1
회사에 사진 공유를 위한 소셜 네트워킹 응용 프로그램이 있습니다. 균일한 사용자 경험을 제공하기 위해 기업은 사용자가 업로드한 사진을 프로그램에 게시하기 전에 일부 이미지 처리를 수행합니다. 이미지 처리는 Python 라이브러리 모음을 사용하여 수행됩니다.
현재 아키텍처는 다음과 같습니다.
✑ 이미지 처리 Python 코드는 단일 Amazon EC2 인스턴스에서 실행되고 처리된 이미지는 ImageBucket이라는 Amazon S3 버킷에 저장됩니다.
✑ 다른 버킷에서 호스팅되는 프런트 엔드 애플리케이션은 ImageBucket에서 이미지를 로드하여 사용자에게 표시합니다.
전 세계적인 개발 열망으로 회사는 프로그램이 성장함에 따라 관리 복잡성을 줄이는 동시에 더 높은 수요에 대한 응용 프로그램을 확장하기 위해 현재 아키텍처를 수정하려고 합니다.
솔루션 설계자는 함께 어떤 조정을 해야 합니까? (2개를 선택하세요.)
A. 이미지 처리 EC2 인스턴스를 Auto Scaling 그룹에 배치합니다.
B. AWS Lambda를 사용하여 이미지 처리 작업을 실행합니다.
C. 이미지 처리를 위해 Amazon Rekognition을 사용합니다.
D. ImageBucket 앞에 Amazon CloudFront를 사용합니다.
E. Amazon ECS 클러스터에 애플리케이션을 배포하고 Service Auto Scaling을 적용합니다.2
AWS Organizations는 기업에서 1개의 상위 계정과 9개의 구성원 계정을 관리하는 데 사용됩니다. 회원 계정의 수는 회사의 성장에 발맞추어 확장될 것입니다. 규정 준수를 위해 보안 엔지니어가 AWS CloudTrail 로그를 상위 계정에 통합하도록 요청했습니다. 각 멤버 계정 내 Amazon S3 버킷의 기존 로그는 손실되지 않아야 합니다. 모든 후속 멤버 계정은 로깅 방식을 따라야 합니다.
이러한 기준을 충족하는 운영상 효율적인 솔루션은 무엇입니까?
A. 교차 계정 역할이 있는 각 구성원 계정에 AWS Lambda 함수를 생성합니다. 새 CloudTrail 로그가 생성되면 Lambda 함수를 트리거하고 CloudTrail 로그를 중앙 집중식 S3 버킷에 복사합니다. CloudTrail이 제대로 구성되지 않은 경우 경고하도록 Amazon CloudWatch 경보를 설정합니다.
B. 각 구성원 계정에서 CloudTrail을 구성하여 중앙 S3 버킷에 로그 이벤트를 전달합니다. 중앙 S3 버킷 정책이 멤버 계정에서 PutObject 액세스를 허용하는지 확인합니다. 기존 로그를 중앙 S3 버킷으로 마이그레이션합니다. CloudTrail이 제대로 구성되지 않은 경우 경고하도록 Amazon CloudWatch 경보를 설정합니다.
C. 상위 계정에서 조직 수준 CloudTrail을 구성하여 로그 이벤트를 중앙 S3 버킷으로 전달합니다. 각 구성원 계정의 기존 CloudTrail 로그를 중앙 S3 버킷으로 마이그레이션합니다. 기존 CloudTrail을 삭제하고 멤버 계정에 로그인합니다.
D. 상위 계정에서 조직 수준 CloudTrail을 구성하여 로그 이벤트를 중앙 S3 버킷으로 전달합니다. 각 구성원 계정에서 CloudTrail을 구성하여 중앙 S3 버킷에 로그 이벤트를 전달합니다.3
사용자는 경매 웹사이트에서 수집 가능한 물건에 입찰할 수 있습니다. 경매 규정에 따르면 각 입찰은 접수된 순서대로 한 번만 처리되어야 합니다. 현재 접근 방식은 Amazon Kinesis Data Streams에 입찰 레코드를 쓰는 Amazon EC2 웹 서버 집합을 기반으로 합니다. 단일 t2.large 인스턴스는 Kinesis Data Streams에서 들어오는 입찰을 수신하고 분석하는 입찰 프로세서를 실행하는 크론 작업으로 구성됩니다. 경매 사이트가 인기를 얻고 있지만 사용자는 특정 입찰가가 등록되지 않았다고보고합니다.
문제 해결에 따르면 입찰 프로세서는 수요가 많은 시간에 비효율적이며 처리 중에 주기적으로 충돌하며 처리 중인 레코드를 추적하지 못하는 경우가 있습니다.
입찰 처리의 신뢰성을 높이려면 어떤 조정이 필요합니까?
A. Kinesis Data Streams에 입찰을 게시할 때 Amazon Kinesis Producer Library(KPL)를 사용하도록 웹 애플리케이션을 리팩터링합니다. 입찰 프로세서를 리팩터링하여 Kinesis Data Streams의 각 레코드를 읽지 않음, 처리 중 및 처리 중임을 표시합니다. 각 입찰 처리 실행이 시작될 때 Kinesis Data Streams에서 처리되지 않은 레코드를 검색합니다.
B. Kinesis Data Streams 대신 Amazon SNS 주제에 수신되는 각 입찰을 게시하도록 웹 애플리케이션을 리팩터링합니다. 사용자가 제출하는 즉시 각 입찰을 처리하는 AWS Lambda 함수를 트리거하도록 SNS 주제를 구성합니다.
C. 웹 애플리케이션을 리팩터링하여 수신되는 각 입찰을 Kinesis Data Streams 대신 Amazon SQS FIFO 대기열에 게시합니다. 입찰 프로세서를 지속적으로 SQS 대기열로 리팩토링합니다. 최소 및 최대 크기가 1인 Auto Scaling 그룹에 입찰 처리 EC2 인스턴스를 배치합니다.
D. EC2 인스턴스 유형을 t2.large에서 더 큰 일반 컴퓨팅 인스턴스 유형으로 전환합니다. Kinesis Data Streams의 IncomingRecords 지표를 기반으로 입찰 프로세서를 실행하는 EC2 인스턴스의 수를 확장하는 Auto Scaling 그룹에 입찰 프로세서 EC2 인스턴스를 넣습니다.4
다음을 사용하여 S3 버킷 및 객체에 대한 액세스를 제한할 수 있습니다.
A. ID 및 액세스 관리(IAM) 정책.
B. 액세스 제어 목록(ACL).
C. 버킷 정책.
D. 위의 모든 것5
데이터 센터에 호스팅된 가상 머신에서 Amazon VPC로 레거시 애플리케이션을 마이그레이션하는 책임을 맡았습니다. 유감스럽게도 이 앱은 많은 사내 서비스에 액세스해야 하며 설정한 사람이 더 이상 회사에서 일하지 않습니다. 더 나쁜 것은 문서가 없다는 것입니다.
VPC 내부에서 작동하는 애플리케이션이 재구성 없이 내부 종속성과 통신하고 액세스할 수 있도록 하는 것은 무엇입니까? (3개를 선택하세요.)
A. VPC와 내부 서비스를 수용하는 네트워크 간의 AWS Direct Connect 링크.
B. VPN 연결을 허용하는 인터넷 게이트웨이.
C. VPC 인스턴스의 탄력적 IP 주소
D. 온프레미스와 충돌하지 않는 IP 주소 공간
E. 인스턴스가 종속성의 IP 주소를 확인할 수 있도록 허용하는 Amazon Route 53의 항목
F. 현재 가상 머신의 VM 가져오기6
기업은 이제 개발자가 Amazon EC2, Amazon S3 및 Amazon DynamoDB에 액세스하는 것을 제한하기 위해 AWS Organizations를 채택하고 있습니다. 개발자는 별개의 조직 엔티티(OU)입니다. 개발자 계정에서 Solutions Architect는 다음 SCP를 구현했습니다.
이 정책을 배포한 후 개발자 계정의 IAM 사용자는 정책에 포함되지 않은 AWS 서비스를 계속 사용할 수 있습니다.
개발자가 이 정책이 적용되지 않는 서비스에 액세스하지 못하도록 하려면 Solutions Architect에서 무엇을 해야 합니까?
A. 제한해야 하는 각 AWS 서비스에 대해 명시적 거부 문을 생성합니다.
B. 개발자 계정의 OU에서 FullAWSAccess SCP를 제거합니다.
C. 모든 서비스를 명시적으로 거부하도록 FullAWSAccess SCP를 수정합니다.
D. SCP 끝에 와일드카드를 사용하여 명시적 거부 문을 추가합니다.7
이전에는 콘텐츠 전송 네트워크를 타사 공급업체에 의존했지만 이제 막 Amazon CloudFront로 전환한 기업이 있습니다. 개발 팀은 전 세계 사용자 기반에 가능한 최고의 성능을 제공하기 위해 최선을 다하고 있습니다. 조직은 콘텐츠 관리 시스템(CMS)을 사용하여 정적 및 동적 정보를 모두 처리합니다.
CMS는 배포의 기본 오리진으로 구성된 ALB(Application Load Balancer) 뒤에 숨겨져 있습니다. 정적 자료는 Amazon S3의 버킷에서 제공됩니다.
OAI(Origin Access Identity)가 성공적으로 구성되고 S3 버킷 정책이 OAI에서 GetObject 작업을 허용하도록 조정되었지만 정적 자산은 404 오류를 생성합니다.
솔루션 설계자는 오류를 수정하기 위해 어떤 조치를 취해야 합니까? (2개를 선택하세요.)
A. 정적 자산에 대한 CloudFront 배포에 다른 오리진을 추가합니다.
B. ALB에 경로 기반 규칙을 추가하여 정적 자산에 대한 요청을 전달합니다.
C. 정적 콘텐츠와 동적 콘텐츠 모두를 캐싱할 수 있도록 RTMP 배포를 추가합니다.
D. 경로 패턴 및 정적 자산의 오리진에 대한 동작을 CloudFront 배포에 추가합니다.
E. 호스트 헤더 조건을 ALB 리스너에 추가하고 CloudFront에서 헤더를 전달하여 트래픽을 허용 목록에 추가합니다.8
솔루션 설계자는 Amazon CloudFront를 통해 배포되고 Amazon S3 웹 사이트 엔드포인트에서 시작되는 공개적으로 사용 가능한 온라인 애플리케이션을 개발하고 있습니다. 솔루션을 배포한 후 웹 사이트에 오류 403: 액세스 거부 알림이 표시됩니다.
솔루션 설계자는 문제를 해결하기 위해 어떻게 진행해야 합니까? (2개를 선택하세요.)
A. S3 버킷에서 S3 퍼블릭 액세스 차단 옵션을 제거합니다.
B. S3 버킷에서 요청자 지불 옵션을 제거합니다.
C. CloudFront 배포에서 원본 액세스 ID(OAI)를 제거합니다.
D. 스토리지 클래스를 S3 Standard에서 S3 One Zone-Infrequent Access(S3 One Zone-IA)로 변경합니다.
E. S3 객체 버전 관리를 비활성화합니다.9
솔루션 설계자는 애플리케이션이 버지니아 북부 데이터 센터에서 호스팅되는 기업을 위한 네트워크 솔루션을 만들고 있습니다. 회사의 데이터 센터 애플리케이션은 동일한 계정 내 us-east-1의 가상 사설 클라우드(VPC) 및 us-west-2의 보조 VPC에서 작동하는 애플리케이션과 비교하여 예측 가능한 성능을 요구합니다. 회사의 데이터 센터는 US-east-1 AWS Direct Connect 시설에 있습니다. 조직은 이미 AWS Direct Connect 연결을 주문하고 교차 연결을 생성했습니다.
가장 저렴한 가격으로 기준을 충족하는 옵션은 무엇입니까?
A. Direct Connect 게이트웨이를 프로비저닝하고 us-east-1의 VPC용 VGW(가상 프라이빗 게이트웨이)와 us-west-2의 VPC용 VGW를 연결합니다. Direct Connect 연결에서 프라이빗 VIF를 생성하고 이를 Direct Connect 게이트웨이에 연결합니다.
B. us-east-1 및 us-west-2 리전에 있는 회사의 각 VPC에 대해 Direct Connect 연결에 프라이빗 VIF를 생성합니다. 프라이빗 VIF를 통해 해당 지역의 VPC와 직접 연결하도록 회사의 데이터 센터 라우터를 구성합니다.
C. us-east-1 리전에서 Amazon EC2 기반 라우터 인스턴스를 사용하여 전송 VPC 솔루션을 배포합니다. us-east-1 및 us-west-2 지역에 있는 전송 라우터와 가상 사설 게이트웨이(VGW) 사이에 IPsec VPN 터널을 설정합니다. 이 지역은 해당 지역의 회사 VPC에 연결됩니다. Direct Connect 연결에서 공용 VIF를 만들고 전송 라우터와 회사의 데이터 센터 라우터 사이에서 공용 VIF를 통해 IPsec VPN 터널을 설정합니다.
D. us-west-2 지역에 대한 연결을 사용하여 Direct Connect 시설에 대한 두 번째 Direct Connect 연결을 주문합니다. 파트너와 협력하여 Direct Connect 시설에서 회사 데이터 센터까지 다크 파이버를 통해 네트워크 확장 링크를 설정합니다. 해당 지역에 있는 회사의 각 VPC에 대한 Direct Connect 연결에서 프라이빗 VIF를 설정합니다. 프라이빗 VIF를 통해 해당 지역의 VPC와 직접 연결하도록 회사의 데이터 센터 라우터를 구성합니다.10
비즈니스의 처리 팀에는 프로덕션 애플리케이션이 있는 AWS 계정이 있습니다. 애플리케이션은 NLB(Network Load Balancer)를 통해 라우팅되는 Amazon EC2 인스턴스에서 호스팅됩니다. eu-west-1 리전의 VPC 내부 프라이빗 서브넷은 EC2 인스턴스를 호스팅하는 데 사용됩니다. 10.0.0.0/16의 CIDR 블록이 VPC에 할당되었습니다. 최근에 결제 팀은 새 AWS 계정을 구축하고 eu-central-1 리전의 VPC 아래 프라이빗 서브넷에 보관된 EC2 인스턴스에 애플리케이션을 배포했습니다. 새로운 가상 사설 클라우드에는 CIDR 블록 10.0.0.0/16이 할당됩니다.
독점 TCP 포트를 통해 처리 응용 프로그램과 청구 응용 프로그램 간의 보안 통신이 필요합니다.
솔루션 설계자는 가능한 최소 운영 작업량으로 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?
A. 결제 팀 계정에서 192.168.0.0/16의 CIDR 블록을 사용하는 새 VPC와 서브넷을 eu-central-1에 생성합니다. 새 서브넷에 애플리케이션을 다시 배포합니다. 두 VPC 간에 VPC 피어링 연결을 구성합니다.
B. 처리 팀의 계정에서 eu-west-1의 VPC에 192.168.0.0/16의 추가 CIDR 블록을 추가합니다. 새 IP 주소를 얻을 수 있도록 각 EC2 인스턴스를 다시 시작합니다. 두 VPC 간에 리전 간 VPC 피어링 연결을 구성합니다.
C. 결제 팀 계정에서 192.168.0.0/16의 CIDR 블록을 사용하는 새 VPC와 서브넷을 eu-west-1에 생성합니다. 처리 팀의 계정에 VPC 엔드포인트 서비스(AWS PrivateLink)를 생성하고 새 VPC에 인터페이스 VPC 엔드포인트를 생성합니다. 두 VPC 간의 결제 팀 계정에서 리전 간 VPC 피어링 연결을 구성합니다.
D. 각 계정에서 CIDR 블록이 192.168.0.0/16 및 172.16.0.0/16인 새 VPC를 생성합니다. 청구 팀의 VPC와 처리 팀의 VPC 간에 리전 간 VPC 피어링 연결을 생성합니다. 트래픽이 VPC 간에 라우팅될 수 있도록 게이트웨이 VPC 엔드포인트를 생성합니다.11
회사 내에서 개발 팀이 새로운 API를 서버리스 앱으로 출시하고 있습니다. 현재 팀은 AWS Management Console을 활용하여 Amazon API Gateway, AWS Lambda 및 Amazon DynamoDB용 리소스를 배포하고 있습니다. Solutions Architect는 향후 서버리스 API 설치를 자동화하는 업무를 담당했습니다.
이것이 어떻게 가능한지?
A. Lambda 지원 사용자 지정 리소스와 함께 AWS CloudFormation을 사용하여 API 게이트웨이를 프로비저닝합니다. AWS::DynamoDB::Table 및 AWS::Lambda::Function 리소스를 사용하여 Amazon DynamoDB 테이블 및 Lambda 함수를 생성합니다. CloudFormation 템플릿 배포를 자동화하는 스크립트를 작성합니다.
B. AWS 서버리스 애플리케이션 모델을 사용하여 리소스를 정의합니다. 코드 리포지토리에 YAML 템플릿 및 애플리케이션 파일을 업로드합니다. AWS CodePipeline을 사용하여 코드 리포지토리에 연결하고 AWS CodeBuild를 사용하여 빌드할 작업을 생성합니다. CodePipeline에서 AWS CloudFormation 배포 공급자를 사용하여 솔루션을 배포합니다.
C. AWS CloudFormation을 사용하여 서버리스 애플리케이션을 정의합니다. Lambda 함수에 대한 버전 관리를 구현하고 버전을 가리키는 별칭을 생성합니다. 배포할 때 트래픽을 최신 버전으로 이동하도록 가중치를 구성하고 트래픽이 이동함에 따라 점차적으로 가중치를 업데이트합니다.
D. 애플리케이션 코드를 AWS CodeCommit 코드 리포지토리에 커밋합니다. AWS CodePipeline을 사용하고 CodeCommit 코드 리포지토리에 연결합니다. AWS CodeBuild를 사용하여 AWS CodeDeploy를 사용하여 Lambda 함수를 빌드하고 배포합니다. CodeDeploy에서 배포 기본 설정 유형을 지정하여 트래픽을 새 버전으로 점진적으로 이동합니다.12
Amazon VPC 서브넷의 다음 속성 중 사실인 것은 무엇입니까? (2개를 선택하세요.)
A. 각 서브넷은 고가용성 환경을 제공하기 위해 2개 이상의 가용 영역에 걸쳐 있습니다.
B. 각 서브넷은 단일 가용 영역에 매핑됩니다.
C. /25의 CIDR 블록 마스크는 지원되는 가장 작은 범위입니다.
D. 기본적으로 모든 서브넷은 프라이빗이든 퍼블릭이든 서로 간에 라우팅할 수 있습니다.
E. 프라이빗 서브넷의 인스턴스는 탄력적 IP가 있는 경우에만 인터넷과 통신할 수 있습니다.13
EC2 호스팅 앱에서 특정 사이트로의 아웃바운드 HTTP 연결을 제한하려는 기업을 위한 URL 화이트리스트 시스템을 생성하고 있습니다. 프록시 소프트웨어를 실행하는 단일 EC2 인스턴스를 설정하여 VPC 내부의 모든 서브넷과 EC2 인스턴스의 트래픽을 수락합니다. 화이트리스트 설정에 지정된 도메인으로만 트래픽을 전달하도록 프록시를 구성합니다. 모든 인스턴스가 새 소프트웨어 업그레이드를 다운로드하는 동안 야간 또는 10분 유지 관리 기간이 있습니다. 각 업데이트의 크기는 약 200MB이며 VPC에는 정기적으로 업데이트를 가져오는 500개의 인스턴스가 있습니다. 며칠 후 특정 컴퓨터에서 전체가 아닌 일부를 다운로드할 수 없다는 것을 발견할 수 있습니다. 유지 관리 기간 동안 예정된 업데이트 중 이러한 업데이트의 다운로드 URL은 프록시의 화이트리스트 설정에 적절하게 표시되며 웹 브라우저를 통해 인스턴스에서 수동으로 액세스할 수 있습니다.
무슨 일이? (2개를 선택하세요.)
A. 크기가 작은 EC2 인스턴스 유형에서 프록시를 실행 중이므로 모든 인스턴스가 제때 업데이트를 다운로드하기에 네트워크 처리량이 충분하지 않습니다.
B. 프라이빗 서브넷의 충분한 크기의 EC2 인스턴스에서 프록시를 실행하고 있고 해당 네트워크 처리량은 크기가 작은 EC2 인스턴스에서 실행되는 NAT에 의해 조절되고 있습니다.
C. 영향을 받는 EC2 인스턴스가 포함된 서브넷의 라우팅 테이블은 소프트웨어 업데이트 위치에 대한 네트워크 트래픽을 프록시로 보내도록 구성되어 있지 않습니다.
D. 프록시를 실행하는 EC2 인스턴스에 충분한 스토리지를 할당하지 않아 네트워크 버퍼가 가득 차 일부 요청이 실패했습니다.
E. 퍼블릭 서브넷에서 프록시를 실행하고 있지만 IGW(인터넷 게이트웨이)를 통해 필요한 네트워크 처리량을 지원하기에 충분한 EIP를 할당하지 않았습니다.14
다음 중 AWS 스토리지 서비스는 무엇입니까? (2개를 선택하세요.)
A. AWS 관계형 데이터베이스 서비스(AWS RDS)
B. AWS ElastiCache
C. AWS Glacier
D. AWS 가져오기/내보내기15
한 회사는 매월 10,000시간의 컴퓨팅 시간이 필요한 새로운 비즈니스 분석 애플리케이션을 구현하려고 합니다. 컴퓨팅 리소스의 유연한 가용성은 허용되지만 가능한 한 비용 효율적이어야 합니다. 또한 조직은 항상 사용할 수 있어야 하는 분석 결과 배포를 위한 보고 서비스를 제공합니다.
Solutions Architect는 이러한 요구 사항을 충족하는 솔루션을 개발하는 데 어떤 접근 방식을 취해야 합니까?
A. 스팟 집합에 보고 서비스를 배포합니다. AWS Fargate를 컴퓨팅 옵션으로 사용하여 분석 애플리케이션을 Amazon ECS의 컨테이너로 배포합니다. Service Auto Scaling에서 사용자 지정 지표를 사용하도록 분석 애플리케이션을 설정합니다.
B. 온디맨드 인스턴스에 보고 서비스를 배포합니다. AWS Fargate를 컴퓨팅 옵션으로 사용하여 분석 애플리케이션을 AWS Batch의 컨테이너로 배포합니다. Service Auto Scaling에서 사용자 지정 지표를 사용하도록 분석 애플리케이션을 설정합니다.
C. AWS Fargate를 컴퓨팅 옵션으로 사용하여 보고 서비스를 Amazon ECS의 컨테이너로 배포합니다. 스팟 집합에 분석 애플리케이션을 배포합니다. 스팟 집합에 적용된 Amazon EC2 Auto Scaling과 함께 사용자 지정 지표를 사용하도록 분석 애플리케이션을 설정합니다.
D. AWS Fargate를 컴퓨팅 옵션으로 사용하여 보고 서비스를 Amazon ECS의 컨테이너로 배포합니다. 온디맨드 인스턴스에 분석 애플리케이션을 배포하고 3년 기간의 예약 인스턴스를 구매합니다. 온디맨드 인스턴스에 적용된 Amazon EC2 Auto Scaling과 함께 사용자 지정 지표를 사용하도록 분석 애플리케이션을 설정합니다.16
서비스 팀의 애플리케이션에 대한 보안 평가 중에 Solutions Architect는 AWS Lambda 함수 코드에 Amazon RDS 데이터베이스에 대한 사용자 이름과 암호 및 AWS IAM 사용자 자격 증명 세트가 포함되어 있음을 발견합니다. Lambda 함수는 로그인과 암호를 사용하여 데이터베이스에 연결하고 별도의 관리 계정에서 IAM 자격 증명을 사용하여 AWS 서비스에 연결합니다.
Solutions Architect는 Lambda 코드를 검사할 수 있는 사람이 자격 증명을 오용하지 않을까 걱정합니다. 관리 계정과 서비스 팀 계정은 별개의 AWS Organizations OU(조직 구성 단위)에 있습니다.
솔루션의 보안을 강화하기 위해 Solutions Architect는 어떤 조합을 수정해야 합니까? (2개를 선택하세요.)
A. AWS에 대한 적절한 액세스 권한이 있는 관리 계정의 역할을 맡도록 Lambda를 구성합니다.
B. AWS Secrets Manager에 저장된 데이터베이스 자격 증명을 사용하고 자동 교체를 활성화하도록 Lambda를 구성합니다.
C. 업데이트된 자격 증명으로 새 Lambda 버전을 배포하여 자격 증명을 매시간 교체하는 Lambda 함수를 생성합니다.
D. 관리 계정의 OU에서 SCP를 사용하여 IAM 사용자가 서비스 팀 계정의 리소스에 액세스하지 못하도록 합니다.
E. 관리 계정에서 AWS Shield Advanced를 활성화하여 무단 IAM 액세스로부터 민감한 리소스를 보호합니다.17
AWS에서 사용자는 공개 웹 사이트를 호스팅합니다. 사용자는 AWS VPC 내부에서 데이터베이스와 애플리케이션 서버를 모두 호스팅하려고 합니다. 사용자가 패치 업그레이드를 수행하기 위해 인터넷에 연결할 수 있는 데이터베이스를 구성하려고 하지만 인터넷의 요청을 수락할 수 없습니다.
사용자는 이것을 어떻게 구성합니까?
A. 아웃바운드 트래픽만 허용하는 보안 그룹으로 프라이빗 서브넷에 DB를 설정합니다.
B. 인바운드 데이터만 허용하는 보안 그룹으로 퍼블릭 서브넷에 DB를 설정합니다.
C. 로컬 데이터 센터에 DB를 설정하고 프라이빗 게이트웨이를 사용하여 애플리케이션과 DB를 연결합니다.
D. 아웃바운드를 위해 NAT를 통해 인터넷에 연결된 프라이빗 서브넷에 DB를 설정합니다.18
한 기업이 아시아 및 남미 청중을 염두에 두고 웹사이트의 새 버전을 출시했습니다. 웹사이트의 미디어 자산은 Amazon S3에 저장되고 Amazon CloudFront를 통해 배포되어 최종 사용자의 성능을 향상시킵니다. 그러나 인증 서비스는 AWS 리전 us-east-1에서만 액세스할 수 있어 고객은 로그인에 어려움을 겪고 있습니다.
Solutions Architect는 적은 관리 노력으로 높은 수준의 보안과 성능을 유지하면서 로그인 경험을 향상시킬 수 있습니까?
A. 각각의 새로운 지역에서 설정을 복제하고 Amazon Route 53 지역 기반 라우팅을 사용하여 사용자에게 가장 가까운 AWS 리전으로 트래픽을 라우팅합니다.
B. Amazon Route 53 가중 라우팅 정책을 사용하여 CloudFront 배포로 트래픽을 라우팅합니다. CloudFront 캐시된 HTTP 메서드를 사용하여 사용자 로그인 경험을 개선하십시오.
C. CloudFront 뷰어 요청 트리거에 연결된 Amazon Lambda@Edge 를 사용하여 세션 만료 시 보안 쿠키 토큰을 유지 관리하여 사용자를 인증하고 권한을 부여하여 여러 지역에서 사용자 경험을 개선합니다.
D. 각 지역의 설정을 복제하고 Network Load Balancer를 사용하여 사용자에게 가장 가까운 지역에서 실행 중인 인증 서비스로 트래픽을 라우팅합니다.19
한 기업이 다양한 인구로부터 방대한 데이터 샘플을 수집하는 연구원을 돕기 위해 유전자 데이터를 수집하는 유전자 보고 장치를 만들고 있습니다. 가제트는 초당 8KB의 게놈 데이터를 데이터 플랫폼으로 전송하며, 데이터 플랫폼은 데이터를 처리 및 분석하고 결과를 연구원에게 전달합니다. 데이터 플랫폼은 다음 사양을 준수해야 합니다.
✑ 들어오는 게놈 데이터를 거의 실시간으로 분석
✑ 데이터가 적응 가능하고 병렬적이며 내구성이 있는지 확인
✑ 처리된 데이터를 데이터 웨어하우스로 전달
이러한 요구 사항을 충족하기 위해 솔루션 설계자는 어떤 접근 방식을 사용해야 합니까?
A. Amazon Kinesis Data Firehouse를 사용하여 인바운드 센서 데이터를 수집하고 Kinesis 클라이언트로 데이터를 분석하고 결과를 Amazon RDS 인스턴스에 저장합니다.
B. Amazon Kinesis Data Streams를 사용하여 인바운드 센서 데이터를 수집하고, Kinesis 클라이언트로 데이터를 분석하고, Amazon EMR을 사용하여 결과를 Amazon Redshift 클러스터에 저장합니다.
C. Amazon S3를 사용하여 인바운드 장치 데이터를 수집하고 Kinesis로 Amazon SQS의 데이터를 분석하고 결과를 Amazon Redshift 클러스터에 저장합니다.
D. Amazon API Gateway를 사용하여 Amazon SQS 대기열에 요청을 넣고, AWS Lambda 함수로 데이터를 분석하고, Amazon EMR을 사용하여 결과를 Amazon Redshift 클러스터에 저장합니다.20
기업은 AWS를 사용하여 웹 서버, 애플리케이션 서버 및 Amazon RDS MySQL 데이터베이스 인스턴스를 포함하는 3계층 애플리케이션을 호스팅합니다. 솔루션 설계자는 5분 RPO(복구 시점 목표)로 재해 복구(DR) 솔루션을 개발하고 있습니다.
어떤 옵션이 비즈니스 요구 사항을 가장 잘 충족합니까?
A. 5분마다 모든 서버의 교차 리전 백업을 수행하도록 AWS Backup을 구성합니다. 재해 발생 시 AWS CloudFormation을 사용하여 백업에서 DR 리전의 3개 계층을 다시 프로비저닝합니다.
B. AWS CloudFormation 드리프트 감지를 사용하여 DR 리전에서 웹 및 애플리케이션 서버 스택의 실행 중인 다른 복사본을 유지 관리합니다. 5분마다 DB 인스턴스의 교차 리전 스냅샷을 DR 리전에 구성합니다. 재해 발생 시 DR 리전의 스냅샷을 사용하여 DB 인스턴스를 복원합니다.
C. Amazon EC2 Image Builder를 사용하여 웹 및 애플리케이션 서버의 AMI를 생성하고 기본 리전과 DR 리전 모두에 복사합니다. DR 리전에서 DB 인스턴스의 리전 간 읽기 전용 복제본을 생성합니다. 재해 발생 시 읽기 전용 복제본을 마스터로 승격하고 AMI를 사용하여 AWS CloudFormation으로 서버를 다시 프로비저닝하십시오.
D. DR 리전에서 웹 및 애플리케이션 서버의 AMI를 생성합니다. 예약된 AWS Glue 작업을 사용하여 DB 인스턴스를 DR 리전의 다른 DB 인스턴스와 동기화합니다. 재해 발생 시 DR 리전의 DB 인스턴스로 전환하고 AMI를 사용하여 AWS CloudFormation으로 서버를 다시 프로비저닝하십시오.21
첫 번째 Lambda 함수를 생성했으며 Cloudwatch 지표를 사용하여 이를 모니터링하려고 합니다.
Cloudwatch는 다음 Lambda 지표 중 어떤 것을 모니터링할 수 있습니까?
A. 총 요청만
B. 상태 확인 실패, 총 요청 및 오류율
C. 총 요청 및 CPU 사용률
D. 총 호출, 오류, 기간 및 스로틀22
AWS Direct Connect 구성의 교차 연결 단계를 완료할 수 있는 "LOA-CFA(Letter of Authorization and Connecting Facility Assignment)"의 올바른 만료 날짜를 결정합니다 .
A. 90일 이내에 교차 연결이 완료되지 않으면 LOA-CFA에서 부여한 권한이 만료됩니다.
B. 가상 인터페이스가 72일 이내에 생성되지 않으면 LOA-CFA가 구식이 됩니다.
다 . 사용자가 지정한 시간 내에 교차 연결이 완료되지 않으면 LOA-CFA에서 부여한 권한이 만료된다.
D. 해당 공급자로부터 지정된 기간 내에 교차 연결이 완료되지 않으면 LOA-CFA가 만료됩니다.23
한 기업이 VPC 내부에 포함된 Amazon EC2 Linux 인스턴스 클러스터에서 새로운 애플리케이션을 시작했습니다. 조직은 피어링 VPC에서 배스천 호스트로 EC2 Linux 인스턴스를 생성했습니다. 애플리케이션 인스턴스의 보안 그룹은 배스천 호스트의 사설 IP 주소에서 TCP 포트 22에 대한 액세스를 제한합니다. 배스천 호스트의 보안 그룹은 0.0.0.0/0에서 TCP 포트 22에 대한 액세스를 허용하여 시스템 관리자가 여러 지점에서 SSH를 통해 애플리케이션 인스턴스에 원격으로 연결할 수 있도록 합니다.
배스천 호스트의 운영 체제 로그를 살펴보는 동안 클라우드 엔지니어는 전 세계에서 수백 건의 실패한 SSH 로그인 시도를 감지합니다. 클라우드 엔지니어는 애플리케이션 인스턴스에 대한 원격 액세스가 제공되는 방식을 수정하고 다음 요구 사항을 준수하기를 원합니다.
✑ 무차별 대입 SSH 로그인 시도를 제거합니다.
✑ SSH 세션 동안 실행된 명령 로그를 유지합니다.
✑ 포트 포워딩 기능을 유지합니다.
애플리케이션 인스턴스에 대한 이러한 원격 액세스 기준을 충족하는 솔루션은 무엇입니까?
A. AWS Systems Manager와 통신하도록 애플리케이션 인스턴스를 구성합니다. 시스템 관리자에게 Session Manager를 사용하여 애플리케이션 인스턴스와 세션을 설정할 수 있는 액세스 권한을 부여합니다. 배스천 호스트를 종료합니다.
B. 지점의 공용 IP 주소에서만 트래픽을 허용하도록 배스천 호스트의 보안 그룹을 업데이트합니다.
C. AWS Client VPN 엔드포인트를 구성하고 각 시스템 관리자에게 인증서를 프로비저닝하여 애플리케이션 VPC에 대한 VPN 연결을 설정합니다. 클라이언트 VPN IPv4 CIDR의 트래픽만 허용하도록 애플리케이션 인스턴스의 보안 그룹을 업데이트합니다. 배스천 호스트를 종료합니다.
D. AWS Systems Manager와 통신하도록 애플리케이션 인스턴스를 구성합니다. Systems Manager Run Command를 사용하여 애플리케이션 인스턴스에 명령을 실행할 수 있는 시스템 관리자에 대한 액세스 권한을 부여합니다. 배스천 호스트를 종료합니다.24
기업은 기존 오케스트레이션 기술의 도움으로 수천 개의 Amazon EC2 인스턴스를 관리하고 있습니다. 최근 침투 테스트에서 조직의 소프트웨어 스택에서 약점이 발견되었습니다. 이러한 위험으로 인해 조직은 현재 제조 환경에 대한 포괄적인 평가를 수행하게 되었습니다. 조사에 따르면 환경에 다음과 같은 취약점이 존재합니다.
✑ 오래된 라이브러리와 알려진 취약점이 있는 운영 체제가 프로덕션에서 사용되고 있습니다.
✑ 회사에서 호스팅 및 관리하는 관계형 데이터베이스는 알려진 취약점이 있는 지원되지 않는 버전을 실행하고 있습니다.
✑ 데이터베이스에 저장된 데이터는 암호화되지 않습니다.
솔루션 설계자는 AWS Config를 활용하여 AWS 리소스 설정에 대한 회사의 규칙 및 표준 준수를 정기적으로 감사하고 분석하는 것을 목표로 합니다.
기업이 모범 사례를 준수하면서 주변 환경을 보호하고 리소스를 관리할 수 있도록 하는 추가 조치는 무엇입니까?
A. AWS Application Discovery Service를 사용하여 실행 중인 모든 EC2 인스턴스 평가 AWS CLI를 사용하여 각 인스턴스를 수정하고 EC2 사용자 데이터를 사용하여 부팅 중에 AWS Systems Manager 에이전트를 설치합니다. Systems Manager 유지 관리 Windows 작업으로 실행되도록 패치를 예약합니다. 모든 관계형 데이터베이스를 Amazon RDS로 마이그레이션하고 AWS KMS 암호화를 활성화합니다.
B. EC2 인스턴스용 AWS CloudFormation 템플릿을 생성합니다. CloudFormation 템플릿의 EC2 사용자 데이터를 사용하여 AWS Systems Manager 에이전트를 설치하고 모든 Amazon EBS 볼륨에서 AWS KMS 암호화를 활성화합니다. CloudFormation이 실행 중인 모든 인스턴스를 교체하도록 합니다. Systems Manager Patch Manager를 사용하여 패치 기준을 설정하고 패치 기준을 사용하여 AWS-RunPatchBaseline을 실행하는 Systems Manager 유지 관리 기간 작업을 배포합니다.
C. 회사의 현재 조정 도구를 사용하여 모든 기존 인스턴스에 AWS Systems Manager 에이전트를 설치합니다. 시스템 관리자 실행 명령을 사용하여 운영 체제별 도구를 사용하여 각 인스턴스의 소프트웨어를 업그레이드하는 명령 목록을 실행합니다. 모든 Amazon EBS 볼륨에서 AWS KMS 암호화를 활성화합니다.
D. 회사의 현재 조정 도구를 사용하여 모든 기존 인스턴스에 AWS Systems Manager 에이전트를 설치합니다. 모든 관계형 데이터베이스를 Amazon RDS로 마이그레이션하고 AWS KMS 암호화를 활성화합니다. Systems Manager Patch Manager를 사용하여 패치 기준을 설정하고 패치 기준을 사용하여 AWS-RunPatchBaseline을 실행하는 Systems Manager 유지 관리 기간 작업을 배포합니다.25
솔루션 설계자는 Amazon Web Services에서 실행되는 새로 전송된 애플리케이션의 신뢰성을 평가하고 있습니다. Amazon S3는 Amazon CloudFront를 통해 신속하게 처리되는 프런트 엔드를 호스팅하는 데 사용됩니다. 애플리케이션 계층은 탄력적 IP 주소가 있는 Amazon EC2 온디맨드 인스턴스에서 실행되는 상태 비저장 Docker 컨테이너로 구현됩니다. 스토리지 계층은 EC2 예약 인스턴스의 애플리케이션 계층과 동일한 가용 영역에서 작동하는 MongoDB 데이터베이스입니다.
솔루션 설계자는 애플리케이션 코드에 대한 수정을 최소화하면서 단일 실패 지점을 줄이기 위해 어떤 일련의 작업을 수행해야 합니까? (2개를 선택하세요.)
A. Amazon API Gateway에서 REST API를 생성하고 AWS Lambda 함수를 애플리케이션 계층으로 사용
B. Application Load Balancer 생성 및 Docker 컨테이너를 AWS Fargate로 마이그레이션
C. 스토리지 계층을 Amazon DynamoDB로 마이그레이션
D. 스토리지 계층을 Amazon DocumentDB로 마이그레이션(MongoDB 호환성 포함)
E. Application Load Balancer 생성 및 스토리지 계층을 EC2 Auto Scaling 그룹으로 이동26
기업에서 웹사이트를 온프레미스 데이터 센터에서 Amazon Web Services(AWS)로 이전하려고 합니다. 동시에 가용성과 비용 효율성을 높이기 위해 웹사이트를 컨테이너화된 마이크로서비스 아키텍처로 전환하려고 합니다. 회사의 보안 정책에 따라 권한 및 네트워크 권한은 가능한 한 최소한의 권한으로 모범 사례에 따라 설정되어야 합니다.
Solutions Architect는 애플리케이션의 보안 기준을 준수하고 이를 Amazon ECS 클러스터에 배포한 컨테이너식 아키텍처를 설계해야 합니다.
요구 사항 준수를 보장하기 위해 배포 시 어떤 절차가 필요합니까? (2개를 선택하세요.)
A. 브리지 네트워크 모드를 사용하여 작업을 생성합니다.
B. awsvpc 네트워크 모드를 사용하여 작업을 생성합니다.
C. Amazon EC2 인스턴스에 보안 그룹을 적용하고 EC2 인스턴스에 대한 IAM 역할을 사용하여 다른 리소스에 액세스합니다.
D. 작업에 보안 그룹을 적용하고 시작 시 IAM 자격 증명을 컨테이너에 전달하여 다른 리소스에 액세스합니다.
E. 작업에 보안 그룹을 적용하고 작업에 IAM 역할을 사용하여 다른 리소스에 액세스합니다.27
귀하의 부서는 귀하의 비즈니스 로그 파일에서 빈번한 분석 보고서를 생성합니다. 모든 로그 데이터는 Amazon S3에 저장되고 Amazon Redshift 데이터 웨어하우스에 대한 일일 PDF 보고서 및 집계된 CSV 테이블을 생성하는 Amazon Elastic MapReduce(EMR) 작업에 의해 매일 처리됩니다.
CFO는 이 시스템의 비용 구조를 개선할 것을 요구합니다.
다음 중 시스템의 평균 성능이나 원시 데이터의 무결성을 위태롭게 하지 않으면서 비용을 절감할 수 있는 선택은 무엇입니까?
A. S3의 모든 데이터에 대해 RRS(Reduced Redundancy Storage)를 사용합니다. Amazon EMR 작업에 스팟 인스턴스와 예약 인스턴스를 조합하여 사용합니다. Amazon Redshift용 예약 인스턴스를 사용하십시오.
B. S3의 PDF 및 .csv 데이터에 축소 중복 저장소(RRS)를 사용합니다. EMR 작업에 스팟 인스턴스를 추가합니다. Amazon Redshift용 스팟 인스턴스를 사용합니다.
C. Amazon S3에서 PDF 및 .csv 데이터에 축소 중복 스토리지(RRS)를 사용합니다. Amazon EMR 작업에 스팟 인스턴스를 추가합니다. Amazon Redshift용 예약 인스턴스를 사용하십시오.
D. Amazon S3의 모든 데이터에 축소 중복 스토리지(RRS)를 사용합니다. Amazon EMR 작업에 스팟 인스턴스를 추가합니다. Amazon Redshift용 예약 인스턴스를 사용하십시오.28
여러 AWS 계정은 AWS Organizations를 사용하여 구축된 조직의 일부로 비즈니스에서 사용합니다. 각 계정에는 us-east-2 리전에 가상 사설 클라우드(VPC)가 있으며 프로덕션 또는 개발 워크로드를 실행하도록 구성됩니다. 프로덕션 계정 간의 Amazon EC2 인스턴스는 통신해야 하고 개발 계정 간의 EC2 인스턴스는 통신해야 하지만 프로덕션 및 개발 인스턴스는 통신할 수 없어야 합니다.
회사는 연결을 활성화하기 위해 공유 네트워크 계정을 설정했습니다. 회사는 AWS Transit Gateway를 사용하여 네트워크 계정의 us-east-2 리전에 Transit Gateway를 생성하고 AWS Resource Access Manager를 사용하여 전체 조직과 공유했습니다. 그 후 네트워크 관리자는 각 계정의 VPC를 Transit Gateway에 연결하여 EC2 인스턴스가 계정 간에 상호 작용할 수 있도록 했습니다. 그러나 생산 및 개발 계정은 서로 상호 작용할 수 있었습니다.
솔루션 설계자는 프로덕션 및 개발 트래픽을 완전히 분리하기 위해 어떤 절차를 수행해야 합니까?
A. 프로덕션 EC2 인스턴스의 트래픽을 차단하도록 개발 EC2 인스턴스에 할당된 보안 그룹을 수정합니다. 프로덕션 EC2 인스턴스에 할당된 보안 그룹을 수정하여 개발 EC2 인스턴스의 트래픽을 차단합니다.
B. 연결되는 계정 유형에 따라 생산 또는 개발 값을 사용하여 각 VPC 연결에 태그를 생성합니다. AWS Transit Gateway의 Network Manager 기능을 사용하여 이 태그의 값을 기반으로 VPC 간 트래픽을 제한하는 정책을 생성합니다.
C. 프로덕션 및 개발 트래픽에 대해 별도의 라우팅 테이블을 만듭니다. 각 계정의 연결을 삭제하고 기본 AWS Transit Gateway 라우팅 테이블로 전파합니다. 개발 VPC를 개발 AWS Transit Gateway 라우팅 테이블에 연결하고 프로덕션 VPC를 프로덕션 라우팅 테이블에 연결하고 각 연결에서 자동 경로 전파를 활성화합니다.
D. 연결되는 계정 유형에 따라 생산 또는 개발 값을 사용하여 각 VPC 연결에 태그를 생성합니다. 프로덕션 태그 첨부 첨부 파일을 서로 라우팅하고 개발 태그 첨부 첨부 파일을 서로 라우팅하도록 AWS Transit Gateway 라우팅 테이블을 수정합니다.29
IAM 정책의 Principal 요소는 권한이 부여되거나 거부되어야 하는 특정 엔터티를 나타내는 반면 지정된 엔터티를 제외한 모든 사람을 나타냅니다.
A. 교장 아님
나. 공급업체
다. 교장
D. 조치30
비즈니스에는 AWS로 신속하게 이전해야 하는 데이터 센터가 있습니다. 데이터 센터는 500Mbps AWS Direct Connect 연결과 완전히 액세스 가능한 별도의 1Gbps ISP 연결을 통해 Amazon Web Services에 연결됩니다. Solutions Architect는 데이터 센터에서 Amazon S3 버킷으로 20테라바이트의 데이터를 전송하는 책임이 있습니다.
가장 빠른 데이터 전송 방법은 무엇입니까?
A. 기존 DX 링크를 사용하여 데이터를 S3 버킷에 업로드합니다.
B. AWS Import/Export 서비스를 사용하여 데이터를 AWS로 보냅니다.
C. 80TB AWS Snowball 디바이스를 사용하여 데이터를 업로드합니다.
D. S3 Transfer Acceleration을 사용하여 데이터를 S3 버킷에 업로드합니다.31
단일 동적 DB 테이블이 지원할 수 있는 최대 쓰기 처리량은 얼마입니까?
A. 1,000 쓰기 용량 단위
B. 100,000 쓰기 용량 단위
다 . Dynamic DB는 무제한으로 확장이 가능하도록 설계되어 있는데, 10,000을 넘으면 먼저 AWS에 연락을 주셔야 합니다.
D. 10,000 쓰기 용량 단위32
이제 ELB 상태 확인의 대상이 되는 Auto Scaling 그룹에 새 인스턴스를 추가했습니다. ELB에서 수행한 상태 확인은 새 인스턴스의 상태가 서비스 중단임을 나타냅니다.
이 시나리오에서 Auto Scaling은 어떤 역할을 합니까?
A. 인스턴스를 정상 인스턴스로 교체합니다.
B. 인스턴스를 중지합니다 .
C. 인스턴스를 비정상으로 표시합니다 .
D. 인스턴스를 종료합니다.33
ABC는 다중 테넌트 LMS(학습 관리 시스템)(LMS)를 개발했습니다. 애플리케이션은 각 테넌트의 AWS 계정과 연결된 VPC에서 5명의 개별 테넌트(고객)에 대해 호스팅됩니다. ABC는 각 테넌트의 LMS와 통신하고 필요한 업그레이드를 수행할 수 있는 중앙 집중식 서버를 구축하려고 합니다. 또한 ABC는 보안 문제로 한 테넌트 VPC가 다른 테넌트 VPC와 통신할 수 없도록 보장하려고 합니다.
ABC는 이 시나리오를 어떻게 내놓을 것인가?
A. ABC는 테넌트의 다른 모든 VPC와 피어 인하는 하나의 중앙 집중식 VPC를 설정해야 합니다.
B. ABC는 모든 VPC가 서로 피어링하는 VPC 피어링을 설정하되 테넌트 VPC의 CIDR에서 IP를 차단하여 거부해야 합니다.
C. ABC는 동일한 CIDR로 모든 VPC를 설정해야 하지만 중앙 집중식 VPC가 있어야 합니다. 이렇게 하면 중앙 집중식 VPC만 VPC 피어링을 사용하여 다른 VPC와 통신할 수 있습니다.
D. ABC는 모든 VPC에 대한 VPC 피어링과 함께 메쉬된 모든 VPC를 설정해야 합니다.34
팀은 조직 전체에 행동 데이터를 수집하고 배포합니다. 조직은 인터넷 게이트웨이는 물론 퍼블릭 및 프라이빗 서브넷이 있는 다중 AZ VPC 환경을 운영합니다. 또한 각 퍼블릭 서브넷은 NAT 게이트웨이를 통합합니다. 회사 애플리케이션의 대부분은 Amazon Kinesis Data Streams에서 데이터를 읽고 씁니다.
대부분의 워크로드는 프라이빗 서브넷에서 수행됩니다.
솔루션 설계자는 인프라 평가를 수행해야 합니다. 솔루션 설계자는 앱의 기능을 유지하면서 비용을 최소화해야 합니다. 비용 탐색기는 솔루션 설계자가 EC2-기타 범주의 비용이 지속적으로 높은지 확인하는 데 사용됩니다. 추가 조사에 따르면 NatGateway-Bytes 요금으로 인해 EC2-Other의 비용이 증가하고 있습니다.
솔루션 설계자는 이러한 기준을 충족하기 위해 어떤 조치를 취해야 합니까?
A. VPC 흐름 로그를 활성화합니다. Amazon Athena를 사용하여 제거할 수 있는 트래픽에 대한 로그를 분석하십시오. 보안 그룹이 높은 비용을 초래하는 트래픽을 차단하고 있는지 확인합니다.
B. Kinesis Data Streams용 인터페이스 VPC 엔드포인트를 VPC에 추가합니다. 애플리케이션에 인터페이스 VPC 엔드포인트를 사용할 수 있는 올바른 IAM 권한이 있는지 확인하십시오.
C. VPC 흐름 로그 및 Amazon Detective를 활성화합니다. Kinesis Data Streams와 관련이 없는 트래픽에 대한 Detective 결과를 검토하십시오. 해당 트래픽을 차단하도록 보안 그룹을 구성합니다.
D. Kinesis Data Streams용 인터페이스 VPC 엔드포인트를 VPC에 추가합니다. VPC 엔드포인트 정책이 애플리케이션의 트래픽을 허용하는지 확인하십시오.35
비즈니스에는 AWS Organizations에 구성된 여러 AWS 계정이 있는 조직이 있습니다. 솔루션 설계자는 AWS 계정에 대한 공통 보안 그룹 규칙에 대한 조직의 관리를 강화해야 합니다.
조직은 각 AWS 계정의 허용 목록에 있는 균일한 IP CIDR 범위 세트를 사용하여 온프레미스 네트워크에 대한 액세스를 활성화합니다.
각 계정의 개발자는 보안 그룹에서 새 IP CIDR 범위를 생성할 책임이 있습니다. 보안 팀에는 자체 Amazon Web Services(AWS) 계정이 있습니다. 현재 보안 팀은 허용 목록이 수정되면 다른 AWS 계정의 소유자에게 알립니다.
솔루션 설계자는 모든 계정 간에 CIDR 범위의 공유 집합을 배포하는 방법을 제공해야 합니다.
FEASTEST 운영 오버헤드로 이러한 기준을 충족하는 방법은 무엇입니까?
A. 보안 팀의 AWS 계정에서 Amazon Simple Notification Service(Amazon SNS) 주제를 설정합니다. 각 AWS 계정에 AWS Lambda 함수를 배포합니다. SNS 주제가 메시지를 수신할 때마다 실행되도록 Lambda 함수를 구성합니다. IP 주소를 입력으로 받아 계정의 보안 그룹 목록에 추가하도록 Lambda 함수를 구성합니다. 보안 팀에 SNS 주제에 메시지를 게시하여 변경 사항을 배포하도록 지시합니다.
B. 조직 내 각 AWS 계정에 새로운 고객 관리 접두사 목록을 생성합니다. 모든 내부 CIDR 범위로 각 계정의 접두사 목록을 채웁니다. 보안 그룹의 계정에서 새로운 고객 관리형 접두사 목록 ID를 허용하도록 각 AWS 계정의 소유자에게 알립니다. 보안 팀에 각 AWS 계정 소유자와 업데이트를 공유하도록 지시합니다.
C. 보안 팀의 AWS 계정에 새로운 고객 관리 접두사 목록을 생성합니다. 모든 내부 CIDR 범위로 고객 관리 접두사 목록을 채웁니다. AWS Resource Access Manager를 사용하여 고객 관리 접두사 목록을 조직과 공유합니다. 보안 그룹에서 새로운 고객 관리형 접두사 목록 ID를 허용하도록 각 AWS 계정의 소유자에게 알립니다.
D. 조직의 각 계정에서 IAM 역할을 생성합니다. 보안 그룹을 업데이트할 수 있는 권한을 부여합니다. 보안 팀의 AWS 계정에 AWS Lambda 함수를 배포합니다. 내부 IP 주소 목록을 입력으로 사용하고, 각 조직 계정에서 역할을 수임하고, 각 계정의 보안 그룹에 IP 주소 목록을 추가하도록 Lambda 함수를 구성합니다.36
사용자는 데이터베이스 요구 사항을 충족하기 위해 EBS를 활용하려고 합니다. 사용자에게 이미 VPC 프라이빗 서브넷에서 작동하는 Amazon Elastic Compute Cloud(EC2) 인스턴스가 있습니다.
사용자가 EBS 볼륨을 이미 실행 중인 인스턴스에 어떻게 연결할 수 있습니까?
A. 사용자는 인스턴스의 서브넷과 동일한 영역에 EBS를 생성하고 해당 EBS를 인스턴스에 연결할 수 있습니다.
B. 인스턴스가 중지될 때까지 VPC에서 실행 중인 인스턴스에 EBS를 연결할 수 없습니다.
C. 사용자는 EBS를 생성할 때 동일한 서브넷을 지정한 다음 실행 중인 인스턴스에 연결할 수 있습니다.
D. 사용자는 동일한 VPC 내에서 EBS를 생성한 다음 실행 중인 인스턴스에 연결해야 합니다.37
AWS CloudFormation ______은(는) 런타임까지 액세스할 수 없는 속성에 값을 설정하는 데 사용하는 템플릿별 작업입니다.
A. 고유 기능
B. 속성 선언
다. 출력 기능
D. 조건 선언38
다음 특성이 있는 Amazon Web Services 인스턴스 주소는 무엇입니까? "인스턴스가 중지되면 탄력적 IP 주소가 매핑 해제되며 인스턴스가 다시 시작될 때 다시 매핑되어야 합니다."
A. A와 B 모두
B. 이들 중 어느 것도
C. VPC 주소
D. EC2 주소39
Solutions Architect는 레거시 애플리케이션을 온프레미스에서 AWS로 마이그레이션하는 책임을 맡습니다. 온프레미스에서 애플리케이션은 로드 밸런서로 보호되는 두 대의 Linux 서버에서 실행되며 두 대의 서버에 분산된 마스터-마스터 데이터베이스에 연결됩니다. 각 응용 프로그램 서버에는 서버의 네트워크 어댑터의 MAC 주소와 연결된 라이센스 파일이 필요합니다. 소프트웨어 공급자가 이메일을 통해 라이선스 파일을 제공하려면 12시간이 필요합니다. 정적을 활용하려면 프로그램에 구성 파일이 필요합니다. DNS가 아닌 IPv4 주소는 데이터베이스 서버에 연결하는 데 사용됩니다.
애플리케이션 서버에 확장 가능한 아키텍처를 제공하려면 어떤 조치를 다른 조치와 함께 완료해야 합니까? (2개를 선택하세요.)
A. ENI 풀을 생성하고 해당 풀에 대한 라이선스 파일을 공급업체에 요청하고 Amazon S3 내에 라이선스 파일을 저장합니다. 자동화를 생성하여 미사용 라이선스를 다운로드하고 부팅 시 해당 ENI를 연결합니다.
B. ENI 풀을 생성하고, 공급업체에 풀에 대한 라이선스 파일을 요청하고, 라이선스 파일을 Amazon EC2 인스턴스에 저장하고, 구성 파일을 수정하고, 인스턴스에서 AMI를 생성합니다. 모든 인스턴스에 이 AMI를 사용합니다.
C. 부트스트랩 자동화를 생성하여 고유한 반환 이메일로 공급업체로부터 새 라이선스 파일을 요청합니다. 서버가 수신된 라이센스 파일로 자체 구성하도록 합니다.
D. 부트스트랩 자동화를 생성하여 풀에서 ENI를 연결하고, AWS Systems Manager Parameter Store에서 데이터베이스 IP 주소를 읽고, 해당 파라미터를 로컬 구성 파일에 삽입합니다. Lambda 함수를 사용하여 SSM을 최신 상태로 유지하십시오.
E. EC2 인스턴스에 애플리케이션을 설치하고, 애플리케이션을 구성하고, IP 주소 정보를 구성합니다. 이 인스턴스에서 AMI를 생성하고 모든 인스턴스에 대해 if를 사용합니다.40
VPC 환경에서 데이터 누출을 방지하기 위한 솔루션을 개발 중입니다. VPC 인스턴스가 제품 업데이트를 위해 온라인 소프트웨어 리포지토리 및 배포에 연결할 수 있기를 원합니다. URL을 통해 저장소 및 배포판은 타사 CDN을 통해 사용할 수 있습니다.
VPC 인스턴스에서 외부 호스트로의 더 이상의 아웃바운드 연결을 명시적으로 방지하려고 합니다.
다음 중 어떤 것을 고려하고 있습니까?
A. VPC에 웹 프록시 서버를 구성하고 아웃바운드 액세스에 대한 URL 기반 규칙을 적용합니다. 기본 경로를 제거합니다.
B. 보안 그룹을 구현하고 소프트웨어 저장소에 대한 트래픽만 허용하도록 아웃바운드 규칙을 구성합니다.
C. 모든 인스턴스를 프라이빗 VPC 서브넷으로 이동하여 모든 라우팅 테이블에서 기본 경로를 제거하고 소프트웨어 저장소 및 배포에만 특정 경로를 추가합니다.
D. 암시적 모든 거부 규칙을 사용하여 모든 특정 대상에 대한 네트워크 액세스 제어 목록을 구현합니다.41
설계자가 Auto Scaling 그룹의 Amazon EC2 인스턴스에 운영 워크로드를 배포했습니다. VPC 설계는 각각 Auto Scaling 그룹에 대한 전용 서브넷이 있는 2개의 가용 영역(AZ)에 걸쳐 있습니다. VPC는 온프레미스 환경에 물리적으로 연결되어 있으며 연결을 끊을 수 없습니다. Auto Scaling 그룹은 최대 20개의 인스턴스를 서비스할 수 있습니다. VPC에 대한 IPv4 주소 지정 체계는 다음과 같습니다.
VPC CIDR: 10.0.0.0/23
-
AZ1 서브넷 CIDR: 10.0.0.0/24
-
AZ2 서브넷 CIDR: 10.0.1.0/24
-
배포 이후 리전은 세 번째 AZ에 대한 액세스 권한을 얻었습니다. 솔루션 설계자는 IPv4 주소 공간을 확장하거나 서비스 중단을 일으키지 않고 새 AZ를 구현하려고 합니다.
어떤 솔루션이 이러한 기준을 충족할까요?
ㅏ. AZ2 서브넷만 사용하도록 Auto Scaling 그룹을 업데이트합니다. 이전 주소 공간의 절반을 사용하여 AZ1 서브넷을 삭제하고 다시 생성합니다. 새 AZ1 서브넷도 사용하도록 Auto Scaling 그룹을 조정합니다. 인스턴스가 정상이면 AZ1 서브넷만 사용하도록 Auto Scaling 그룹을 조정합니다. 현재 AZ2 서브넷을 제거합니다. 원래 AZ1 서브넷에서 주소 공간의 후반부를 사용하여 새 AZ2 서브넷을 생성합니다. 원래 AZ2 서브넷 주소 공간의 절반을 사용하여 새 AZ3 서브넷을 생성한 다음 Auto Scaling 그룹을 업데이트하여 3개의 새 서브넷을 모두 대상으로 지정합니다.
B. AZ1 서브넷에서 EC2 인스턴스를 종료합니다. 주소 공간의 절반을 사용하여 AZ1 서브넷을 삭제하고 다시 생성합니다. 이 새 서브넷을 사용하도록 Auto Scaling 그룹을 업데이트합니다. 두 번째 AZ에 대해 이 작업을 반복합니다. AZ3에서 새 서브넷을 정의한 다음 3개의 새 서브넷을 모두 대상으로 하도록 Auto Scaling 그룹을 업데이트합니다.
C. IPv4 주소 공간이 동일한 새 VPC를 생성하고 각 AZ에 하나씩 3개의 서브넷을 정의합니다. 새 VPC의 새 서브넷을 대상으로 하도록 기존 Auto Scaling 그룹을 업데이트합니다.
D. AZ2 서브넷만 사용하도록 Auto Scaling 그룹을 업데이트합니다. 이전 주소 공간을 갖도록 AZ1 서브넷을 업데이트합니다. AZ1 서브넷도 다시 사용하도록 Auto Scaling 그룹을 조정합니다. 인스턴스가 정상이면 AZ1 서브넷만 사용하도록 Auto Scaling 그룹을 조정합니다. 현재 AZ2 서브넷을 업데이트하고 원래 AZ1 서브넷에서 주소 공간의 후반부를 할당합니다. 원래 AZ2 서브넷 주소 공간의 절반을 사용하여 새 AZ3 서브넷을 생성한 다음, Auto Scaling 그룹을 업데이트하여 3개의 새 서브넷을 모두 대상으로 지정합니다.42
대규모 조직의 솔루션 설계자는 기업의 AWS Organizations 내의 모든 AWS 계정에서 인터넷으로 나가는 트래픽에 대한 네트워크 보안 구성을 담당합니다. 이 비즈니스에는 중앙 집중식 AWS Transit Gateway를 통해 연결된 100개 이상의 AWS 계정이 있습니다. 각 계정에는 나가는 인터넷 트래픽을 위한 인터넷 게이트웨이와 NAT 게이트웨이가 모두 장착되어 있습니다. 조직은 AWS 리소스 배포를 단일 AWS 리전으로 제한합니다.
비즈니스는 모든 AWS 계정에 대해 인터넷으로 나가는 모든 트래픽에 대해 중앙에서 제어되는 규칙 기반 필터링을 구현하는 기능이 필요합니다. 각 가용 영역에서 아웃바운드 트래픽의 최대 로드는 25Gbps를 초과하지 않습니다.
이 기준을 충족하는 솔루션은 무엇입니까?
A. 인터넷에 대한 아웃바운드 트래픽을 위한 새 VPC를 생성합니다. 기존 전송 게이트웨이를 새 VPC에 연결합니다. 새 NAT 게이트웨이를 구성합니다. 리전의 모든 가용 영역에서 규칙 기반 필터링을 위해 오픈 소스 인터넷 프록시를 실행하는 Amazon EC2 인스턴스의 Auto Scaling 그룹을 생성합니다. 프록시의 Auto Scaling 그룹을 가리키도록 모든 기본 경로를 수정합니다.
B. 인터넷에 대한 아웃바운드 트래픽을 위한 새 VPC를 생성합니다. 기존 전송 게이트웨이를 새 VPC에 연결합니다. 새 NAT 게이트웨이를 구성합니다. 규칙 기반 필터링을 위해 AWS 네트워크 방화벽 방화벽을 사용합니다. 각 가용 영역에 네트워크 방화벽 엔드포인트를 생성합니다. 네트워크 방화벽 끝점을 가리키도록 모든 기본 경로를 수정합니다.
C. 각 AWS 계정에서 규칙 기반 필터링을 위한 AWS 네트워크 방화벽 방화벽을 생성합니다. 각 계정의 네트워크 방화벽 방화벽을 가리키도록 모든 기본 경로를 수정합니다.
D. 각 AWS 계정에서 규칙 기반 필터링을 위해 오픈 소스 인터넷 프록시를 실행하는 네트워크 최적화 Amazon EC2 인스턴스의 Auto Scaling 그룹을 생성합니다. 프록시의 Auto Scaling 그룹을 가리키도록 모든 기본 경로를 수정합니다.43
비즈니스에는 많은 AWS 계정이 있고 AWS Organizations를 사용하여 관리할 수 있습니다. AWS 리소스에 액세스할 수 있도록 개발자에게 IAM 사용자 자격 증명이 제공되었습니다. 개발자는 계정의 Amazon S3 버킷에 대한 읽기 전용 액세스 권한이 있어야 합니다. 개발자가 콘솔을 통해 S3 버킷에 액세스하려고 하면 버킷 이름이 지정되지 않은 액세스 거부 오류 메시지가 나타납니다.
권한을 검토한 후 솔루션 설계자는 개발자의 IAM 사용자가 계정의 모든 S3 버킷에 대한 읽기 전용 액세스 권한이 있는 것으로 표시되어 있음을 발견합니다.
솔루션 설계자가 취해야 하는 추가 문제 해결 조치는 무엇입니까? (2개를 선택하세요.)
A. 모든 S3 버킷에 대한 버킷 정책을 확인하십시오.
B. 모든 S3 버킷에 대한 ACL을 확인합니다.
C. 조직단위(OU)에 설정된 SCP를 확인한다.
D. IAM 사용자에 대해 설정된 권한 경계를 확인합니다.
E. 적절한 IAM 역할이 IAM 사용자에게 연결되어 있는지 확인합니다.44
최근 한 회사의 CFO가 회사의 월별 AWS 청구서를 평가한 결과 사용 중인 회사의 AWS Elastic Beanstalk 인스턴스 비용을 최소화할 수 있는 기회를 보았습니다. CFO는 아침에 Elastic Beanstalk 환경을 자동으로 시작하고 하루가 끝나면 종료하는 고가용성 솔루션을 설계하는 일을 Solutions Architect에게 맡겼습니다.
솔루션은 최소한의 운영 오버헤드와 가능한 가장 낮은 비용으로 생성되어야 합니다. 또한 다양한 팀에서 증가하는 Elastic Beanstalk 인스턴스 사용량을 관리하고 모든 팀이 운영 비용을 낮게 유지할 수 있도록 중앙 집중식 스케줄링 솔루션을 제공할 수 있어야 합니다.
어떤 디자인이 이 기준을 만족할까요?
A. Linux EC2 Micro 인스턴스를 설정합니다. Elastic Beanstalk 환경의 시작 및 중지를 허용하고 이를 인스턴스에 연결하도록 IAM 역할을 구성합니다. 인스턴스에 스크립트를 생성하여 Elastic Beanstalk 환경을 시작 및 중지합니다. 스크립트를 실행하도록 인스턴스에서 크론 작업을 구성합니다.
B. Elastic Beanstalk 환경을 시작 및 중지하는 AWS Lambda 함수를 개발합니다. Elastic Beanstalk 환경 시작/중지 권한을 부여하는 Lambda 실행 역할을 구성하고 Lambda 함수에 역할을 할당합니다. Lambda 함수를 트리거하도록 cron 표현식 Amazon CloudWatch Events 규칙을 구성합니다.
C. 시작 및 중지 시간을 제어하는 유형으로 ג€waitג€를 사용하여 AWS Step Functions 상태 머신을 개발합니다. 활동 작업을 사용하여 Elastic Beanstalk 환경을 시작 및 중지합니다. Elastic Beanstalk 환경을 시작 및 중지할 수 있도록 Step Functions에 대한 역할을 생성합니다. 매일 Step Functions를 호출하십시오.
D. 시간 기반 Auto Scaling 그룹을 구성합니다. 아침에 Auto Scaling 그룹이 Amazon EC2 인스턴스를 확장하고 EC2 인스턴스 사용자 데이터에 Elastic Beanstalk 환경 시작 명령을 입력하도록 합니다. 하루가 끝나면 인스턴스 번호를 0으로 축소하여 EC2 인스턴스를 종료합니다.45
비즈니스에서 Amazon API Gateway, Amazon Lambda 및 Amazon DynamoDB를 활용하여 서버리스 애플리케이션을 개발하려고 합니다. 그들은 아이디어를 시연했고 평균 응답 시간이 업스트림 서비스의 허용 오차를 초과한다고 말했습니다. Amazon CloudWatch 측정에서는 DynamoDB에 문제가 없는 것으로 나타났지만 특정 Lambda 작업이 제한 시간에 도달했음을 시사했습니다.
다음 중 성능을 최적화할 때 솔루션 아키텍트가 고려해야 할 사항은 무엇입니까? (2개를 선택하세요.)
A. 불필요한 시작 시간을 피하기 위해 컨테이너를 재사용하도록 AWS Lambda 함수를 구성하십시오.
B. 메모리 양을 늘리고 Lambda 함수의 시간 제한을 조정합니다. 성능 테스트를 완료하여 Lambda 함수에 대한 이상적인 메모리 및 시간 초과 구성을 식별합니다.
C. Memcached를 실행하는 Amazon ElastiCache 클러스터를 생성하고 Amazon ElastiCache 클러스터에 대한 액세스 권한이 있는 VPC 통합을 위해 Lambda 함수를 구성합니다.
D. Amazon API Gateway의 적절한 단계에서 API 캐시를 활성화하고 전체 단계보다 낮은 TTL이 필요한 개별 메서드에 대해 TTL을 재정의합니다.
E. CPU 양을 늘리고 Lambda 함수의 시간 초과를 조정합니다. 성능 테스트를 완료하여 Lambda 함수에 대한 이상적인 CPU 및 시간 초과 구성을 식별합니다.46
금융 서비스 조직은 증권 거래소의 시장 데이터 피드를 사용하고 데이터를 처리하고 내부 Apache Kafka 클러스터에 배포하는 온프레미스 시스템을 유지 관리합니다. 경영진은 주식 시장 데이터를 일관된 방식으로 웹 애플리케이션에 전달할 수 있는 확장 가능하고 거의 실시간 솔루션을 개발하기 위해 AWS 서비스를 활용하기를 원합니다.
솔루션 설계자는 솔루션을 개발하는 동안 어떤 단계를 따라야 합니까? (3개를 선택하세요.)
A. 온프레미스 데이터 센터에서 AWS로 AWS Direct Connect 연결을 설정합니다.
B. Amazon EC2 Auto Scaling 그룹을 생성하여 온프레미스 Kafka 클러스터에서 메시지를 가져오고 Amazon 소비자 라이브러리를 사용하여 데이터를 Amazon Kinesis 데이터 스트림에 넣습니다.
C. Amazon EC2 Auto Scaling 그룹을 생성하여 온프레미스 Kafka 클러스터에서 메시지를 가져오고 Amazon Kinesis Producer Library를 사용하여 데이터를 Kinesis 데이터 스트림에 넣습니다.
D. Amazon API Gateway에서 WebSocket API를 생성하고, Amazon Kinesis 데이터 스트림을 처리하는 AWS Lambda 함수를 생성하고, @connections 명령을 사용하여 연결된 클라이언트에 콜백 메시지를 보냅니다.
E. AWS AppSync에서 GraphQL API를 생성하고, Amazon Kinesis 데이터 스트림을 처리하는 AWS Lambda 함수를 생성하고, @connections 명령을 사용하여 연결된 클라이언트에 콜백 메시지를 보냅니다.
F. 온프레미스 데이터 센터에서 AWS로 Site-to-Site VPN을 설정합니다.47
업계 법률을 준수하기 위해 Solutions Architect는 비즈니스의 본사가 위치한 미국을 비롯한 다양한 퍼블릭 AWS 리전에서 비즈니스의 중요한 데이터를 안전하게 저장하는 솔루션을 생성해야 합니다. Solutions Architect는 AWS에 저장된 데이터가 회사의 전 세계 WAN 네트워크를 통해 액세스할 수 있도록 해야 합니다. 보안 팀은 이 데이터에 대한 액세스를 요청하는 트래픽이 공용 인터넷을 통해 전송되지 않도록 지정했습니다.
Solutions Architect는 요구 사항을 충족하는 접근성이 높고 비용 효율적인 솔루션을 어떻게 개발해야 합니까?
A. 회사 본사에서 사용 중인 모든 AWS 리전으로 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 트래픽을 본사로 보낸 다음 해당 DX 연결로 보내 데이터에 액세스합니다.
B. 회사 본사에서 AWS 리전으로 두 개의 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 DX 연결을 통해 트래픽을 보냅니다. 리전 간 VPC 피어링을 사용하여 다른 AWS 리전의 데이터에 액세스합니다.
C. 회사 본사에서 AWS 리전으로 두 개의 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 DX 연결을 통해 트래픽을 보냅니다. AWS 전송 VPC 솔루션을 사용하여 다른 AWS 리전의 데이터에 액세스합니다.
D. 회사 본사에서 AWS 리전으로 두 개의 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 DX 연결을 통해 트래픽을 보냅니다. Direct Connect 게이트웨이를 사용하여 다른 AWS 리전의 데이터에 액세스합니다.48
200 PIOPS EBS 볼륨에 대해 가능한 가장 낮은 지연 시간을 얻기 위해 AWS에서 제안하는 평균 대기열 길이는 얼마입니까?
A. 5
B. 1
C. 2
D. 449
고객이 사전 서명된 URL을 사용하여 프라이빗 S3 버킷에서 파리를 다운로드할 수 있도록 하는 애플리케이션을 EC2 인스턴스에서 운영하고 있습니다. URL을 설정하기 전에 애플리케이션은 파일이 S3에 있는지 확인해야 합니다.
애플리케이션이 AWS 자격 증명을 사용하여 S3 버킷에 안전하게 액세스하려면 어떻게 해야 합니까?
A. AWS 계정 액세스 키를 사용하여 애플리케이션은 애플리케이션의 소스 코드에서 자격 증명을 검색합니다.
B. S3 버킷에 대한 목록 액세스를 허용하는 권한이 있는 애플리케이션의 IAM 사용자를 생성하고 IAM 사용자로 인스턴스를 시작하고 EC2 인스턴스 사용자 데이터에서 IAM 사용자의 자격 증명을 검색합니다.
C. S3 버킷의 객체에 대한 목록 액세스를 허용하는 EC2용 IAM 역할을 생성합니다. 역할이 있는 인스턴스를 시작하고 EC2 인스턴스 메타데이터에서 역할의 자격 증명을 검색합니다.
D. S3 버킷에 대한 목록 액세스를 허용하는 권한이 있는 애플리케이션에 대한 IAM 사용자를 생성합니다. 애플리케이션은 애플리케이션 사용자에게만 읽기 액세스를 허용하는 권한이 있는 임시 디렉터리에서 IAM 사용자 자격 증명을 검색합니다.50
DynamoDB 콘솔에 대한 다음 설명 중 사실이 아닌 것은 무엇입니까?
A. 기존 테이블에 로컬 보조 인덱스를 추가할 수 있습니다.
B. 테이블을 쿼리할 수 있습니다.
C. 알람을 설정하여 테이블의 용량 사용량을 모니터링할 수 있습니다.
D. 테이블에 저장된 항목을 보고 항목을 추가, 업데이트 및 삭제할 수 있습니다.51
CloudWatch는 Auto Scaling에 대해 몇 개의 지표를 제공합니까?
A. 7개의 측정항목과 5개의 차원
B. 5개의 측정항목 및 1개의 측정기준
C. 1개의 미터법 및 5개의 차원
D. 8개의 측정항목 및 1개의 측정기준52
공개 소매 웹 애플리케이션은 Amazon RDS MySQL 다중 AZ 배포로 구동되는 리전 내의 서로 다른 가용 영역(AZ)에 분산된 Amazon EC2 인스턴스 앞에 ALB(Application Load Balancer)를 활용합니다. 대상 그룹의 상태 확인은 HTTP를 활용하도록 설정되어 있으며 제품 카탈로그 페이지를 참조합니다. Auto Scaling은 ALB 상태 확인 결과에 따라 웹 플릿의 크기를 유지하도록 설계되었습니다.
최근에 응용 프로그램을 사용할 수 없습니다. 가동 중지 시간 동안 Auto Scaling은 지속적으로 인스턴스를 교체했습니다. 검사 후 웹 서버 메트릭이 정상 범위 내에 있었지만 데이터베이스 계층에 과도한 스트레스가 있어 쿼리 응답 시간이 크게 증가한 것으로 나타났습니다.
다음 조정 중 어떤 것이 이러한 문제를 해결하는 동시에 전체 애플리케이션 스택의 가용성 및 향후 성장에 대비한 기능에 대한 모니터링 기능을 향상시킬 수 있습니까? (2개를 선택하세요.)
A. Amazon RDS MySQL에 대한 읽기 전용 복제본을 구성하고 웹 애플리케이션에서 단일 리더 엔드포인트를 사용하여 백엔드 데이터베이스 계층의 부하를 줄입니다.
B. 제품 카탈로그 페이지 대신 간단한 HTML 페이지를 가리키도록 대상 그룹 상태 확인을 구성하고 전체 애플리케이션 기능을 평가하기 위해 제품 페이지에 대해 Amazon Route 53 상태 확인을 구성합니다. 사이트가 실패할 때 관리자에게 알리도록 Amazon CloudWatch 경보를 구성합니다.
C. Amazon EC2 웹 서버의 TCP 확인 및 제품 페이지에 대한 Amazon Route 53 상태 확인을 사용하여 전체 애플리케이션 기능을 평가하도록 대상 그룹 상태 확인을 구성합니다. 사이트가 실패할 때 관리자에게 알리도록 Amazon CloudWatch 경보를 구성합니다.
D. 데이터베이스 계층에서 부하가 높고 손상된 RDS 인스턴스를 복구하는 작업으로 Amazon RDS에 대한 Amazon CloudWatch 경보를 구성합니다.
E. Amazon ElastiCache 클러스터를 구성하고 웹 애플리케이션과 RDS MySQL 인스턴스 사이에 배치하여 백엔드 데이터베이스 계층의 부하를 줄입니다.53
귀하의 회사는 고객의 의뢰로 특별한 기술 발전과 하이 패션을 융합하여 독특한 스키 헬멧을 만듭니다. 고객은 헤드업 디스플레이를 통해 스키 슬로프에서 자신의 개성을 과시할 수 있습니다. GPS 후방 카메라 및 헬멧에 포함하고자 하는 기타 기술 발전.
현재 생산 프로세스는 데이터 집약적이고 정교하며 헬멧을 구성하는 데 사용되는 맞춤형 전자 제품과 재료가 가장 높은 요구 사항을 충족하는지 확인하기 위한 평가가 필요합니다. 평가는 수동 평가와 컴퓨터 평가의 조합입니다. 저지연 네트워킹이 있는 서버 클러스터에 분산된 GPU 및 CUDA를 활용하는 맞춤형 전자 장치의 오류 모드를 시뮬레이션하려면 새로운 평가 세트를 추가해야 합니다.
하이브리드 접근 방식을 사용하여 기존 프로세스를 자동화하는 동시에 아키텍처가 시간이 지남에 따라 프로세스 변경을 지원할 수 있도록 하는 아키텍처는 무엇입니까?
A. AWS Data Pipeline을 사용하여 데이터 이동 및 메타데이터 및 평가 관리 배치 그룹에서 G2 인스턴스의 Auto-Scaling 그룹을 사용하십시오.
B. Amazon Simple Workflow(SWF)를 사용하여 평가, 데이터 이동 및 메타데이터 관리 배치 그룹에서 G2 인스턴스의 Auto-scaling 그룹을 사용합니다.
C. Amazon Simple Workflow(SWF)를 사용하여 데이터 및 메타 데이터의 평가 이동 관리 SR-IOV(Single Root I/O Virtualization)와 함께 C3 인스턴스의 Auto-scaling 그룹을 사용합니다.
D. AWS 데이터 파이프라인을 사용하여 데이터 및 메타 데이터의 이동을 관리하고 평가는 SR-IOV(Single Root I/O 가상화)와 함께 C3의 Auto-scaling 그룹을 사용합니다.54
신문 조직은 대중이 Java 기반 웹 사이트를 통해 특정 신문 페이지를 검색하고 얻을 수 있도록 하는 사내 애플리케이션을 유지 관리합니다. 그들은 오래된 신문을 JPEG 파일(약 17TB)로 스캔하고 광학 문자 인식(OCR)을 사용하여 상업용 검색 엔진에 제공했습니다. 호스팅 인프라와 소프트웨어는 더 이상 지원되지 않으며 비즈니스는 가용성과 내구성을 유지하면서 비용 효율적인 아키텍처를 생성하기 위해 아카이브를 AWS로 전환하려고 합니다.
가장 적합한 것은?
A. 중복이 감소된 S3를 사용하여 저장하고 스캔한 파일을 제공하고 EC2 인스턴스에 상용 검색 애플리케이션을 설치하고 자동 크기 조정 및 Elastic Load Balancer로 구성합니다.
B. Apache 웹 서버와 오픈 소스 검색 애플리케이션을 실행하는 EC2 인스턴스를 사용하는 CloudFormation을 사용하여 환경을 모델링하고 여러 표준 EBS 볼륨을 함께 스트라이프하여 JPEG 및 검색 인덱스를 저장합니다.
C. 표준 중복성이 있는 S3를 사용하여 스캔한 파일을 저장 및 제공하고, CloudSearch를 쿼리 처리에 사용하고, Elastic Beanstalk를 사용하여 여러 가용 영역에서 웹 사이트를 호스팅합니다.
D. 단일 AZ RDS MySQL 인스턴스를 사용하여 검색 인덱스를 저장합니다. 33d JPEG 이미지는 EC2 인스턴스를 사용하여 웹 사이트를 제공하고 사용자 쿼리를 SQL로 변환합니다.
E. CloudFront 다운로드 배포를 사용하여 최종 사용자에게 JPEG를 제공하고 Java 컨테이너와 함께 현재 상용 검색 제품을 설치하고 EC2 인스턴스에서 웹 사이트를 Tor 및 DNS 라운드 로빈과 함께 Route53을 사용합니다.55
Amazon EC2에서 웹 스타트업은 Java/Tomcat 애플리케이션 서버의 Auto-Scaling 그룹인 Elastic Load Balancer와 데이터 저장소로 DynamoDB를 사용하여 매우 성공적인 소셜 뉴스 서비스를 호스팅합니다. 기본 웹 응용 프로그램은 메모리 요구 사항이 높기 때문에 m2 x 큰 인스턴스에서 최적의 성능을 발휘합니다. 각각의 새로운 배포에는 상당한 시간이 걸리고 결과적으로 일주일에 한 번만 수행되는 애플리케이션 서버용 새 AMI의 반자동 빌드 및 테스트가 필요합니다.
최근에 nodejs와 wails를 사용하여 아키텍처에 새로운 채팅 기능이 도입되었습니다. 첫 번째 테스트는 새 구성 요소가 CPU에 종속되었음을 나타냅니다. Chef에 대한 회사의 이전 경험으로 인해 그들은 AWS Ops Works를 애플리케이션 수명 주기 관리 플랫폼으로 사용하여 애플리케이션 관리를 단순화하고 배포 주기를 최소화함으로써 배포 프로세스를 간소화하기로 결정했습니다.
새로운 채팅 모듈을 가장 비용 효율적이고 유연한 방식으로 통합하려면 어떤 AWS Ops Works 설정이 필요합니까?
A. 하나의 AWS OpsWorks 스택 생성, 하나의 AWS Ops Works 계층 생성, 하나의 사용자 지정 레시피 생성
B. AWS OpsWorks 스택 1개 생성 AWS Ops Works 계층 2개 생성, 사용자 지정 레시피 1개 생성
C. 2개의 AWS OpsWorks 스택 생성 2개의 AWS Ops Works 계층 생성, 사용자 지정 레시피 1개 생성
D. 2개의 AWS OpsWorks 스택 생성 2개의 AWS Ops Works 계층 생성, 2개의 사용자 지정 레시피 생성56
금융 기관은 Amazon Web Services의 현재 세대 Linux EC2 인스턴스에서 미션 크리티컬 애플리케이션을 실행하고 있습니다. 이 프로그램은 많은 양의 I/O를 처리하는 자체 관리 MySQL 데이터베이스를 특징으로 합니다. 애플리케이션은 한 달 동안 적절한 양의 트래픽을 처리하는 면에서 잘 작동하고 있습니다. 그러나 회사가 증가하는 수요를 충족하기 위해 Elastic Load Balancer와 Auto Scaling을 사용한다는 사실에도 불구하고 월말 보고로 인해 매월 마지막 3일 동안은 크게 느려집니다.
다음 중 데이터베이스에서 성능 저하가 가장 적은 월말 로드를 관리할 수 있는 작업은 무엇입니까?
A. 더 큰 인스턴스 유형을 사용하여 Elastic Load Balancer를 예열하여 모든 Amazon EBS 볼륨을 GP2 볼륨으로 변경합니다.
B. 데이터베이스 클러스터를 Amazon RDS로 일회성 마이그레이션을 수행하고 월말 동안 로드를 처리하기 위해 여러 개의 추가 읽기 전용 복제본을 생성합니다.
C. Amazon CloudWatch를 AWS Lambda와 함께 사용하여 특정 CloudWatch 지표를 기반으로 클러스터에 있는 Amazon EBS 볼륨의 유형, 크기 또는 IOPS를 변경합니다.
D. 월말 이전에 스냅샷을 찍고 나중에 다시 되돌리는 방식으로 모든 기존 Amazon EBS 볼륨을 사용 가능한 최대 스토리지 크기 및 초당 I/O를 가진 새 PIOPS 볼륨으로 교체합니다.57
중요한 모바일 게임 회사는 온프레미스 인프라를 AWS 클라우드로 성공적으로 마이그레이션했습니다. 솔루션 설계자는 설계에 따라 구성되었으며 Well-Architected 프레임워크에 따라 작동하는지 확인하기 위해 환경을 평가하고 있습니다.
비용 탐색기에서 이전 월별 요금을 분석하는 동안 솔루션 설계자는 다양한 대형 인스턴스 유형의 생성 및 후속 종료가 불균형적인 양의 리소스를 사용한다는 것을 발견했습니다. 솔루션 설계자는 회사 개발자가 테스트 목적으로 새로운 Amazon EC2 인스턴스를 생성하고 있으며 올바른 인스턴스 유형을 활용하지 않는다는 것을 발견했습니다.
솔루션 설계자는 개발자만 시작할 수 있는 인스턴스 종류를 제한하는 방법을 설계해야 합니다.
어떤 솔루션이 이러한 기준을 충족할까요?
A. AWS Config에서 원하는 인스턴스 유형 관리형 규칙을 생성합니다. 허용되는 인스턴스 유형으로 규칙을 구성합니다. 새 EC2 인스턴스가 시작될 때마다 실행할 이벤트에 규칙을 연결합니다.
B. EC2 콘솔에서 허용되는 인스턴스 유형을 지정하는 시작 템플릿을 생성합니다. 개발자의 IAM 계정에 시작 템플릿을 할당합니다.
C. 새 IAM 정책을 생성합니다. 허용되는 인스턴스 유형을 지정하십시오. 개발자용 IAM 계정이 포함된 IAM 그룹에 정책 연결
D. EC2 Image Builder를 사용하여 개발자를 위한 이미지 파이프라인을 생성하고 골든 이미지 생성을 지원합니다.58
사용자가 VPC의 퍼블릭 서브넷에 속한 단일 EC2 인스턴스에서 웹 서버와 애플리케이션 서버를 모두 실행하려고 합니다.
사용자는 애플리케이션과 웹 서버에 대해 두 개의 고유한 공용 IP 주소와 보안 그룹을 어떻게 구성할 수 있습니까?
A. 두 개의 개별 서브넷으로 VPC를 시작하고 인스턴스를 두 서브넷의 일부로 만듭니다.
B. 두 개의 네트워크 인터페이스가 있는 VPC 인스턴스를 시작합니다. 별도의 보안 그룹과 탄력적 IP를 할당합니다.
C. 두 개의 네트워크 인터페이스가 있는 VPC 인스턴스를 시작합니다. 각각에 별도의 보안 그룹을 할당하면 AWS에서 별도의 퍼블릭 IP를 할당합니다.
D. 요청을 퍼블릭 서브넷의 별도 VPC 인스턴스로 리디렉션하도록 ELB가 있는 VPC를 시작합니다.59
비즈니스는 2개의 AWS 리전에서 AWS 인프라를 운영합니다. 이 회사는 eu-west-1 지역에서 4개의 가상 사설 클라우드를 운영하고 us-east-1 지역에서 2개를 운영합니다. 또한 이 회사는 eu-west-1에서 두 개의 AWS Direct Connect 연결을 통해 AWS에 연결된 온프레미스 데이터 센터를 유럽에 보유하고 있습니다.
조직에는 각 VPC 내부의 Amazon EC2 인스턴스가 프라이빗 IP 주소를 사용하여 서로 통신할 수 있도록 하는 솔루션이 필요합니다. 또한 온프레미스 데이터 센터의 서버는 사설 IP 주소를 통해 해당 VPC에 액세스할 수 있어야 합니다.
이러한 요구 사항을 충족하는 측면에서 가장 비용 효율적인 접근 방식은 무엇입니까?
A. 각 리전에서 AWS Transit Gateway를 생성하고 각 VPC를 해당 리전의 Transit Gateway에 연결합니다. Transit Gateway 간에 교차 리전 피어링을 만듭니다. 두 개의 전송 VIF를 만들고 단일 Direct Connect 게이트웨이에 연결합니다. 각 전송 게이트웨이를 Direct Connect 게이트웨이와 연결합니다.
B. 동일한 리전의 각 VPC 간에 VPC 피어링을 생성합니다. 서로 다른 리전의 각 VPC 간에 교차 리전 피어링을 생성합니다. 두 개의 프라이빗 VIF를 생성하고 단일 Direct Connect 게이트웨이에 연결합니다. 각 VPC를 Direct Connect 게이트웨이와 연결합니다.
C. 동일한 리전의 각 VPC 간에 VPC 피어링을 생성합니다. 서로 다른 리전의 각 VPC 간에 교차 리전 피어링을 생성합니다. AWS IP 주소를 온프레미스 서버로 전역적으로 라우팅하도록 구성된 2개의 퍼블릭 VIF를 생성합니다.
D. 각 리전에서 AWS Transit Gateway를 생성하고 각 VPC를 해당 리전의 Transit Gateway에 연결합니다. Transit Gateway 간에 교차 리전 피어링을 만듭니다. 두 개의 프라이빗 VIF를 생성하고 단일 Direct Connect 게이트웨이에 연결합니다. 각 VPC를 Direct Connect 게이트웨이와 연결합니다.60
AWS Direct Connect에는 액세스를 제한할 수 있는 리소스가 포함되어 있지 않습니다. 결과적으로 IAM(Identity and Access Management) 정책에서 AWS Direct Connect Amazon 리소스 이름(ARN)을 사용할 수 없게 됩니다.
이를 염두에 두고 AWS Direct Connect 작업에 대한 액세스를 제한하는 정책을 작성하려면 어떻게 해야 합니까?
A. 리소스 이름 필드를 비워 둘 수 있습니다.
B. AWS Direct Connection의 이름을 리소스로 선택할 수 있습니다.
C. 별표(*)를 리소스로 사용할 수 있습니다.
D. 리소스의 이름을 만들 수 있습니다.61
사용자가 한도 증가에 대한 AWS 승인을 받지 않고 단일 리전에서 운영할 수 있는 cg1.4xlarge 온디맨드 인스턴스는 몇 개입니까?
가. 20
나. 2
다. 5
D. 1062
회사에서 Elastic Beanstalk를 사용하여 확장성이 뛰어난 애플리케이션을 만들고 있습니다.
Elastic Load Balancing(ELB)과 퍼블릭 및 프라이빗 서브넷이 있는 Virtual Private Cloud(VPC)가 사용되고 있습니다. 다음 기준을 충족해야 합니다.
- 모든 EC2 인스턴스에는 프라이빗 IP가 있어야 합니다 . - 모든
EC2 인스턴스는 ELB를 통해 데이터를 수신해야 합니다.
다음 중 이 구성에서 필요하지 않은 것은 무엇입니까?
A. 퍼블릭 서브넷만 있는 EC2 인스턴스를 시작합니다.
B. ELB에서 EC2 인스턴스로 모든 인바운드 트래픽을 라우팅할 라우팅 규칙을 생성합니다.
C. ELB와 NAT를 퍼블릭 서브넷의 일부로만 구성합니다.
D. NAT를 통해 EC2 인스턴스의 모든 아웃바운드 트래픽을 라우팅하는 라우팅 규칙을 생성합니다.63
비즈니스는 AWS 클라우드에서 애플리케이션을 호스팅합니다. 애플리케이션은 여러 가용 영역에 분산되어 있고 Application Load Balancer로 보호되는 Amazon EC2 인스턴스 집합에서 호스팅되는 마이크로서비스로 구성됩니다. 최근에 이 회사는 Amazon API Gateway를 사용하여 배포된 새로운 REST API를 제품에 출시했습니다. EC2 인스턴스에서 실행되는 특정 이전 마이크로서비스는 이 업데이트된 API를 사용해야 합니다.
회사는 API가 공용 인터넷을 통해 제공되는 것을 원하지 않으며 독점 데이터가 공용 인터넷을 통해 전송되는 것도 원하지 않습니다.
솔루션 설계자는 이러한 기준을 충족하기 위해 어떤 조치를 취해야 합니까?
A. VPC와 API Gateway 간에 AWS Site-to-Site VPN 연결을 생성합니다. API Gateway를 사용하여 각 마이크로서비스에 대해 고유한 API 키를 생성합니다. 키가 필요하도록 API 메서드를 구성합니다.
B. API Gateway에 대한 인터페이스 VPC 엔드포인트를 생성하고 특정 API에 대한 액세스만 허용하도록 엔드포인트 정책을 설정합니다. VPC 엔드포인트의 액세스만 허용하도록 API Gateway에 리소스 정책을 추가합니다. API Gateway 엔드포인트 유형을 프라이빗으로 변경합니다.
C. IAM 인증을 사용하도록 API 게이트웨이 수정 API 게이트웨이에 대한 액세스를 허용하도록 EC2 인스턴스에 할당된 IAM 역할에 대한 IAM 정책을 업데이트합니다. API 게이트웨이를 새 VPC로 이동합니다. Transit Gateway를 배포하고 VPC를 연결합니다.
D. AWS Global Accelerator에서 액셀러레이터를 생성하고 액셀러레이터를 API Gateway에 연결합니다. 생성된 Global Accelerator 엔드포인트 IP 주소에 대한 경로를 사용하여 모든 VPC 서브넷에 대한 라우팅 테이블을 업데이트합니다. 인증에 사용할 각 서비스에 대한 API 키를 추가합니다.64
다음 중 AWS Direct Connect 연결이 완전히 구성된 후 상호 작용할 때 거짓인 어설션은 무엇입니까?
A. AWS Direct Connect 연결을 관리하고 연결 세부 정보를 볼 수 있습니다.
B. 연결된 가상 인터페이스가 없는 한 연결을 삭제할 수 있습니다.
C. 현재 연결 ID를 볼 수 없으며 LOA(Letter of Authorization)에 있는 연결 ID와 일치하는지 확인할 수 없습니다.
D. 파트너(APN)에서 호스팅 연결을 구매하여 호스트 연결을 수락할 수 있습니다.65
유럽 온라인 신문의 공개 WordPress 사이트는 런던의 같은 데이터 센터에서 호스팅됩니다. 로드 밸런서, 2개의 웹 서버 및 1개의 MySQL 데이터베이스 서버가 현재 WordPress 아키텍처를 구성합니다. 솔루션 설계자는 다음 기준을 충족하는 솔루션을 구축할 책임이 있습니다.
✑ 웹 사이트 성능 향상
✑ 웹 계층을 확장 가능하고 상태 비저장 상태로 만들기
✑ 읽기가 많은 로드에 대한 데이터베이스 서버 성능 향상
✑ 유럽 전역 및 미국
✑ 99.9% 가용성을 목표로 새로운 아키텍처 설계
운영 효율성을 향상시키면서 이러한 기준을 충족하는 방법은 무엇입니까?
A. AWS 리전 1개와 가용 영역 3개에서 WordPress Amazon EC2 인스턴스의 Auto Scaling 그룹 앞에서 Application Load Balancer(ALB)를 사용합니다. 다중 AZ Amazon Aurora MySQL DB 클러스터 앞에 Amazon ElastiCache 클러스터를 구성합니다. WordPress 공유 파일을 Amazon EFS로 이동합니다. ALB를 오리진으로 사용하여 Amazon CloudFront를 구성하고 미국 및 유럽을 포함하는 가격 등급을 선택합니다.
B. 2개의 AWS 리전과 각 리전의 2개의 가용 영역에서 WordPress Amazon EC2 인스턴스의 Auto Scaling 그룹 앞에서 Application Load Balancer(ALB)를 사용합니다. 글로벌 Amazon Aurora MySQL 데이터베이스 앞에 Amazon ElastiCache 클러스터를 구성합니다. WordPress 공유 파일을 Amazon EFS로 이동합니다. ALB를 오리진으로 사용하여 Amazon CloudFront를 구성하고 미국 및 유럽을 포함하는 가격 등급을 선택합니다. EFS 교차 리전 복제를 구성합니다.
C. AWS 리전 1개와 가용 영역 3개에서 WordPress Amazon EC2 인스턴스의 Auto Scaling 그룹 앞에서 Application Load Balancer(ALB)를 사용합니다. 다중 AZ Amazon Aurora MySQL DB 클러스터 앞에 Amazon DocumentDB 테이블을 구성합니다. WordPress 공유 파일을 Amazon EFS로 이동합니다. ALB를 오리진으로 사용하여 Amazon CloudFront를 구성하고 모든 글로벌 위치를 포함하는 가격 등급을 선택합니다.
D. 2개의 AWS 리전과 각 리전의 3개 가용 영역에서 WordPress Amazon EC2 인스턴스의 Auto Scaling 그룹 앞에서 Application Load Balancer(ALB)를 사용합니다. 글로벌 Amazon Aurora MySQL 데이터베이스 앞에 Amazon ElastiCache 클러스터를 구성합니다. 교차 리전 동기화를 사용하여 WordPress 공유 파일을 Amazon FSx로 이동합니다. ALB를 오리진으로 사용하고 미국과 유럽을 포함하는 가격 등급으로 Amazon CloudFront를 구성합니다.66
다음 중 IAM의 임시 보안 자격 증명에 대한 설명으로 옳지 않은 것은?
A. 임시 보안 자격 증명을 발급한 후에는 취소할 수 없습니다.
B. 어느 것도 옳지 않습니다.
C. 임시 보안 자격 증명을 발급하면 가상 MFA 디바이스를 사용하는 경우에만 해지할 수 있습니다.
D. 임시 보안 자격 증명을 발급하면 취소될 수 있습니다.67
솔루션 설계자는 웹 애플리케이션을 지원하는 데 사용할 PostgreSQL 데이터베이스용 Amazon RDS용 다중 지역 아키텍처를 설계해야 합니다. 데이터베이스는 기본 및 보조 리전 모두에서 사용 가능한 AWS 서비스와 기능을 활용하는 AWS CloudFormation 템플릿을 사용하여 시작됩니다.
데이터베이스는 자동 백업용으로 설계되었으며 15분의 RTO(복구 시간 목표)와 2시간의 RPO(복구 지점 목표)를 갖습니다. 웹 애플리케이션은 Amazon Route 53 레코드를 사용하여 데이터베이스로 트래픽을 전송하도록 설정되어 있습니다.
모든 요구 사항을 충족하는 가장 고가용성 아키텍처를 생성하는 일련의 작업은 무엇입니까? (2개를 선택하세요.)
A. 보조 리전에서 데이터베이스의 리전 간 읽기 전용 복제본을 생성합니다. 장애 조치 이벤트 중에 읽기 전용 복제본을 승격하도록 보조 리전에서 AWS Lambda 함수를 구성합니다.
B. 기본 리전에서 오류가 감지될 때 AWS Lambda 함수를 호출할 데이터베이스에 대한 상태 확인을 생성합니다. 보조 리전의 최신 데이터베이스 스냅샷에서 데이터베이스를 다시 생성하고 데이터베이스에 대한 Route 53 호스트 레코드를 업데이트하도록 Lambda 함수를 프로그래밍합니다.
C. 2시간마다 보조 리전에 최신 자동 백업을 복사하는 AWS Lambda 함수를 생성합니다.
D. Route 53에서 데이터베이스 DNS 레코드에 대한 장애 조치 라우팅 정책을 생성합니다. 기본 및 보조 엔드포인트를 각 리전의 엔드포인트로 설정합니다.
E. 보조 지역에서 상시 대기 데이터베이스를 생성합니다. AWS Lambda 함수를 사용하여 기본 데이터베이스에 장애가 발생한 경우 보조 데이터베이스를 최신 RDS 자동 백업으로 복원합니다.68
한 기업이 많은 국가에서 웹 기반 애플리케이션을 출시하고 있습니다. 애플리케이션에는 프라이빗 Amazon S3 버킷에 저장되고 ALB(Application Load Balancer) 뒤의 Amazon ECS 컨테이너에서 호스팅되는 정적 콘텐츠와 동적 콘텐츠가 모두 있습니다. 조직은 모든 정적 및 동적 애플리케이션 자료를 Amazon CloudFront를 통해 사용할 수 있어야 한다고 규정합니다.
솔루션 설계자는 CloudFront의 직접 콘텐츠 액세스를 보호하기 위해 어떤 절차 조합을 제안해야 합니까? (3개를 선택하세요.)
A. 사용자 지정 헤더가 있는지 확인하고 웹 ACL을 ALB와 연결하는 규칙을 사용하여 AWS WAF에서 웹 ACL을 생성합니다.
B. 사용자 지정 헤더가 있는지 확인하고 웹 ACL을 CloudFront 배포와 연결하는 규칙을 사용하여 AWS WAF에서 웹 ACL을 생성합니다.
C. 오리진 요청에 사용자 지정 헤더를 추가하도록 CloudFront를 구성합니다.
D. HTTP 요청에 사용자 정의 헤더를 추가하도록 ALB를 구성합니다.
E. CloudFront 배포에서만 액세스를 허용하도록 S3 버킷 ACL을 업데이트합니다.
F. CloudFront 오리진 액세스 ID(OAI)를 생성하여 CloudFront 배포에 추가합니다. OAI에 대한 액세스만 허용하도록 S3 버킷 정책을 업데이트합니다.69
Amazon RDS API는 VPC 내부의 데이터베이스 인스턴스를 수정하고 데이터베이스 보안 그룹과 연결할 수 있습니까?
A. 예, Amazon은 이 작업을 수행하지만 MySQL RDS에만 해당됩니다.
나. 네
다. 아니오
D. 예, Amazon은 Oracle RDS에 대해서만 이 작업을 수행합니다.70
사용자가 미리 서명된 URL을 사용하여 프라이빗 S3 버킷에서 파일을 다운로드할 수 있도록 하는 Amazon EC2 인스턴스에서 애플리케이션을 운영하고 있습니다. URL을 설정하기 전에 애플리케이션은 파일이 S3에 있는지 확인해야 합니다.
애플리케이션이 AWS 자격 증명을 사용하여 S3 버킷에 안전하게 액세스하려면 어떻게 해야 합니까?
A. AWS 계정 액세스 키를 사용합니다. 애플리케이션은 애플리케이션의 소스 코드에서 자격 증명을 검색합니다.
B. S3 버킷의 객체에 대한 목록 액세스를 허용하는 EC2용 IAM 역할을 생성합니다. 역할이 있는 인스턴스를 시작하고 EC2 인스턴스 메타데이터에서 역할의 자격 증명을 검색합니다.
C. S3 버킷에 대한 목록 액세스를 허용하는 권한이 있는 애플리케이션에 대한 IAM 사용자를 생성합니다. 애플리케이션은 애플리케이션 사용자에게만 읽기 액세스를 허용하는 권한이 있는 임시 디렉터리에서 IAM 사용자 자격 증명을 검색합니다.
D. S3 버킷에 대한 목록 액세스를 허용하는 권한이 있는 애플리케이션에 대한 IAM 사용자를 생성합니다. IAM 사용자로 인스턴스를 시작하고 EC2 인스턴스 사용자 데이터에서 IAM 사용자의 자격 증명을 검색합니다.71
AWS Data Pipeline 작업 실행기가 호출할 때 PollForTask 작업의 목적은 무엇입니까?
A. 파이프라인 정의를 검색하는 데 사용됩니다.
B. 태스크 러너의 진행 상황을 AWS Data Pipeline에 보고하는 데 사용됩니다.
C. AWS Data Pipeline에서 수행할 작업을 수신하는 데 사용됩니다.
D. 태스크 러너가 태스크를 완료했을 때 결과를 AWS Data Pipeline에 알리는 데 사용됩니다.72
한 회사에서 각 개발 팀에 대해 총 200개의 계정을 생성했습니다. 각 계정에는 단일 지역에 단일 가상 사설 클라우드(VPC)가 있으며, 각 지역에는 Docker 컨테이너에서 작동하고 다른 계정의 마이크로 서비스와 통신해야 하는 많은 마이크로 서비스가 있습니다. 보안 팀의 요구에 따라 이러한 마이크로 서비스는 공용 인터넷을 통과해서는 안 되며 특정 내부 서비스만 다른 내부 서비스에 연결할 수 있도록 허용해야 합니다. 서비스에 대한 네트워크 트래픽이 거부되면 발신 IP를 포함하여 보안 팀에 경고해야 합니다.
보안 요구 사항을 준수하면서 서비스 간 연결을 개발하려면 어떻게 해야 합니까?
ㅏ. VPC 간에 VPC 피어링 연결을 생성합니다. 인스턴스에서 보안 그룹을 사용하여 마이크로서비스 호출이 허용된 보안 그룹 ID의 트래픽을 허용합니다. 네트워크 ACL을 적용하고 로컬 VPC 및 피어링된 VPC의 트래픽만 허용합니다. 각 마이크로서비스에 대한 Amazon ECS의 작업 정의 내에서 awslogs 드라이버를 사용하여 로그 구성을 지정합니다. Amazon CloudWatch Logs 내에서 지표 필터를 생성하고 HTTP 403 응답 수를 경보합니다. 메시지 수가 보안 팀에서 설정한 임계값을 초과하면 알람을 생성합니다.
B. CIDR 범위가 겹치지 않는지 확인하고 각 VPC에 가상 프라이빗 게이트웨이(VGW)를 연결합니다. 각 VGW 간에 IPsec 터널을 프로비저닝하고 경로 테이블에서 경로 전파를 활성화합니다. 다른 계정에 있는 VPC의 CIDR 범위를 허용하도록 각 서비스에 보안 그룹을 구성합니다. VPC 흐름 로그를 활성화하고 거부된 트래픽에 대해 Amazon CloudWatch Logs 구독 필터를 사용합니다. IAM 역할을 생성하고 보안 팀이 각 계정에 대해 AssumeRole 작업을 호출하도록 허용합니다.
씨. Amazon EC2에서 실행되는 타사 마켓플레이스 VPN 어플라이언스, VPN 어플라이언스 간에 동적으로 라우팅되는 VPN 연결, 지역 내 각 VPC에 연결된 가상 프라이빗 게이트웨이(VGW)를 사용하여 전송 VPC를 배포합니다. 로컬 VPC의 트래픽만 허용하도록 네트워크 ACL을 조정합니다. VPN 어플라이언스의 트래픽만 허용하도록 보안 그룹을 마이크로서비스에 적용합니다. 각 VPN 어플라이언스에 awslogs 에이전트를 설치하고 보안 팀이 액세스할 수 있도록 보안 계정의 Amazon CloudWatch Logs로 로그를 전달하도록 구성합니다.
디. 각 마이크로 서비스에 대해 NLB(Network Load Balancer)를 생성합니다. NLB를 PrivateLink 엔드포인트 서비스에 연결하고 이 서비스를 사용할 계정을 화이트리스트에 추가합니다. 소비자 VPC에서 인터페이스 엔드포인트를 생성하고 생산자 서비스를 호출할 권한이 있는 서비스의 보안 그룹 ID만 허용하는 보안 그룹을 연결합니다. 생산자 서비스에서 각 마이크로 서비스에 대한 보안 그룹을 만들고 허용된 서비스의 CIDR 범위만 허용합니다. 각 VPC에서 VPC 흐름 로그를 생성하여 Amazon CloudWatch Logs 그룹으로 전달될 거부된 트래픽을 캡처합니다. 로그 데이터를 보안 계정으로 스트리밍하는 CloudWatch Logs 구독을 생성합니다.73
Amazon Elastic Map Reduce를 통해 Amazon S3에 저장된 방대한 양의 데이터를 분석할 수 있는 능력이 필요합니다. 처리하는 동안 대부분의 CPU가 유휴 상태인 cc2 8xlarge 인스턴스 유형을 사용하고 있습니다.
다음 중 작업 실행 시간을 줄이는 가장 비용 효율적인 방법은 무엇입니까?
A. Amazon S3에서 더 많은 작은 파리를 만드십시오.
B. 작업 그룹을 도입하여 추가 cc2 8xlarge 인스턴스를 추가합니다.
C. 더 높은 집계 I/O 성능을 가진 더 작은 인스턴스를 사용합니다.
D. Amazon S3에서 더 적은 수의 더 큰 파일을 생성합니다.74
귀하의 조직은 이제 온프레미스 데이터 센터에서 2계층 웹 애플리케이션을 운영하고 있습니다. 지난 두 달 동안 많은 인프라 장애가 발생하여 상당한 재정적 손실을 입었습니다. CIO는 애플리케이션을 AWS로 옮기는 것에 대해 단호합니다. 그는 다른 기업 리더들의 동의를 얻기 위해 노력하는 동안 단기 비즈니스 연속성을 지원하기 위해 재해 복구 계획을 준비하기를 원합니다. 그는 4시간의 RTO(복구 시간 목표)와 1시간 이하의 RPO(복구 시점 목표)를 목표로 합니다. 또한 그는 2주 이내에 솔루션을 구현하도록 요청합니다.
데이터베이스 크기는 200GB이고 인터넷 연결은 20Mbps입니다.
가격을 낮게 유지하면서 어떻게 하시겠습니까?
A. 애플리케이션의 새로 설치를 포함하는 EBS 지원 프라이빗 AMI를 생성합니다. AMI와 필수 EC2, AutoScaling 및 ELB 리소스가 포함된 CloudFormation 템플릿을 개발하여 다중 가용 영역에 애플리케이션 배포를 지원합니다. 보안 VPN 연결을 통해 온프레미스 데이터베이스에서 AWS의 데이터베이스 인스턴스로 트랜잭션을 비동기식으로 복제합니다.
B. 여러 가용 영역에 걸쳐 Auto Scaling 그룹 내의 EC2 인스턴스에 애플리케이션을 배포합니다. 보안 VPN 연결을 통해 온프레미스 데이터베이스에서 AWS의 데이터베이스 인스턴스로 트랜잭션을 비동기식으로 복제합니다.
C. 애플리케이션의 새로 설치를 포함하는 EBS 지원 프라이빗 AMI를 생성합니다. 데이터 센터에 스크립트를 설정하여 1시간마다 로컬 데이터베이스를 백업하고 다중 부분 업로드를 사용하여 결과 파일을 암호화하고 S3 버킷에 복사합니다.
D. 애플리케이션의 평균 부하를 지원할 수 있는 컴퓨팅 최적화 EC2 인스턴스에 애플리케이션을 설치합니다. 보안 Direct Connect 연결을 통해 온프레미스 데이터베이스에서 AWS의 데이터베이스 인스턴스로 트랜잭션을 동기식으로 복제합니다.75
솔루션 설계자는 새 Amazon S3 버킷에 저장되는 항목에 대한 클라이언트 측 암호화 메커니즘을 구현하는 일을 담당합니다. 이를 위해 솔루션 설계자는 AWS Key Management Service(AWS KMS)에 보관되는 CMK를 설계했습니다.
솔루션 설계자는 다음 IAM 정책을 설정하고 IAM 역할에 연결했습니다.
테스트 중에 솔루션 설계자는 S3 버킷을 기존 테스트 항목으로 성공적으로 채울 수 있었습니다. 반면에 새 항목을 업로드하려고 하면 오류 알림이 표시됩니다. 오류 알림은 사용자에게 해당 활동이 금지되었음을 알렸습니다.
솔루션 설계자는 모든 요구 사항을 충족하도록 IAM 정책에 어떤 단계를 포함해야 합니까?
A. kms:데이터 키 생성
B. kms:GetKeyPolicy
C. kms:GetPublicKey
D. kms:사인76
비즈니스에서는 특별히 강화된 AMI만 VPC 내부의 퍼블릭 서브넷으로 시작하고 AMI를 특정 보안 그룹과 연결해야 합니다. 규정을 준수하지 않는 인스턴스가 퍼블릭 서브넷에서 시작되도록 허용하면 실행이 허용되는 경우 심각한 보안 위험이 발생할 수 있습니다.
서브넷 및 보안 그룹에 대한 허용된 AMI 매핑은 동일한 AWS 계정의 Amazon DynamoDB 데이터베이스에서 발생합니다. 이 비즈니스는 실행 시 AMI, 서브넷 및 보안 그룹 조합이 DynamoDB 데이터베이스에서 승인되지 않은 경우 Amazon EC2 인스턴스를 종료하는 AWS Lambda 함수를 개발했습니다.
솔루션 설계자는 규정 준수 위반 위험을 최대한 빨리 제한하기 위해 무엇을 해야 합니까?
A. 허용된 AMI 중 하나를 사용하여 EC2 인스턴스가 시작될 때마다 일치하는 Amazon CloudWatch Events 규칙을 생성하고 대상으로 Lambda 함수와 연결합니다.
B. AWS CloudTrail 로그를 수신하는 Amazon S3 버킷의 경우 로그에 ec2:RunInstances 작업이 포함될 때 일치하는 필터가 있는 S3 이벤트 알림 구성을 생성하고 이를 대상으로 Lambda 함수와 연결합니다.
C. AWS CloudTrail을 활성화하고 Amazon CloudWatch Logs 그룹으로 스트리밍하도록 구성합니다. ec2:RunInstances 작업이 발생할 때 일치하도록 CloudWatch에서 지표 필터를 생성하고 지표가 0보다 클 때 Lambda 함수를 트리거합니다.
D. EC2 인스턴스가 시작될 때마다 일치하는 Amazon CloudWatch Events 규칙을 생성하고 대상인 Lambda 함수와 연결합니다.77
AWS Business 및 Enterprise에 대한 지원 플랜을 구매했습니다.
조직에서 문제 백로그가 발생하고 있으며 약 20명의 IAM 사용자가 기술 지원 사례를 시작해야 합니다.
AWS 비즈니스 및 엔터프라이즈 지원 플랜에 따라 몇 명의 사용자가 기술 지원 티켓을 열 수 있습니까?
A. 5명의 사용자
나. 사용자 10명
다. 무제한
D. 사용자 1명78
소매 회사는 애플리케이션 서버를 사용하여 데이터 센터에서 POS 데이터를 처리하고 결과를 Amazon DynamoDB 데이터베이스에 게시합니다. 데이터 센터는 AWS Direct Connect(DX) 연결을 통해 회사의 VPC와 연결되며, 애플리케이션 서버는 최소 2Gbps의 안정적인 네트워크 연결이 필요합니다.
조직은 DynamoDB 테이블이 고가용성 및 내결함성이어야 한다고 결정합니다. 기업 정책에 따르면 데이터는 두 가지 영역에서 액세스할 수 있어야 합니다.
이러한 요구 사항을 준수하기 위해 기업은 어떤 수정을 해야 합니까?
A. 이중화를 위해 두 번째 DX 연결을 설정합니다. DynamoDB 글로벌 테이블을 사용하여 데이터를 두 번째 리전에 복제합니다. 두 번째 리전으로 장애 조치하도록 애플리케이션을 수정합니다.
B. AWS 관리형 VPN을 DX에 대한 백업으로 사용합니다. 두 번째 리전에서 동일한 DynamoDB 테이블을 생성합니다. 두 리전에 데이터를 복제하도록 애플리케이션을 수정합니다.
C. 이중화를 위해 두 번째 DX 연결을 설정합니다. 두 번째 리전에서 동일한 DynamoDB 테이블을 생성합니다. DynamoDB Auto Scaling을 활성화하여 처리량 용량을 관리합니다. 두 번째 리전에 쓰도록 애플리케이션을 수정합니다.
D. AWS 관리형 VPN을 DX에 대한 백업으로 사용합니다. 두 번째 리전에서 동일한 DynamoDB 테이블을 생성합니다. DynamoDB 스트림을 활성화하여 테이블 변경 사항을 캡처합니다. AWS Lambda를 사용하여 두 번째 리전에 변경 사항을 복제합니다.79
한 기업이 2주 후에 새로운 청구 애플리케이션을 도입할 준비를 하고 있습니다. 애플리케이션은 CIDR 블록이 172.31.0.0/16인 VPC A의 서브넷 172.31.0.0/24에 있는 Auto Scaling 그룹이 제어하는 10개의 Amazon EC2 인스턴스에서 테스트되고 있습니다. 개발자는 CIDR 블록 172.50.0.0/16을 사용하여 VPC B의 동일한 지역에 있는 Amazon EC2 인스턴스에서 작동하는 Oracle 데이터베이스에 연결하려고 시도하는 동안 애플리케이션 로그에서 연결 시간 초과 문제를 확인했습니다.
데이터베이스 인스턴스의 IP 주소는 애플리케이션 인스턴스에 하드 코딩됩니다.
최소한의 유지 관리 및 오버헤드로 가능한 가장 안전한 방식으로 문제를 해결하기 위해 솔루션 설계자가 개발자에게 제공해야 하는 제안 사항은 무엇입니까?
A. 애플리케이션 및 Oracle 데이터베이스를 실행하는 모든 인스턴스에 대해 SrcDestCheck 속성을 비활성화합니다. VPC A의 기본 경로를 172.50.0.0/16 범위 내에서 할당된 IP 주소가 있는 Oracle Database의 ENI를 가리키도록 변경합니다.
B. 두 VPC에 대한 인터넷 게이트웨이를 생성하고 연결합니다. 두 VPC 모두에 대해 인터넷 게이트웨이에 대한 기본 경로를 구성합니다. VPC A의 각 Amazon EC2 인스턴스에 탄력적 IP 할당
C. 두 VPC 간에 VPC 피어링 연결을 생성하고 172.50.0.0/16의 IP 주소 범위를 가리키는 VPC A의 라우팅 테이블에 경로를 추가합니다.
D. 각 VPC에 대한 추가 Amazon EC2 인스턴스를 고객 게이트웨이로 생성합니다. 각 VPC에 대해 하나의 가상 프라이빗 게이트웨이(VGW)를 생성하고 종단 간 VPC를 구성하고 172.50.0.0/16에 대한 경로를 알립니다.80
한 비즈니스에 온라인으로 티켓을 판매하고 7일마다 수요가 급증하는 애플리케이션이 있습니다. 이 프로그램은 Amazon EC2에서 실행되는 상태 비저장 디스플레이 계층, 비정형 데이터 카탈로그 정보를 저장하기 위한 Oracle 데이터베이스 및 백엔드 API 계층으로 구성됩니다. 프런트 엔드 계층은 Elastic Load Balancer(AZ)를 통해 3개의 가용 영역에 걸쳐 9개의 온디맨드 인스턴스에 로드를 분산합니다. Oracle은 단일 EC2 인스턴스에서 실행되고 있습니다. 2개 이상의 연속 캠페인을 수행할 때 회사는 성능 문제가 있습니다. 솔루션 설계자는 다음 요구 사항을 충족하는 솔루션을 개발할 책임이 있습니다.
✑ 확장성 문제를 해결합니다.
✑ 동시성 수준을 높입니다.
✑ 라이선스 비용을 제거합니다.
✑ 신뢰성 향상.
솔루션 설계자는 어떤 절차를 따라야 합니까?
A. 비용 절감을 위해 온디맨드 및 스팟 인스턴스의 조합으로 프런트 엔드용 Auto Scaling 그룹을 생성합니다. Oracle 데이터베이스를 단일 Amazon RDS 예약 DB 인스턴스로 변환합니다.
B. 비용 절감을 위해 온디맨드 및 스팟 인스턴스의 조합으로 프런트 엔드용 Auto Scaling 그룹을 생성합니다. 데이터베이스 인스턴스의 두 개의 추가 복사본을 생성한 다음 별도의 AZ에 데이터베이스를 배포합니다.
C. 비용 절감을 위해 온디맨드 및 스팟 인스턴스의 조합으로 프런트 엔드용 Auto Scaling 그룹을 생성합니다. Oracle 데이터베이스의 테이블을 Amazon DynamoDB 테이블로 변환합니다.
D. 온디맨드 인스턴스를 스팟 인스턴스로 변환하여 프런트 엔드 비용을 줄입니다. Oracle 데이터베이스의 테이블을 Amazon DynamoDB 테이블로 변환합니다.81
IAM 내에서 문자열 조건을 사용할 때 더 자세한 비교기보다는 사용 가능한 비교기의 압축 버전을 활용할 수 있습니다.
streqi는 _______ 문자열 조건의 약어입니다.
A. StringEqualsIgnoreCase
B. StringNotEqualsIgnoreCase
C. StringLikeStringEquals
D. StringNotEquals82
사물 인터넷을 전문으로 하는 한 기업은 먼 지역의 온도를 모니터링하기 위해 일련의 센서를 배치했습니다. 각 디바이스는 AWS IoT Core와 연결을 설정하고 30초마다 메시지를 전송하여 Amazon DynamoDB 데이터베이스를 업데이트합니다. 시스템 관리자는 AWS IoT를 사용하여 디바이스가 여전히 AWS IoT Core와 통신하고 있는지 확인합니다. 데이터베이스가 업데이트되지 않습니다.
데이터베이스가 업데이트되지 않을 때 Solutions Architect는 무엇을 확인해야 합니까?
A. AWS IoT Device Shadow 서비스가 적절한 주제를 구독하고 AWS Lambda 기능을 실행하고 있는지 확인합니다.
B. AWS IoT 모니터링에서 적절한 AWS IoT 규칙이 실행되고 있고 AWS IoT 규칙이 올바른 규칙 작업으로 활성화되어 있는지 확인합니다.
C. AWS IoT Fleet 인덱싱 서비스를 확인하고 사물 그룹에 DynamoDB를 업데이트할 적절한 IAM 역할이 있는지 확인합니다.
D. AWS IoT 사물이 WebSocket을 통한 MQTT 대신 MQTT를 사용하고 있는지 확인한 다음 프로비저닝에 적절한 정책이 연결되어 있는지 확인합니다.83
사용자가 EBS PIOPS 볼륨 사용을 고려합니다.
다음 중 PIOPS EBS 볼륨에 가장 적합한 사용 사례는 무엇입니까?
A. 분석
B. 시스템 부팅 볼륨
다 . 몽고DB
D. 로그 처리84
솔루션 설계자는 Amazon RDS for PostgreSQL 데이터베이스에서 호스팅될 웹 애플리케이션을 개발 중입니다. 데이터베이스 인스턴스는 쓰기보다 읽기가 훨씬 더 많을 것으로 예상됩니다. 솔루션 설계자는 많은 양의 읽기 트래픽을 처리할 수 있고 데이터베이스 인스턴스의 고가용성을 보장해야 합니다.
솔루션 설계자는 이러한 요구 사항을 준수하기 위해 어떤 절차를 수행해야 합니까? (3개를 선택하세요.)
A. 읽기 전용 복제본을 여러 개 생성하여 Auto Scaling 그룹에 넣습니다.
B. 서로 다른 가용 영역에 여러 읽기 전용 복제본을 생성합니다.
C. TTL 및 가중치 기반 라우팅 정책을 사용하여 각 읽기 전용 복제본에 대해 Amazon Route 53 호스팅 영역과 레코드 세트를 생성합니다.
D. ALB(Application Load Balancer)를 생성하고 ALB 뒤에 읽기 전용 복제본을 배치합니다.
E. 실패한 읽기 전용 복제본을 감지하도록 Amazon CloudWatch 경보를 구성합니다. AWS Lambda 함수를 직접 호출하여 Route 53 레코드 세트를 삭제하도록 경보를 설정합니다.
F. 엔드포인트를 사용하여 각 읽기 전용 복제본에 대한 Amazon Route 53 상태 확인을 구성합니다.85
AWS Lambda 권한 패러다임과 관련하여 Lambda 함수를 구성할 때 사용자를 대신하여 Lambda 함수를 실행하기 위해 AWS Lambda가 취할 수 있는 IAM 역할을 정의합니다. 또한 이 작업을 _________ 역할이라고 합니다.
가. 구성
나. 실행
다. 위임
D. 의존성86
조직은 이전에 온프레미스 데이터 센터와 AWS 간에 트래픽이 많이 발생하고 동적으로 라우팅되는 VPN 연결을 생성했습니다. 최근에 DirectConnect 연결을 프로비저닝했으며 이를 활용하려고 합니다.
다음 중 AWS 콘솔에서 DirectConnect 설정을 구성한 후 사용자에게 가장 원활한 전환을 제공하는 대안은 무엇입니까?
A. 라우팅 루프를 피하기 위해 기존 VPN 연결을 삭제하고 DirectConnect 라우터를 적절한 설정으로 구성하고 네트워크 트래픽이 DirectConnect를 활용하는지 확인합니다.
B. 더 높은 BGP 우선 순위로 DirectConnect 라우터를 구성하고 VPN 라우터에 네트워크 트래픽이 Directconnect를 활용하는지 확인한 다음 기존 VPN 연결을 삭제합니다.
C. DirectConnect 연결을 가리키도록 VPC 라우팅 테이블을 업데이트합니다. 적절한 설정으로 DirectConnect 라우터를 구성합니다. 네트워크 트래픽이 DirectConnect를 활용하고 있는지 확인한 다음 VPN 연결을 삭제합니다.
D. DirectConnect 라우터를 구성하고, DirectConnect 연결을 가리키도록 VPC 라우팅 테이블을 업데이트하고, 더 높은 BGP 우선 순위로 VPN 연결을 구성하고, 네트워크 트래픽이 DirectConnect 연결을 활용하는지 확인합니다.87
Amazon EC2 c4.8xlarge 인스턴스의 네트워크 성능은 어떻습니까?
A. 매우 높지만 가변적임
B. 20기가비트
C. 5기가비트
D. 10기가비트88
기업은 AWS를 사용하여 3계층 애플리케이션을 호스팅합니다. 사용자에 따르면 응용 프로그램 속도는 시간과 사용하는 기능에 따라 크게 다릅니다.
응용 프로그램의 구성 요소에는 다음이 포함됩니다.
✑ 응용 프로그램 계층에서 정적 콘텐츠 및 프록시 동적 콘텐츠를 제공하는 8개의 t2.large 프런트 엔드 웹 서버.
✑ 4대의 t2.large 애플리케이션 서버.
✑ db.m4.large Amazon RDS MySQL 다중 AZ DB 인스턴스 1개.
웹 및 애플리케이션 계층은 작업에 의해 제한된 네트워크로 식별되었습니다.
다음 중 애플리케이션 성능을 높이는 데 가장 비용 효율적인 방법은 무엇입니까? (2개를 선택하세요.)
A. 웹 및 앱 계층을 t2.xlarge 인스턴스로 교체
B. 웹 및 애플리케이션 계층에 AWS Auto Scaling 및 m4.large 인스턴스 사용
C. Amazon EC2에서 MySQL RDS 인스턴스를 자체 관리형 MySQL 클러스터로 변환
D. 콘텐츠를 캐시할 Amazon CloudFront 배포 생성
E. Amazon RDS 인스턴스의 크기를 db.m4.xlarge로 늘립니다.89
Amazon Redshift를 활용하려고 하며 dw1.8xlarge 노드를 배포할 예정입니다.
이 구성에서 배포해야 하는 최소 노드 수는 얼마입니까?
A. 1
B. 4
C. 3
D. 290
비즈니스에서 앱을 AWS로 이전하는 중입니다. 앱은 사업부의 AWS 계정에 배포됩니다. 이 회사는 모든 앱의 생성 및 유지 관리를 담당하는 많은 개발 팀을 고용하고 있습니다. 회사는 엄청난 사용자 증가를 예상합니다.
조직의 CTO는 다음 요구 사항을 충족해야 합니다.
✑ 개발자는 AWS CloudFormation을 사용하여 AWS 인프라를 시작해야 합니다.
개발자는 CloudFormation 외부에서 리소스를 생성할 수 없어야 합니다.
✑ 솔루션은 수백 개의 AWS 계정으로 확장할 수 있어야 합니다.
다음 중 이 기준을 만족하는 것은? (2개를 선택하세요.)
A. CloudFormation을 사용하여 회사에 필요한 모든 리소스를 생성할 수 있는 권한이 있는 CloudFormation이 맡을 수 있는 IAM 역할을 생성합니다. CloudFormation StackSets를 사용하여 이 템플릿을 각 AWS 계정에 배포합니다.
B. 중앙 계정에서 개발자가 맡을 수 있는 IAM 역할을 생성하고 CloudFormation과의 상호 작용을 허용하는 정책을 연결합니다. IAM 역할이 CloudFormation에 전달되도록 허용하도록 AssumeRolePolicyDocument 작업을 수정합니다.
C. CloudFormation을 사용하여 개발자가 맡을 수 있는 IAM 역할을 생성하고 CloudFormation에 역할을 전달하고 상호 작용을 허용하는 정책을 연결합니다. 인라인 정책을 연결하여 다른 모든 AWS 서비스에 대한 액세스를 거부합니다. CloudFormation StackSets를 사용하여 이 템플릿을 각 AWS 계정에 배포합니다.
D. CloudFormation을 사용하여 각 개발자에 대한 IAM 역할을 생성하고 CloudFormation과의 상호 작용을 허용하는 정책을 연결합니다. CloudFormation StackSets를 사용하여 이 템플릿을 각 AWS 계정에 배포합니다.
E. 중앙 AWS 계정에서 회사에 필요한 리소스를 생성할 수 있는 권한이 있는 CloudFormation이 맡을 수 있는 IAM 역할을 생성합니다. IAM 역할이 리소스를 관리하도록 허용하는 CloudFormation 스택 정책을 생성합니다. CloudFormation StackSets를 사용하여 CloudFormation 스택 정책을 각 AWS 계정에 배포합니다.91
IAM의 정책 평가 로직이 적용될 때 명시적 거부가 발견되지 않으면 시행 코드는 요청에 적용되는 모든 __________ 명령을 검색합니다.
가. "취소"
나. "중단"
C. "허용하다"
D. "유효한"92
cr1.8xlarge 인스턴스 유형은 얼마나 많은 메모리를 제공합니까?
A. 224GB
나. 124GB
C. 184GB
D.244GB _93
비즈니스는 프런트 엔드 및 전자 상거래 계층으로 구분된 전자 상거래 플랫폼을 운영합니다. 두 수준 모두 LAMP 스택을 기반으로 하며 프런트 엔드 인스턴스는 AWS에서 호스팅하는 로드 밸런싱 어플라이언스 뒤에서 작동합니다. 현재 운영 팀은 패치를 유지 관리하고 다른 문제를 해결하기 위해 SSH를 통해 인스턴스에 로그인합니다.
최근 이 사이트는 A 분산 서비스 거부 공격을 비롯한 여러 공격의 대상이 되었습니다 . SQL 인젝션 공격. 웹 서버 SSH 계정에 대한 수많은 성공적인 사전 공격.
이 회사는 AWS로 전환하여 전자 상거래 플랫폼의 보안을 강화하기를 희망합니다. 조직의 솔루션 설계자는 다음 접근 방식을 선택했습니다.
✑ DDoS 공격.
✑ SQL 인젝션 공격.
✑ 웹 서버의 SSH 계정에 대한 몇 가지 성공적인 사전 공격.
이 회사는 AWS로 마이그레이션하여 전자 상거래 플랫폼의 보안을 개선하고자 합니다. 회사의 솔루션 설계자는
다음 접근 방식을 사용하기로 결정했습니다.
✑ 기존 애플리케이션을 코드 검토하고 SQL 주입 문제를 수정합니다.
✑ 웹 애플리케이션을 AWS로 마이그레이션하고 최신 AWS Linux AMI를 활용하여 초기 보안 패치를 처리합니다.
✑ AWS Systems Manager를 설치하여 패치를 관리하고 시스템 관리자가 필요에 따라 모든 인스턴스에서 명령을 실행할 수 있도록 합니다.
모두
고가용성을 유지하고 위험을 낮추면서 식별된 위협 유형을 해결하기 위한 추가 노력은 무엇입니까?
A. 특정 IP에 대한 액세스를 제한하는 보안 그룹을 사용하여 Amazon EC2 인스턴스에 대한 SSH 액세스를 활성화합니다. 온프레미스 MySQL을 Amazon RDS 다중 AZ로 마이그레이션합니다. AWS Marketplace에서 타사 로드 밸런서를 설치하고 기존 규칙을 로드 밸런서의 AWS 인스턴스로 마이그레이션합니다. DDoS 보호를 위해 AWS Shield Standard를 활성화합니다.
B. Amazon EC2 인스턴스에 대한 SSH 액세스를 비활성화합니다. 온프레미스 MySQL을 Amazon RDS 다중 AZ로 마이그레이션합니다. Elastic Load Balancer를 활용하여 로드를 분산하고 보호를 위해 AWS Shield Advanced를 활성화하십시오. 웹 사이트 앞에 Amazon CloudFront 배포를 추가합니다. 배포에서 AWS WAF를 활성화하여 규칙을 관리합니다.
C. 특정 IP 주소에 대한 액세스를 제한하여 보호되는 배스천 호스트를 통해 Amazon EC2 인스턴스에 대한 SSH 액세스를 활성화합니다. 온프레미스 MySQL을 자체 관리형 EC2 인스턴스로 마이그레이션합니다. AWS Elastic Load Balancer를 활용하여 부하를 분산하고 DDoS 보호를 위해 AWS Shield Standard를 활성화하십시오. 웹 사이트 앞에 Amazon CloudFront 배포를 추가합니다.
D. EC2 인스턴스에 대한 SSH 액세스를 비활성화합니다. 온프레미스 MySQL을 Amazon RDS 단일 AZ로 마이그레이션합니다. AWS Elastic Load Balancer를 활용하여 부하를 분산하십시오. 웹 사이트 앞에 Amazon CloudFront 배포를 추가합니다. 배포에서 AWS WAF를 활성화하여 규칙을 관리합니다.94
Amazon Cognito는 공급자의 SDK를 사용하여 자격 증명 공급자(IdP)로 모바일 앱을 인증합니다. IdP로 최종 사용자를 인증한 후 앱은 IdP가 제공한 OAuth 또는 OpenID Connect 토큰을 Amazon Cognito에 전달합니다.
A. Cognito 키 쌍
B. API 알기
다 . 아이디 알기
D. SDK 알기95
기업에서 온프레미스 데이터 센터를 Amazon Web Services(AWS) 클라우드로 이전하려고 합니다. 이는 수백 대의 가상화된 Linux 및 Microsoft Windows 서버, SAN(Storage Area Network), MYSQL 및 Oracle 데이터베이스에서 실행되는 Java 및 PHP 애플리케이션으로 구성됩니다. 수많은 부서별 서비스가 사내 또는 다른 곳에서 호스팅됩니다.
기술 문서가 불충분하고 최신 정보가 아닙니다. 솔루션 설계자는 현재 환경을 이해하고 이동 후 클라우드 리소스 비용을 예측해야 합니다.
솔루션 설계자는 클라우드 마이그레이션을 계획하는 동안 어떤 도구 또는 서비스를 사용해야 합니까? (3개를 선택하세요.)
A. AWS 애플리케이션 검색 서비스
나. AWS SMS
C. AWS 엑스레이
D. AWS 클라우드 도입 읽기 도구(CART)
E. 아마존 인스펙터
F. AWS 마이그레이션 허브96
고객이 책임져야 하는 AWS의 보안 구성 요소는 무엇입니까? (4개를 선택하세요.)
A. 보안 그룹 및 ACL(접근 제어 목록) 설정
나. 저장장치의 폐기
C. EC2 인스턴스 운영 체제의 패치 관리
D. IAM 자격 증명의 수명 주기 관리
E. 컴퓨팅 리소스에 대한 물리적 액세스 제어
F. EBS(Elastic Block Storage) 볼륨의 암호화97
한 기업이 잘 알려진 공개 전자상거래 웹사이트를 운영하고 있습니다. 사용자 기반은 지역 수준에서 국가 수준으로 빠르게 확장되고 있습니다. 웹사이트는 웹 서버와 MySQL 데이터베이스를 사용하여 사내에서 호스팅됩니다. 비즈니스에서 부담을 AWS로 옮기고자 합니다. 솔루션 설계자는 다음에 대한 솔루션을 개발해야 합니다.
✑ 보안
향상 ✑ 안정성 향상
✑ 가용성 향상
✑ 대기 시간 감소
✑ 유지 관리 감소
솔루션 설계자는 이러한 요구 사항을 충족하기 위해 어떤 조치를 조합하여 수행해야 합니까? (3개를 선택하세요.)
A. Application Load Balancer 뒤에 있는 Auto Scaling 그룹의 웹 서버에 대해 2개의 가용 영역에서 Amazon EC2 인스턴스를 사용합니다.
B. 데이터베이스를 다중 AZ Amazon Aurora MySQL DB 클러스터로 마이그레이션합니다.
C. 2개의 가용 영역에서 Amazon EC2 인스턴스를 사용하여 고가용성 MySQL 데이터베이스 클러스터를 호스팅합니다.
D. Amazon S3에서 정적 웹 사이트 콘텐츠를 호스팅합니다. S3 Transfer Acceleration을 사용하여 웹 페이지를 제공하는 동안 대기 시간을 줄이십시오. AWS WAF를 사용하여 웹 사이트 보안을 개선하십시오.
E. Amazon S3에서 정적 웹 사이트 콘텐츠를 호스팅합니다. Amazon CloudFront를 사용하여 웹 페이지를 제공하는 동안 지연 시간을 줄이십시오. AWS WAF를 사용하여 웹 사이트 보안을 개선하십시오.
F. 데이터베이스를 단일 AZ Amazon RDS for MySQL DB 인스턴스로 마이그레이션합니다.98
웹 및 애플리케이션 계층이 혼합되어 있고 예상치 못한 트래픽 수요가 높은 데이터베이스 계층이 있는 읽기 전용 뉴스 보도 사이트는 이러한 변화에 자동으로 적응할 수 있어야 합니다.
이러한 요구 사항을 충족하려면 어떤 AWS(Amazon Web Offering) 서비스를 사용해야 합니까?
A. 읽기 전용 복제본이 있는 CloudWatch 및 RDS로 모니터링되는 autoscaimg 그룹에서 ElastiCache Memcached를 사용하여 동기화된 웹 및 애플리케이션 계층용 상태 비저장 인스턴스.
B. CloudWatch 및 읽기 전용 복제본이 있는 RDS로 모니터링되는 Autoscaling 그룹의 웹 및 애플리케이션 계층에 대한 스테이트풀(Stateful) 인스턴스.
C. CloudWatch 및 다중 AZ RDS로 모니터링되는 Autoscaling 그룹의 웹 및 애플리케이션 계층에 대한 상태 저장 인스턴스.
D. CloudWatch 및 다중 AZ RDS로 모니터링되는 자동 확장 그룹에서 ElastiCache Memcached를 사용하여 동기화된 웹 및 애플리케이션 계층에 대한 상태 비저장 인스턴스.99
기업은 모놀리식 애플리케이션을 Amazon Web Services에서 제공될 최신 애플리케이션 아키텍처로 재구성하려고 합니다. CI/CD 파이프라인은 다음 요구 사항을 포함하는 응용 프로그램의 최신 아키텍처를 수용하도록 개선되어야 합니다.
✑ 변경 사항이 매시간 여러 번 릴리스될 수 있어야 합니다.
✑ 가능한 한 빨리 변경 사항을 롤백할 수 있어야 합니다.
어떤 디자인이 이 기준을 만족할까요?
A. 애플리케이션과 해당 구성을 포함하는 AMI를 통합하는 CI/CD 파이프라인을 배포합니다. Amazon EC2 인스턴스를 교체하여 애플리케이션을 배포합니다.
B. 보조 환경에서 스테이징할 AWS Elastic Beanstalk를 애플리케이션의 CI/CD 파이프라인에 대한 배포 대상으로 지정합니다. 배포하려면 스테이징 및 프로덕션 환경 URL을 바꿉니다.
C. AWS Systems Manager를 사용하여 각 배포에 대한 인프라를 다시 프로비저닝합니다. Amazon EC2 사용자 데이터를 업데이트하여 Amazon S3에서 최신 코드 아티팩트를 가져오고 Amazon Route 53 가중 라우팅을 사용하여 새 환경을 가리킵니다.
D. 사전 구축된 AMI를 사용하여 Auto Scaling 이벤트의 일부로 애플리케이션 업데이트를 롤아웃합니다. 새 버전의 AMI를 사용하여 인스턴스를 추가하고 배포 이벤트 중에 구성된 종료 정책으로 이전 AMI 버전을 사용하는 모든 인스턴스를 단계적으로 제거합니다.100
문제 해결 절차로 인해 최근에 시스템을 사용할 수 없었습니다. 새로운 관리자가 실수로 여러 프로덕션 EC2 인스턴스를 종료한 것을 발견했습니다.
다음 기술 중 미래에 이 사고의 반복을 방지하는 데 도움이 되는 기술은 무엇입니까?
관리자는 계속해서 다음을 수행할 수 있어야 합니다.
✑ 개발 리소스 시작, 중지 및 종료.
✑ 프로덕션 인스턴스를 시작하고 시작합니다.
A. 프로덕션 EC2 종료 보호를 활용하여 인스턴스를 종료할 수 없는 IAM 사용자를 생성합니다.
B. 특정 사용자가 프로덕션 EC2 리소스를 종료하는 것을 방지할 수 있는 IAM 사용자와 함께 리소스 기반 태깅을 활용합니다.
C. 사용자가 EC2 인스턴스를 종료하기 전에 인증해야 하는 EC2 종료 보호 및 다단계 인증 활용
D. IAM 사용자를 생성하고 사용자가 프로덕션 EC2 인스턴스를 종료하지 못하도록 하는 IAM 역할을 적용합니다.| 1~5 | BDCCDADE |
| 6~10 | BADABAA |
| 11~15 | BBDABCDC |
| 16~20 | ABDCBA |
| 21~25 | DAADBD |
| 26~30 | BECCAD |
| 31~35 | CCADC |
| 36~40 | AABADA |
| 41~45 | ABCDBBD |
| 46~50 | ACDDBCA |
| 51~55 | DBEBCB |
| 56~60 | BCBAC |
| 61~65 | BABCA |
| 66~70 | AADACFBB |
| 71~75 | CDCAA |
| 76~80 | DCACC |
| 81~85 | ABCBCFB |
| 86~90 | BDBDDAC |
| 91~95 | CDBCADF |
| 96~100 | ACDFABEABB |
