하며 다양한 스토리지 옵션을 고려하고 있습니다. 스토리지 솔루션은 고가용성이어야 하며 액세스 제어를 위해 Active Directory와 통합.
- Microsoft Active Directory (AD) : AD Domain Services를 가진 윈도우 서버로, Domain Controller가 로그인 정보가 있는지 확인하여 로그인을 허용해주는 중앙화된 보안 관리 시스템 / trees & forest
/ AWS Managed Microsoft AD (온프레미스, AWS 모두_양방향) , AD Connector(온프레미스), Simple AD (온프레미스 조인X)
- Amazon FSx for Windows : SMB 프로토콜, 윈도우 NTFS 지원 / 온프레미스의 윈도우 파일서버와 결합
❌98. S3 이벤트 알림을 설정하여 Amazon Simple Queue Service(Amazon SQS) 표준 대기열에 객체 생성 이벤트를 게시합니다. SQS 대기열은 이미지를 처리하고 결과를 이메일을 통해 사용자에게 보내는 AWS Lambda 함수의 이벤트 소스 역할을 합니다.
사용자는 업로드된 모든 이미지에 대해 여러 이메일 메시지를 받는다고 보고합니다. 솔루션 아키텍트는 SQS 메시지가 Lambda 함수를 두 번 이상 호출하여 여러 이메일 메시지를 생성한다는 것을 확인합니다. 솔루션
아키텍트는 최소한의 운영 오버헤드로 이 문제를 해결
- SQS 메시지 가시성 초과 : 메시지가 POLL된 후 다른 사용자에게 일정시간동안 보이지 않게끔 (default 30초)
-> ChangeMessageVisibility API : 소비자가 처리하는데 더 시간이 필요할 때, 가시성 시간 초과를 늘림!!!!!
- Long polling : 메시지가 올때까지 기다리는 것 -> SQS로 만들어지는 API 호출량을 줄이기 위해 (WaitTimeSeconds 활용)
- FIFO Que : Message dedplication ID를 설정해서 중복 발송을 방지, 중복메시지를 삭제하는 건 아님!! (생산자 입장!!!)
99. 온프레미스 데이터 센터에 호스팅된 게임 애플리케이션에 대한 공유 스토리지 솔루션을 구현하고 있습니다. 이 회사는 Lustre 클라이언트를 사용하여 데이터에 액세스할 수 있어야 합니다. 솔루션은 완전히 관리
- Amazon FSx for Lustre : HPC(고성능 컴퓨팅)을 처리하기 위한 분산형 파일시스템 (리눅스 + 클러스터)
/ SSD, HDD 옵션이 있음 / S3와 seamless하게 결합
/ Scratch File System (단기간 프로세싱) + Persistent File Systme (동일 AZ내에서 데이터가 복제되고 장기간 프로세싱)
🛑100. 컨테이너화된 애플리케이션은 Amazon EC2 인스턴스에서 실행됩니다. 애플리케이션은 다른 비즈니스 애플리케이션과 통신하기 전에 보안 인증서를 다운로드해야 합니다. 회사는 인증서를 거의 실시간으로 암호화하고 복호화하는 매우 안전한 솔루션을 원합니다. 솔루션은 또한 데이터가 암호화된 후 고가용성 스토리지에 데이터를 저장
- AWS KMS : AWS가 KMS 키를 관리 / Symmetric(대칭 AES-256 keys) + Asymmetric(비대칭 RSA&ECC 키페어/public 암호키와 private 복호화키) / Automatic Key rotation (1년) / 리전 단위 / KMS Key policy
- Amazon S3 : 고가용성의 스토리지 ("infinitely scaling") / 버킷 (리전 레벨이지만 globally하게 unique한 이름을 가진 딕셔너리 개념) + objects (file 개념, prefix+object name으로 이루어진 full path를 가짐)
/ 99.99999% 의 내구성과 99.9999%의 가용성
-Amazon EBS (Elastic Block System) : AZ 단위로 묶여있고, 기본적으론 한 인스턴스에만 attach 가능 (io1/io2는 multi도 제공) / EC2 인스턴스가 종료 시에 비활성화 됨 (옵션) => 고가용성과는 성격이 멀다