Amazon AWS Certified Solutions Architect - Professional SAP-C02 시험덤프 정리 (1)

Q1.

회사는 하이브리드 DNS 솔류션을  설계해야 합니다. 이 솔루션은 VPC 내에 저장된 리소스에 대해 도메인 cloud.example.com에 대해 Amazon Route 53프라이빗 호스팅 영역을 사용합니다.

회사에는 다음과 같은 DNS 확인 요구 사항이 있습니다. 

온프레미스 시스템은 could.example.com을 확인하고 연결할 수 있어야 합니다.

모든 VPC는 cloud.example.com을 확인할 수 있어야 합니다.

온프레미스 회사 네트워크와 AWS Transit Gateway 사이에 이미 AWS Direct Connect 연결이 있습니다. 

회사는 최고의 성능으로 이러한 요구 사항을 충족하기 위해 어떤 아키텍처를 사용해야 합니까 ?

Solution

B. 프라이빗 호스팅 영역을 모든 VPC에 연결합니다. 공유 서비스 VPC에서 Route 53 인바운드 해석기를 생성합니다. 모든 VPC를 전송 게이트웨이에 연결하고 인바운드 해석기를 가리키는 could.example.com에 대한 온프레미스 DNS 서버에서 전달 규칙을 생성합니다. 

 

* VPC : Virtual Private Cloud(VPC)는 사용자의 AWS 계정 전용 가상 네트워크입니다. VPC는 AWS 클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있습니다. VPC의 IP 주소 범위를 지정하고 서브넷과 게이트웨이를 추가하고 보안 그룹을 연결합니다.

* Amazon Route 53

최종 사용자를 인터넷 애플리케이션으로 라우팅하는 안정적이고 비용 효율적인 방법

전 세계에 분산된 도메인 이름 시스템(DNS) 서버 및 자동 크기 조정을 통해 최종 사용자를 사용자의 사이트에 안정적으로 라우팅할 수 있습니다.

 

Q2.

한 회사에서 REST 기반 API를 통해 여러 고객에게 날씨 데이터를 제공하고 있습니다. API는 Amazon API Gateway에서 호스팅되며 각 API 작업에 대해 서로 다른 AWS Lamda 함수가 통합됩니다. 이 회사는 DNS에 Amazon Route 53을 사용하고 wearher.example.com이라는 리소스 레코드를 생성했습니다. 회사는 API용 데이터를 Amazon DynamoDB 테이블에 저장합니다. 회사는 API가 다른 AWS 리전으로 장애 조치할 수 있는 기능을 제공하는 솔루션이 필요합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Solution

D. 다른 리전에 새 API Gateway API 및 Lamda함수를 배포합니다. Route 53 DNS 레코드를 장애 조치 레코드로 변경합니다. 대상 상태 모니터링을 활성화합니다. Dynamo DB 테이블을 전역 테이블로 변환합니다.

 

 

Q3.

회사에 여러 비즈니스 단위가 있습니다. 각 비즈니스 단위에는 자체 AWS 계정이 있으며 해당 계정 내에서 단일 웹 사이트를 실행합니다. 회사에는 단일 로깅 계정도 있습니다. 각 사업부 웹 사이트의 로그는 로깅 계정의 단일 Amazon S3 버킷으로 집계됩니다. S3 버킷 정책은 각 사업부에 데이터를 버킷에 쓸 수 있는 액세스 권한을 제공하며 데이터를 암호화해야 합니다.

회사는 단일 AWS Key Management Service(AWS KMS) CMK를 사용하여 버킷에 업로드된 로그를 암호화해야 합니다. 데이터를 보호하는 CMK는 365일마다 한 번씩 교체되어야 합니다.

회사가 이러한 요구 사항을 충족하기 위해 사용할 수 있는 운영상 가장 효율적인 전략은 무엇입니까?

Solution

B. 로깅 계정에서 고객 관리형 CMK를 생성합니다. 로깅 계정 및 사업부 계정에 대한 액세스를 제공하도록 CMK 키 정책을 업데이트합니다. CMK의 자동 교체 활성화

 

* Amazon S3

어디서나 원하는 양의 데이터를 검색할 수 있도록 구축된 객체 스토리지

* CMK

고객 마스터 키

 

 

Q4.

회사의 AWS 아키텍처는 현재 각 인스턴스에 저장된 액세스 키와 비밀 액세스 키를 사용하여 AWS 서비스에 액세스합니다. 데이터베이스 자격 증명은 각 인스턴스에 하드 코딩되어 있습니다. 명령줄 원격 액세스를 위한 SSH 키는 보안 Amazon S3 버킷에 저장됩니다. 이 회사는 솔루션 설계자에게 운영 복잡성을 추가하지 않고 아키텍처의 보안 태세를 개선하도록 요청했습니다.

이를 달성하기 위해 솔루션 설계자는 어떤 단계 조합을 수행해야 합니까? (3개 선택)

Solution

A. IAM 역할과 함께 Amazon EC2 인스턴스 프로필 사용

C. AWS Systems Manager Parameter Store를 사용하여 데이터베이스 자격 증명 저장

F. 원격 액세스를 위해 AWS Systems Manager Session Manager 사용

 

* Amazon EC2 

거의 모든 워크로드에 적합한 안전하고 크기 조정 가능한 컴퓨팅 용량

애플리케이션을 위한 안전한 컴퓨팅 제공

 

 

Q5.

회사에서 AWS로 마이그레이션할 계획입니다. 솔루션 설계자는 플릿을 통해 AWS Application Discovery Service를 사용하고 Oracle 데이터 웨어하우스와 여러 PostgreSQL 데이터베이스가 있음을 발견합니다.

라이선스 비용과 운영 오버헤드를 줄이는 마이그레이션 패턴의 조합은 무엇입니까? (2개 선택)]

Solution

B. AWS SCT 및 AWS QMS를 사용하여 Oracle 데이터 웨어하우스를 Amazon Redshift로 마이그레이션합니다.

D. AWS DMS를 사용하여 PostgreSQL 데이터베이스를 PostgreSQL용 Amazon RDS로 마이그레이션합니다.

 

 

Q6.

건강 보험 회사는 Amazon S3 버킷에 개인 식별 정보(PII)를 저장합니다. 회사는 S3 관리형 암호화 키(SSE-S3)로 서버 측 암호화를 사용하여 개체를 암호화합니다. 새로운 요구 사항에 따라 S3 버킷의 모든 현재 및 미래 개체는 회사의 보안 팀이 관리하는 키로 암호화되어야 합니다. S3 버킷에 버전 관리가 활성화되어 있지 않습니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Solution

D. S3 버킷 속성에서 고객 관리 키를 사용하여 기본 암호화를 AES-256으로 변경합니다. S3 버킷에 액세스하는 모든 엔터티에 대한 암호화되지 않은 PutObject 요청을 거부하는 정책을 연결합니다. AWS CLI를 사용하여 S3 버킷의 모든 객체를 다시 업로드합니다.

 

* AWS CLI (Command Line Interface)

AWS Command Line Interface(AWS CLI)는 AWS 서비스를 관리하는 통합 도구입니다. 하나의 도구만 다운로드하여 구성하면 여러 개의 AWS 서비스를 명령줄에서 제어하고 스크립트를 통해 자동화할 수 있습니다.

AWS CLI v2는 개선된 설치 프로그램, AWS IAM Identity Center(AWS SSO의 후속 서비스)와 같은 새로운 구성 옵션, 다양한 상호작용 기능을 비롯한 여러 가지 새로운 기능을 제공합니다. 

 

 

Q7

회사가 AWS 클라우드에서 애플리케이션을 실행하고 있습니다. 애플리케이션은 Application Load Balancer 뒤의 여러 가용 영역에 있는 Amazon EC2 인스턴스 플릿에서 실행되는 마이크로서비스로 구성됩니다. 이 회사는 최근 Amazon API Gateway에서 구현된 새로운 REST API를 추가했습니다. EC2 인스턴스에서 실행되는 일부 이전 마이크로서비스는 이 새로운 API를 호출해야 합니다. 회사는 공용 인터넷에서 API에 액세스하는 것을 원하지 않으며 독점 데이터가 공용 인터넷을 통과하는 것을 원하지 않습니다.

솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

Solution

B. API 게이트웨이에 대한 인터페이스 VPC 엔드포인트를 생성하고 특정 API에 대한 액세스만 허용하도록 엔드포인트 정책을 설정합니다. VPC 엔드포인트에서의 액세스만 허용하도록 API 게이트웨이에 리소스 정책을 추가합니다. API 게이트웨이 엔드포인트 유형을 프라이빗으로 변경합니다.

 

* Amazon E2C

거의 모든 워크로드에 적합한 안전하고 크기 조정 가능한 컴퓨팅 용량

 

 

Q8

회사는 단일 공유 VPC에서 호스팅되는 중앙 집중식 Amazon EC2 애플리케이션을 제공합니다. 중앙 집중식 애플리케이션은 다른 사업부의 VPC에서 실행되는 클라이언트 애플리케이션에서 엑세스할 수 있어야 합니다. 중앙 집중식 애플레키여슨 프런트 엔드는 확장성을 위해 NLB(Network Load Balacer)로 구성됩니다.

최대 10개의 사업부 VPC를 공유 VPC에 연결해야 합니다. 사업부 VPC CIDER 블록 중 일부는 공유 VPC와 겹칩니다. 그리고 일부는 서로 겹칩니다. 공유 VPC의 중앙 집중식 애플리케이션에 대한 네트워크 연결은 승인된 사업부 VPC에서만 허용되어야 합니다.

비즈니스 단위 VPC의 클라이언트 애플리케이션에서 공유 VPC의 중앙 집중식 애플리케이션으로 연결을 제공하기 위해 솔루션 설계자가 사용해야하는 네트워크 구성은 무엇입니까? 

Solution

B. 중앙 집중식 애플리케이션 NLB를 사용하여 VPC 엔드포인트 서비스를 생성하고 엔드포인트 승인을 요구하는 옵션을 활성화합니다. 엔드포인트 서비스의 서비스 이름을 사용하여 각 사업부 VPC에서 VPC엔드포인트를 생성합니다. 엔드포인트 서비스 콘솔에서 인증된 엔드포인트 요청을 수락합니다.