1
Amazon_____ 테이블에서 직접 테이블을 로드할 때 사용되는 제공된 처리량의 양을 제한하는 옵션이 있습니다.
A. RDS
B. 데이터 파이프라인
C. 다이나모DB
D. S32
IAM 사용자의 임시 보안 자격 증명은 일반적으로 12시간 동안 유효하지만 최대 ________시간까지 요청할 수 있습니다.
가. 24
나. 36
다. 10
디 .483
CIDR 블록이 10.0.0.0/28인 VPC를 생성하고 3계층 웹 애플리케이션을 배포했습니다. 2개의 웹 서버, 2개의 애플리케이션 서버, 2개의 데이터베이스 서버, 1개의 NAT 인스턴스는 원래 총 7개의 EC2 인스턴스에 배포되었습니다. 2개의 가용 영역은 웹, 애플리케이션 및 데이터베이스 서버(AZ)를 배포하는 데 사용됩니다. 또한 두 웹 서버 앞에 ELB를 배포하고 DNS 웹용 Route53을 사용합니다(배포 후 며칠 동안 추첨이 점차 증가하고 증가된 로드를 처리하기 위해 애플리케이션의 각 계층에서 인스턴스 수를 두 배로 늘리려고 시도합니다. ; 그러나 이러한 새 인스턴스 중 일부는 시작되지 않습니다.
다음 중 가장 가능성이 높은 원인은 무엇입니까? (2개를 선택하세요.)
A. AWS는 각 서브넷의 CIDR 블록에 첫 번째 및 마지막 프라이빗 IP 주소를 예약하므로 새 EC2 인스턴스를 모두 시작하기에 충분한 주소가 남아 있지 않습니다.
B. VPC의 인터넷 게이트웨이(IGW)가 확장되어 트래픽 급증을 처리하기 위해 더 많은 인스턴스를 추가하여 새 인스턴스 시작에 사용할 수 있는 사설 IP 주소의 수를 줄였습니다.
C. ELB가 확장되어 트래픽 급증을 처리하기 위해 더 많은 인스턴스를 추가하여 새 인스턴스 시작에 사용할 수 있는 사설 IP 주소의 수를 줄였습니다.
D. AWS는 Route53에 대해 각 서브넷의 CIDR 블록에 하나의 IP 주소를 예약하므로 모든 새 EC2 인스턴스를 시작하기에 충분한 주소가 남아 있지 않습니다.
E. AWS는 각 서브넷의 CIDR 블록에서 처음 4개와 마지막 IP 주소를 예약하므로 새 EC2 인스턴스를 모두 시작하기에 충분한 주소가 남아 있지 않습니다.4
Dave는 Example Corp.의 기본 관리자이며 경로를 사용하여 회사 사용자를 더 잘 분류하여 각 경로 기반 부서에 대해 고유한 관리자 그룹을 만듭니다. 다음은 그가 취하려는 경로의 일부 목록입니다.
ג€¢ /marketing
ג€¢ /sales
ג€¢ /legal
Dave는 회사의 마케팅 부서를 위해 Marketing Admin이라는 새 관리자 그룹을 설정합니다.
그는 그것을 /marketing으로 분류합니다. arn:aws:iam::123456789012:group/marketing/Marketing_Admin은 그룹의 ARN입니다.
Dave는 Marketing Admin 그룹을 생성하고 /marketing 경로의 모든 그룹 및 사용자에 대해 모든 IAM 활동을 수행할 수 있는 권한을 부여합니다. 또한 이 정책은 Marketing Admin 그룹에 회사 버킷 섹션의 항목에 대해 AWS S3 활동을 수행할 권한을 부여합니다.
{
"버전": "2012-10-17",
"문": [
{
"효과": "거부",
"작업": "iam:*",
"리소스": [
"arn:aws:iam:: 123456789012:group/marketing/*",
"arn:aws:iam::123456789012:user/marketing/*"
]
},
{
"효과": "허용",
"작업": "s3:*",
"리소스" : "
"작업": "s3:ListBucket*",
"리소스": "arn:aws:s3:::example_bucket",
"조건":{"StringLike":{"s3:prefix": "marketing/*"}}
}
}
}
가. 사실
나.거짓 _5
대규모 다국적 기업에서 상태 비저장 미션 크리티컬 애플리케이션을 Amazon Web Services(AWS)에 배포하려고 합니다. z/OS 운영 체제에서 애플리케이션은 IBM WebSphere(애플리케이션 및 통합 미들웨어), IBM MQ(메시징 미들웨어) 및 IBM DB2(데이터베이스 소프트웨어)를 기반으로 구축됩니다.
애플리케이션을 AWS로 마이그레이션하는 동안 Solutions Architect는 어떤 절차를 따라야 합니까?
A. Auto Scaling을 사용하여 로드 밸런서 뒤의 Amazon EC2에서 WebSphere 기반 애플리케이션을 다시 호스팅합니다. IBM MQ를 Amazon EC2 기반 MQ로 다시 플랫폼화하십시오. z/OS 기반 DB2를 Amazon RDS DB2로 다시 플랫폼화합니다.
B. Auto Scaling을 사용하여 로드 밸런서 뒤의 Amazon EC2에서 WebSphere 기반 애플리케이션을 다시 호스팅합니다. IBM MQ를 Amazon MQ로 다시 플랫폼화하십시오. z/ OS 기반 DB2를 Amazon EC2 기반 DB2로 재플랫폼합니다.
C. AWS Elastic Beanstalk를 사용하여 애플리케이션을 조정하고 배포합니다. IBM MQ를 Amazon SQS로 다시 플랫폼화하십시오. z/OS 기반 DB2를 Amazon RDS DB2로 재플랫폼합니다.
D. AWS Server Migration Service를 사용하여 IBM WebSphere 및 IBM DB2를 Amazon EC2 기반 솔루션으로 마이그레이션합니다. IBM MQ를 Amazon MQ로 다시 플랫폼화하십시오.6
당신은 새로운 고객을 제안받았고 그가 온라인 게임에 관심이 있다는 것을 알고 있습니다. 당신은 그가 온라인 게임 사이트를 구축하기를 원할 것이라고 확신합니다. 여기에는 원활한 확장성과 빠르고 안정적인 성능을 제공하는 데이터베이스 서비스가 필요합니다.
다음 Amazon Web Services 데이터베이스 중 온라인 게임 웹사이트에 가장 적합한 것은 무엇입니까?
A. 아마존 심플DB
B. Amazon DynamoDB
C. 아마존 레드시프트
D. Amazon ElastiCache7
Amazon S3는 특정 가상 사설 클라우드(VPC)의 Amazon EC2 인스턴스를 통해서만 액세스할 수 있는 문서를 기업에서 저장하는 데 사용됩니다. 조직은 이 인스턴스에 대한 액세스 권한이 있는 적대적인 내부자가 다른 VPC에 EC2 인스턴스를 생성하고 이를 사용하여 이러한 데이터에 액세스할 수도 있다는 점을 우려하고 있습니다.
다음 중 필요한 보호 수준을 제공하는 옵션은 무엇입니까?
A. S3 VPC 엔드포인트 및 S3 버킷 정책을 사용하여 이 VPC 엔드포인트에 대한 액세스를 제한하십시오.
B. EC2 인스턴스 프로필과 S3 버킷 정책을 사용하여 인스턴스 프로필에 연결된 역할에 대한 액세스를 제한합니다.
C. S3 클라이언트 측 암호화를 사용하고 인스턴스 메타데이터에 키를 저장합니다.
D. S3 서버 측 암호화를 사용하고 암호화 컨텍스트로 키를 보호합니다.8
사용자는 시작 구성의 일부로 설정된 IAM 역할에 어떻게 액세스할 수 있습니까?
A. as-describe-launch-configs -iam-profile
B. as-describe-launch-configs -show-long
C. as-describe-launch-configs -iam-role
D. as-describe-launch-configs -역할9
VPN(가상 사설망) 연결을 설정하고 VPN 장치가 BGP(Border Gateway Protocol)를 지원합니다.
다음 중 VPN 연결 구성 중에 언급해야 하는 것은 무엇입니까?
A. 클래스리스 라우팅
B. 클래스 전체 라우팅
C. 동적 라우팅
D. 정적 라우팅10
비즈니스에는 많은 팀이 있으며 각 팀에는 총 용량이 100TB인 자체 Amazon RDS 데이터베이스가 있습니다. 이 회사는 비즈니스 인텔리전스 분석가가 주간 비즈니스 보고서를 작성할 수 있도록 하는 데이터 쿼리 플랫폼을 개발하고 있습니다. 새 시스템은 임시 SQL 쿼리를 수행할 수 있어야 합니다.
어떤 접근 방식이 가장 비용 효율적입니까?
A. 새 Amazon Redshift 클러스터를 생성합니다. AWS Glue ETL 작업을 생성하여 RDS 데이터베이스에서 Amazon Redshift 클러스터로 데이터를 복사합니다. Amazon Redshift를 사용하여 쿼리를 실행합니다.
B. 코어 노드가 충분한 Amazon EMR 클러스터를 생성합니다. Apache Spark 작업을 실행하여 RDS 데이터베이스에서 HDFS(Hadoop Distributed File System)로 데이터를 복사합니다. 로컬 Apache Hive 메타스토어를 사용하여 테이블 정의를 유지 관리합니다. Spark SQL을 사용하여 쿼리를 실행합니다.
C. AWS Glue ETL 작업을 사용하여 모든 RDS 데이터베이스를 단일 Amazon Aurora PostgreSQL 데이터베이스에 복사합니다. Aurora PostgreSQL 데이터베이스에서 SQL 쿼리를 실행합니다.
D. AWS Glue 크롤러를 사용하여 모든 데이터베이스를 크롤링하고 AWS Glue 데이터 카탈로그에 테이블을 생성합니다. AWS Glue ETL 작업을 사용하여 RDS 데이터베이스에서 Amazon S3로 데이터를 로드하고 Amazon Athena를 사용하여 쿼리를 실행합니다.11
Solutions Architect는 기본 구성 요소에 장애가 발생하더라도 승인된 사용자가 애플리케이션에 연결된 상태를 유지할 수 있도록 하는 고가용성 애플리케이션 설계를 담당합니다.
어떤 솔루션이 이러한 기준을 충족할까요?
A. Amazon EC2 인스턴스에 애플리케이션을 배포합니다. Amazon Route 53을 사용하여 EC2 인스턴스에 요청을 전달합니다. Amazon DynamoDB를 사용하여 인증된 연결 세부 정보를 저장합니다.
B. Auto Scaling 그룹의 Amazon EC2 인스턴스에 애플리케이션을 배포합니다. 인터넷 연결 Application Load Balancer를 사용하여 요청을 처리합니다. Amazon DynamoDB를 사용하여 인증된 연결 세부 정보를 저장합니다.
C. Auto Scaling 그룹의 Amazon EC2 인스턴스에 애플리케이션을 배포합니다. 프런트 엔드에서 인터넷 연결 Application Load Balancer를 사용합니다. EC2 인스턴스를 사용하여 인증된 연결 세부 정보를 저장합니다.
D. Auto Scaling 그룹의 Amazon EC2 인스턴스에 애플리케이션을 배포합니다. 프런트 엔드에서 인터넷 연결 Application Load Balancer를 사용합니다. MySQL 데이터베이스를 호스팅하는 EC2 인스턴스를 사용하여 인증된 연결 세부 정보를 저장합니다.12
Amazon ElastiCache에서 단일 캐시 노드의 손실은 애플리케이션의 가용성과 백엔드 데이터베이스의 부담에 영향을 줄 수 있지만 ElastiCache는 새 캐시 노드를 생성하고 채웁니다.
다음 중 가용성에 대한 이러한 가능한 영향을 완화하기 위한 솔루션은 무엇입니까?
A. 메모리와 컴퓨팅 용량을 각각 더 작은 용량의 더 적은 수의 캐시 노드에 분산하십시오.
B. 메모리와 컴퓨팅 용량을 각각 더 작은 용량을 가진 더 많은 수의 캐시 노드에 분산시킵니다.
C. 더 적은 수의 고용량 노드를 포함합니다.
D. 각각 고용량을 가진 더 많은 수의 캐시 노드를 포함합니다.13
AWS Direct Connect를 사용할 것입니다. AWS Direct Connect 연결을 사용하여 Amazon S3와 같은 AWS 퍼블릭 서비스 엔드포인트에 액세스하려고 합니다. 다른 인터넷 트래픽이 현재 인터넷 서비스 공급자 연결을 활용하기를 원합니다.
Amazon S3와 같은 서비스에 액세스하려면 AWS Direct Connect를 어떻게 구성해야 합니까?
A. AWS Direct Connect 링크에서 퍼블릭 인터페이스를 구성합니다. Amazon S3를 가리키는 AWS Direct Connect 링크를 통해 고정 경로를 구성합니다. BGP를 사용하여 AWS에 기본 경로를 알립니다.
B. AWS Direct Connect 링크에서 프라이빗 인터페이스를 생성합니다. Amazon S3를 가리키는 AWS Direct 연결 링크를 통해 정적 경로를 구성합니다. VPC의 네트워크에 대한 특정 경로를 구성합니다.
C. AWS Direct Connect 링크에 퍼블릭 인터페이스를 생성합니다. BGP 경로를 기존 라우팅 인프라에 재배포합니다. 네트워크의 특정 경로를 AWS에 알립니다.
D. AWS Direct Connect 링크에서 프라이빗 인터페이스를 생성합니다. BGP 경로를 기존 라우팅 인프라에 재배포하고 기본 경로를 AWS에 알립니다.14
사용자가 CloudWatch 모니터링 개념의 복잡성을 이해하려고 시도하고 있습니다.
다음 중 CloudWatch를 통한 포괄적인 모니터링을 제공하지 않는 서비스는 무엇입니까?
A. AWS RDS
나. AWS ELB
C. AWS Route53
D. AWS EMR15
Amazon EBS 부팅 파티션을 사용하는 실행 중인 인스턴스가 있는 경우 _______ API를 사용하여 부팅 파티션의 데이터를 유지하면서 컴퓨팅 리소스를 확보할 수 있습니다.
A. 인스턴스 중지
B. 인스턴스 종료
C. AMI 인스턴스
D. 핑 인스턴스16
2개의 EC2 인스턴스 앞에 단일 Elastic Load Balancer를 배포하는 CloudFormation 템플릿을 생성했습니다.
스택이 생성될 때 로드 밸런서의 DNS가 반환되도록 하려면 템플릿의 어느 부분을 변경해야 합니까?
A. 매개변수
B. 출력
C. 매핑
D. 자원17
DNS 이름을 사용하여 Amazon EC2 인스턴스에 Amazon EFS 파일 시스템을 탑재하려고 합니다.
다음 중 파일 시스템을 마운트할 때 사용해야 하는 마운트 대상의 일반 DNS 이름은 무엇입니까?
A. Availability-zone.file-system-id.efs.aws-region.amazonaws.com
B. efs-system-id.availability-zone.file-aws-region.amazonaws.com
C. $file-system-id.$availability-zone.$efs.aws-region.$amazonaws.com
D. #aws-region.#availability-zone.#file-system-id.#efs.#amazonaws.com18
다음 중 작업 집합에 대한 예외 정의를 허용하는 IAM 정책 구성 요소는 무엇입니까?
A. NotException
B. 예외 조치
다. 예외
D. NotAction19
Solutions Architect는 독점적이고 민감한 응용 프로그램을 포함하는 회사의 500MB 소스 코드 저장소를 위한 비용 효율적인 백업 솔루션을 개발하는 책임을 맡고 있습니다. 저장소는 Linux 기반이며 매일 테이프 백업을 수행합니다. 백업 테이프는 1년 동안 보관됩니다.
기존 솔루션은 실수가 발생하기 쉽고 유지 보수 비용이 많이 들고 1시간의 RPO(복구 시점 목표) 또는 복구 시간 목표( RTO) 2시간. 새로운 재해 복구 기준은 백업을 해외에 보관하고 필요한 경우 단일 파일을 복원할 수 있다는 것입니다.
최소한의 작업과 비용으로 고객의 RTO, RPO 및 재해 복구 요구 사항을 충족하는 솔루션은 무엇입니까?
A. 로컬 테이프를 AWS Storage Gateway 가상 테이프 라이브러리로 교체하여 현재 백업 소프트웨어와 통합합니다. 야간에 백업을 실행하고 US-EAST-1의 Amazon S3 표준 스토리지에 가상 테이프를 저장합니다. 교차 리전 복제를 사용하여 US-WEST-2에 두 번째 복사본을 만듭니다. Amazon S3 수명 주기 정책을 사용하여 Amazon Glacier로 자동 마이그레이션을 수행하고 1년 후에 만료된 백업을 삭제합니다.
B. 파일을 AWS Storage Gateway 파일 Amazon 게이트웨이와 동기화하도록 로컬 소스 코드 리포지토리를 구성하여 Amazon S3 Standard 버킷에 백업 복사본을 저장합니다. Amazon S3 버킷에서 버전 관리를 활성화합니다. Amazon S3 수명 주기 정책을 생성하여 이전 버전의 객체를 Amazon S3 Standard - Infrequent Access, Amazon Glacier로 자동 마이그레이션한 다음 1년 후에 백업을 삭제합니다.
C. 로컬 소스 코드 저장소 저장소를 Storage Gateway 저장 볼륨으로 교체합니다. 기본 스냅샷 빈도를 1시간으로 변경합니다. Amazon S3 수명 주기 정책을 사용하여 스냅샷을 Amazon Glacier에 보관하고 1년 후에 오래된 스냅샷을 제거합니다. 교차 리전 복제를 사용하여 US-WEST-2에 스냅샷 복사본을 생성합니다.
D. 로컬 소스 코드 리포지토리 스토리지를 Storage Gateway 캐시 볼륨으로 교체합니다. 매시간 스냅샷을 생성하려면 스냅샷 일정을 만드십시오. Amazon CloudWatch Events 일정 표현식 규칙을 사용하여 매시간 AWS Lambda 작업을 실행하여 US-EAST -1에서 US-WEST-2로 스냅샷을 복사합니다.20
보안 엔지니어에 따르면 기존 프로그램은 Amazon S3에 저장된 암호화된 파일에서 MySQL용 Amazon RDS 데이터베이스에 대한 자격 증명을 수신합니다. 보안 엔지니어는 애플리케이션 설계에 다음과 같은 개선 사항을 구현하여 다음 버전에서 애플리케이션의 보안을 강화하려고 합니다.
✑ 데이터베이스는 안전한 AWS 관리형 서비스에 저장된 무작위로 생성된 강력한 암호를 사용해야 합니다.
✑ 애플리케이션 리소스는 AWS CloudFormation을 통해 배포해야 합니다.
✑ 애플리케이션은 90일마다 데이터베이스에 대한 자격 증명을 교체해야 합니다.
애플리케이션을 배포하기 위해 솔루션 설계자는 CloudFormation 템플릿을 생성합니다.
운영 오버헤드가 가장 적은 보안 엔지니어의 기준과 일치하는 CloudFormation 리소스는 무엇입니까?
A. AWS Secrets Manager를 사용하여 데이터베이스 암호를 보안 리소스로 생성합니다. AWS Lambda 함수 리소스를 생성하여 데이터베이스 암호를 교체합니다. Secrets Manager RotationSchedule 리소스를 지정하여 90일마다 데이터베이스 암호를 교체합니다.
B. AWS Systems Manager Parameter Store를 사용하여 데이터베이스 암호를 SecureString 파라미터 유형으로 생성합니다. AWS Lambda 함수 리소스를 생성하여 데이터베이스 암호를 교체합니다. Parameter Store RotationSchedule 리소스를 지정하여 90일마다 데이터베이스 암호를 교체합니다.
C. AWS Secrets Manager를 사용하여 데이터베이스 암호를 보안 리소스로 생성합니다. AWS Lambda 함수 리소스를 생성하여 데이터베이스 암호를 교체합니다. 90일마다 Lambda 함수 암호 교체를 트리거하는 Amazon EventBridge 예약 규칙 리소스를 생성합니다.
D. AWS Systems Manager Parameter Store를 사용하여 데이터베이스 암호를 SecureString 파라미터 유형으로 생성합니다. 90일마다 데이터베이스 암호를 자동으로 교체하도록 AWS AppSync DataSource 리소스를 지정합니다.21
최고 수준의 안정성과 성능을 제공하기 위해 Cloud Block Storage 백엔드에서 어떤 RAID 구성이 사용됩니까?
A. RAID 1(미러)
B. RAID 5(블록 스트라이핑, 분산 패리티)
C. RAID 10(블록 미러링 및 스트라이프)
D. RAID 2(비트 레벨 스트라이핑)22
AWS에서 거대한 다국적 기업은 전 세계 직원들이 사용하는 작업표 애플리케이션을 호스팅합니다. 애플리케이션은 Elastic Load Balancing(ELB) 로드 밸런서 뒤에 있는 Auto Scaling 그룹의 Amazon EC2 인스턴스에서 호스팅되며 데이터 저장을 위해 Amazon RDS MySQL 다중 AZ 데이터베이스 인스턴스를 사용합니다.
CFO는 응용 프로그램을 사용할 수 없는 경우 비즈니스의 잠재적 영향에 대해 걱정하고 있습니다. 애플리케이션의 가동 중지 시간은 2시간을 초과할 수 없으며 솔루션은 가능한 한 비용 효율적이어야 합니다.
Solutions Architect는 CFO의 요구 사항과 데이터 손실 감소 목표의 균형을 어떻게 맞춰야 합니까?
A. 다른 지역에서 읽기 전용 복제본을 구성하고 인프라의 복사본을 만듭니다. 문제가 발생하면 읽기 전용 복제본을 승격하고 Amazon RDS 다중 AZ 데이터베이스 인스턴스로 구성합니다. 다른 지역의 ELB를 가리키도록 DNS 레코드를 업데이트합니다.
B. Amazon RDS 다중 AZ 데이터베이스 인스턴스의 60분 스냅샷의 1일 창을 구성합니다. 최신 스냅샷을 사용하는 애플리케이션 인프라의 AWS CloudFormation 템플릿을 생성합니다. 문제가 발생하면 AWS CloudFormation 템플릿을 사용하여 다른 리전에 환경을 생성하십시오. 다른 지역의 ELB를 가리키도록 DNS 레코드를 업데이트합니다.
C. 다른 리전에 복사되는 Amazon RDS 다중 AZ 데이터베이스 인스턴스의 60분 스냅샷의 1일 창을 구성합니다. 가장 최근에 복사한 스냅샷을 사용하는 애플리케이션 인프라의 AWS CloudFormation 템플릿을 생성합니다. 문제가 발생하면 AWS CloudFormation 템플릿을 사용하여 다른 리전에 환경을 생성하십시오. 다른 지역의 ELB를 가리키도록 DNS 레코드를 업데이트합니다.
D. 다른 지역에서 읽기 전용 복제본을 구성합니다. 애플리케이션 인프라의 AWS CloudFormation 템플릿을 생성합니다. 문제가 발생하면 읽기 전용 복제본을 승격하고 Amazon RDS 다중 AZ 데이터베이스 인스턴스로 구성하고 AWS CloudFormation 템플릿을 사용하여 승격된 Amazon RDS 인스턴스를 사용하는 다른 리전에 환경을 생성합니다. 다른 지역의 ELB를 가리키도록 DNS 레코드를 업데이트합니다.23
AWS IAM 인스턴스 프로파일 이름의 최대 길이는 얼마입니까?
A. 512자
나. 128자
C. 1024자
D. 64자24
로드 밸런싱 서비스의 어떤 특성이 온라인 상태인 한 서비스에 대한 향후 연결을 동일한 노드로 보내는 것을 목표로 합니까?
A. 노드 밸런스
나. 세션 유지
C. 세션 다중화
D. 세션 지속성25
EBS 볼륨에 사용할 수 있는 스트라이핑 옵션 중 RAID 0과 비교하여 인스턴스에서 EBS로 필요한 I/O 양을 두 배로 늘리는 단점이 있습니다. 스트라이핑 가능.'?
A. 레이드 1
나. 레이드 0
C. RAID 1+0(RAID 10)
D. 레이드 226
CloudWatch는 사용자로부터 사용자 지정 지표를 수신합니다.
CloudWatch API에 대한 여러 호출의 차원은 다르지만 측정항목 이름은 동일한 경우 CloudWatch는 이를 모두 어떻게 처리합니까?
A. 단일 메트릭에 대해 별도의 차원이 있을 수 없으므로 요청을 거부합니다.
B. 모든 통화를 단일 통화로 그룹화합니다.
C. 각 고유한 차원 조합을 별도의 메트릭으로 처리합니다.
D. 이전 차원 데이터를 새 차원 데이터로 덮어씁니다.27
IAM 인증서 저장소에서 SSL 인증서를 제거하려고 하면 "Certificate: certificate-id> is in use by CloudFront."라는 메시지가 표시됩니다.
다음 주장 중 이 오류의 원인일 가능성이 가장 높은 것은 무엇입니까?
A. SSL 인증서를 삭제하기 전에 서버에서 https를 설정해야 합니다.
B. SSL 인증서를 삭제하기 전에 IAM에서 적절한 액세스 수준을 설정해야 합니다.
C. SSL 인증서를 삭제하려면 먼저 SSL 인증서를 교체하거나 사용자 지정 SSL 인증서 사용에서 기본 CloudFront 인증서 사용으로 되돌려야 합니다.
D. SSL 인증서는 삭제할 수 없습니다. AWS에 요청해야 합니다.28
비즈니스에는 공용 인터넷의 HTTPS 엔드포인트를 통해 액세스할 수 있는 외부 지불 게이트웨이 API에 대한 액세스가 필요한 VPC 내부에 포함된 내부 AWS Elastic Beanstalk 작업자 환경이 있습니다. 보안 제한으로 인해 지불 게이트웨이의 애플리케이션 팀은 하나의 공용 IP 주소에 대한 액세스만 허용할 수 있습니다.
회사에 많은 변경을 요구하지 않고 회사의 애플리케이션에 액세스할 수 있도록 Elastic Beanstalk 환경을 구성할 아키텍처는 무엇입니까?
A. 퍼블릭 서브넷의 NAT 게이트웨이에 대한 아웃바운드 경로가 있는 프라이빗 서브넷에 Amazon EC2 인스턴스를 배치하도록 Elastic Beanstalk 애플리케이션을 구성합니다. 지불 게이트웨이 애플리케이션 측에서 화이트리스트에 추가할 수 있는 NAT 게이트웨이에 탄력적 IP 주소를 연결합니다.
B. 인터넷 게이트웨이가 있는 퍼블릭 서브넷에 Amazon EC2 인스턴스를 배치하도록 Elastic Beanstalk 애플리케이션을 구성합니다. 지불 게이트웨이 애플리케이션 측에서 화이트리스트에 추가할 수 있는 인터넷 게이트웨이에 탄력적 IP 주소를 연결합니다.
C. Amazon EC2 인스턴스를 프라이빗 서브넷에 배치하도록 Elastic Beanstalk 애플리케이션을 구성합니다. HTTPS_PROXY 애플리케이션 파라미터를 설정하여 퍼블릭 서브넷에 배포된 EC2 프록시 서버로 아웃바운드 HTTPS 연결을 보냅니다. 지불 게이트웨이 애플리케이션 측에서 화이트리스트에 추가할 수 있는 EC2 프록시 호스트에 탄력적 IP 주소를 연결합니다.
D. Amazon EC2 인스턴스를 퍼블릭 서브넷에 배치하도록 Elastic Beanstalk 애플리케이션을 구성합니다. HTTPS_PROXY 및 NO_PROXY 애플리케이션 파라미터를 설정하여 비 VPC 아웃바운드 HTTPS 연결을 퍼블릭 서브넷에 배포된 EC2 프록시 서버로 보냅니다. 지불 게이트웨이 애플리케이션 측에서 화이트리스트에 추가할 수 있는 EC2 프록시 호스트에 탄력적 IP 주소를 연결합니다.29
인기 있는 제품에 대한 웹 트래픽을 처리하기 위해 CFO와 정보 기술 이사는 2개의 가용 영역에 고르게 분산된 10개의 m1.large 고 활용률 예약 인스턴스(RI)를 구입했습니다. Route 53은 트래픽을 Elastic Load Balancer(ELB)로 라우팅하는 데 사용됩니다. 몇 개월 후 제품의 인기가 더욱 높아져 용량 확장이 필요합니다. 결과적으로 조직은 사용률이 중간인 C3.2xlarge Ris 2개를 구입했습니다. 두 개의 c3.2xlarge 인스턴스를 ELB에 등록하고 m1.large 인스턴스가 완전히 사용되었지만 c3.2xlarge 인스턴스에 사용되지 않은 용량이 상당히 있음을 곧 알게 됩니다.
가장 비용 효율적이고 EC2 용량을 최대한 활용하는 옵션은 무엇입니까?
A. Cloudwatch에서 트리거할 때 최대 10개의 온디맨드 m1.large 인스턴스를 추가하도록 Autoscaling 그룹 및 ELB로 구성 시작을 구성합니다. c3.2xlarge 인스턴스를 종료합니다.
B. 2개의 c3.2xlarge 인스턴스로 ELB를 구성하고 최대 2개의 추가 c3.2xlarge 인스턴스에 대해 온디맨드 Autoscaling 그룹을 사용합니다. m1.large 인스턴스를 종료합니다.
C. Route 53 지연 시간 기반 라우팅 및 상태 확인을 사용하여 트래픽을 EC2 m1.large 및 c3.2xlarge 인스턴스로 직접 라우팅합니다. ELB를 종료합니다.
D. 각 인스턴스 유형에 대해 별도의 ELB를 사용하고 Route 53 가중 라운드 로빈을 사용하여 ELB에 로드를 분산합니다.30
VPC의 전용 인스턴스가 시작되면 어떻게 됩니까?
A. 인스턴스 테넌시가 전용인 VPC에서 인스턴스를 시작하는 경우 전용 인스턴스를 수동으로 생성해야 합니다.
B. 인스턴스 테넌시가 전용인 VPC에서 인스턴스를 시작하는 경우 해당 인스턴스는 해당 인스턴스의 테넌시만을 기반으로 전용 인스턴스로 생성됩니다.
C. 인스턴스 테넌시가 전용인 VPC에서 인스턴스를 시작하면 인스턴스의 테넌시와 상관없이 해당 인스턴스는 자동으로 전용 인스턴스가 됩니다.
D. 이들 중 어느 것도 사실이 아닙니다.31
다음 중 결제를 통해 Amazon CloudWatch에 제공되는 결제 지표에 포함되지 않는 것은 무엇입니까?
A. AWS 제품 및 서비스에 대한 반복 수수료
B. 총 AWS 요금
다 . 일회성 청구 및 환불
D. AWS 제품 및 서비스에 대한 사용 요금32
Amazon Web Services(AWS)에 직접 연결할 수 있습니까?
A. 아니요. AWS는 공용 인터넷에서만 액세스를 허용합니다.
B. 아니요. VPC에 대한 암호화된 터널을 생성할 수 있지만 연결을 소유할 수는 없습니다.
C. 예, Amazon Dedicated Connection을 통해 할 수 있습니다 .
D. 예, AWS Direct Connect를 통해 할 수 있습니다.33
새 작업에 대해 AWS Data Pipeline을 모니터링한 다음 실행하는 애플리케이션을 식별합니다.
A. 작업 실행자
B. 작업 배포자
C. 태스크 러너
D. 태스크 옵티마이저34
대기업의 데이터 과학 팀은 Amazon SageMaker에 빠르게 액세스할 수 있는 안전하고 비용 효율적인 방법을 만들고 싶어합니다. 데이터 과학자는 AWS에 익숙하지 않으며 Jupyter 노트북 인스턴스를 배포할 수 있는 기능을 원합니다. 광범위한 설정 요구 사항을 공개하지 않고 기계 학습 스토리지 볼륨에 저장되어 있는 데이터를 암호화하려면 노트북 인스턴스를 AWS KMS 키로 준비해야 합니다.
비즈니스에서 데이터 과학자가 최소한의 운영 오버헤드로 AWS 계정에서 Jupyter 노트북을 시작할 수 있도록 셀프 서비스 메커니즘을 제공할 수 있는 전략은 무엇입니까?
A. 데이터 과학자가 양식을 작성하여 Jupyter 노트북 인스턴스를 요청할 수 있도록 정적 Amazon S3 웹 사이트를 사용하여 서버리스 프런트 엔드를 생성합니다. Amazon API Gateway를 사용하여 S3 웹 사이트에서 요청을 수신하고 중앙 AWS Lambda 함수를 트리거하여 데이터 과학자를 위해 미리 구성된 KMS 키로 노트북 인스턴스를 시작하는 Amazon SageMaker에 대한 API 호출을 수행합니다. 그런 다음 프런트 엔드 웹 사이트를 다시 호출하여 노트북 인스턴스에 대한 URL을 표시합니다.
B. AWS::SageMaker::NotebookInstance 리소스 유형과 사전 구성된 KMS 키를 사용하여 Jupyter 노트북 인스턴스를 시작하는 AWS CloudFormation 템플릿을 생성합니다. CloudFormation 템플릿에 사용자에게 친숙한 이름을 추가합니다. 출력 섹션을 사용하여 노트북에 대한 URL을 표시합니다. 공유 Amazon S3 버킷을 사용하여 CloudFormation 템플릿을 데이터 과학자에게 배포합니다.
C. AWS CloudFormation 템플릿을 생성하여 미리 구성된 KMS 키와 함께 AWS::SageMaker::NotebookInstance 리소스 유형을 사용하여 Jupyter 노트북 인스턴스를 시작합니다. CloudFormation의 매핑 섹션을 사용하여 매개변수 이름(예: 인스턴스 크기)을 Small, Large 및 X-Large에 매핑하여 단순화합니다. 출력 섹션을 사용하여 노트북에 대한 URL을 표시한 다음 데이터 과학자 포트폴리오의 AWS 서비스 카탈로그 제품에 템플릿을 업로드하고 데이터 과학자의 IAM 역할과 공유합니다.
D. 데이터 과학자가 로컬에서 실행할 수 있는 AWS CLI 스크립트를 생성합니다. AWS CLI 스크립트를 실행하여 사전 구성된 KMS 키로 Jupyter 노트북을 시작하는 동안 제공할 파라미터에 대한 단계별 지침을 제공합니다. 공유 Amazon S3 버킷을 사용하여 데이터 과학자에게 CLI 스크립트를 배포합니다.35
리전당 가상 사설 클라우드(VPC)의 기본 최대 수는 얼마입니까?
가. 5
나. 10
다. 100
D. 1536
VPC에 연결하도록 고객 게이트웨이를 설정할 때 사전 공유 키를 인증자로 활용하여 가상 프라이빗 게이트웨이와 고객 게이트웨이 간의 _________ 연결이 먼저 형성됩니다.
A. IPsec
나. BGP
C. IKE 보안
D. 터널37
다음 중 Amazon Web Services Direct Connect 사용의 이점이 아닌 것은 무엇입니까?
A. AWS Direct Connect는 공개 환경과 비공개 환경 간의 네트워크 분리를 유지하면서 두 가지 다른 연결을 사용하여 공개 및 비공개 리소스에 대한 액세스를 사용자에게 제공합니다.
B. AWS Direct Connect는 인터넷 기반 연결보다 더 일관된 네트워크 경험을 제공합니다.
C. AWS Direct Connect를 사용하면 구내에서 AWS로 전용 네트워크 연결을 쉽게 설정할 수 있습니다.
D. AWS Direct Connect는 네트워크 비용을 줄여줍니다.38
기업은 AWS CloudFormation을 애플리케이션 배포 도구로 사용합니다. 버전이 지정된 Amazon S3 버킷에 모든 애플리케이션 바이너리와 템플릿을 저장합니다. 통합 개발 환경은 Amazon EC2 인스턴스(IDE)에서 호스팅됩니다. 단위 테스트를 로컬에서 실행한 후 개발자는 Amazon S3에서 EC2 인스턴스로 애플리케이션 바이너리를 다운로드하고 변경한 다음 바이너리를 S3 버킷에 게시합니다. 개발자는 현재 배포 방법을 개선하고 AWS CodePipeline을 활용하여 지속적 통합 및 전달(CI/CD)을 활성화하기를 원합니다.
개발자는 다음을 찾고 있습니다.
✑ 소스 제어를 위해 AWS CodeCommit을 사용합니다.
✑ 단위 테스트 및 보안 검색을 자동화합니다.
✑ 단위 테스트가 실패하면 개발자에게 알립니다.
✑ 응용 프로그램 기능을 켜고 끄고 CI/CD의 일부로 배포를 동적으로 사용자 지정합니다.
✑ 애플리케이션을 배포하기 전에 리드 개발자에게 승인을 제공하도록 합니다.
어떤 솔루션이 이러한 기준을 충족할까요?
A. AWS CodeBuild를 사용하여 테스트 및 보안 스캔을 실행합니다. Amazon EventBridge 규칙을 사용하여 단위 테스트가 실패할 때 Amazon SNS 알림을 개발자에게 보냅니다. 다양한 솔루션 기능에 대한 AWS 클라우드 개발자 키트(AWS CDK) 구성을 작성하고 매니페스트 파일을 사용하여 AWS CDK 애플리케이션에서 기능을 켜고 끕니다. 리드 개발자가 애플리케이션을 승인할 수 있도록 파이프라인에서 수동 승인 단계를 사용합니다.
B. AWS Lambda를 사용하여 단위 테스트 및 보안 스캔을 실행합니다. 파이프라인의 후속 단계에서 Lambda를 사용하여 단위 테스트가 실패할 때 Amazon SNS 알림을 개발자에게 보냅니다. 다양한 솔루션 기능에 대한 AWS Amplify 플러그인을 작성하고 사용자 프롬프트를 활용하여 기능을 켜고 끕니다. 파이프라인에서 Amazon SES를 사용하여 리드 개발자가 애플리케이션을 승인할 수 있도록 합니다.
C. Jenkins를 사용하여 단위 테스트 및 보안 스캔을 실행합니다. 파이프라인에서 Amazon EventBridge 규칙을 사용하여 단위 테스트가 실패할 때 Amazon SES 알림을 개발자에게 보냅니다. 다양한 솔루션 기능 및 파라미터에 대해 AWS CloudFormation 중첩 스택을 사용하여 기능을 켜고 끕니다. 파이프라인에서 AWS Lambda를 사용하여 리드 개발자가 애플리케이션을 승인할 수 있도록 합니다.
D. AWS CodeDeploy를 사용하여 단위 테스트 및 보안 스캔을 실행합니다. 파이프라인에서 Amazon CloudWatch 경보를 사용하여 단위 테스트가 실패할 때 Amazon SNS 알림을 개발자에게 보냅니다. 다양한 솔루션 기능에 Docker 이미지를 사용하고 AWS CLI를 사용하여 기능을 켜고 끕니다. 리드 개발자가 애플리케이션을 승인할 수 있도록 파이프라인에서 수동 승인 단계를 사용합니다.39
다른 VPC 인스턴스에서 데이터베이스 인스턴스를 사용할 수 있도록 하기 위해 VPC에서 라우팅 테이블과 네트워킹 ACL을 업데이트하는 책임은 누구에게 있습니까?
A. AWS 관리자
B. AWS 계정의 소유자
다. 아마존
D. DB 엔진 벤더40
Solutions Architect는 AWS 클라우드에서 대규모 애플리케이션을 개발하는 동안 경계 보안 보호를 구현하는 일을 담당합니다. AWS 애플리케이션에는 다음과 같은 엔드포인트가 있습니다.
✑ Application Load Balancer
✑ Amazon API Gateway 리전 엔드포인트
✑ 탄력적 IP 주소 기반 EC2 인스턴스.
✑ Amazon S3 호스팅 웹사이트.
✑ Classic Load Balancer
Solutions Architect는 위에 언급된 모든 웹 프런트 엔드를 보호하고 다음 보안 기능을 포함하는 솔루션 설계를 담당합니다.
✑ DDoS 보호
✑ SQL 주입 보호
✑ IP 주소 화이트리스트/블랙리스트
✑ HTTP 플러드 보호
✑ 잘못된 봇 스크레이퍼 보호
솔루션 설계자는 솔루션을 어떻게 설계해야 합니까?
A. 모든 웹 엔드포인트에 AWS WAF 및 AWS Shield Advanced를 배포합니다. 회사의 요구 사항을 적용하기 위해 AWS WAF 규칙을 추가합니다.
B. 모든 엔드포인트 앞에 Amazon CloudFront를 배포합니다. CloudFront 배포는 경계 보호를 제공합니다. AWS Lambda 기반 자동화를 추가하여 추가 보안을 제공합니다.
C. 모든 엔드포인트 앞에 Amazon CloudFront를 배포합니다. AWS WAF 및 AWS Shield Advanced를 배포합니다. 회사의 요구 사항을 적용하기 위해 AWS WAF 규칙을 추가합니다. AWS Lambda를 사용하여 보안 태세를 자동화하고 강화하십시오.
D. 네트워크 ACL 및 보안 그룹을 사용하고 회사의 요구 사항을 적용하는 규칙을 추가하여 끝점을 보호합니다. AWS Lambda를 사용하여 규칙을 자동으로 업데이트합니다.41
다음 중 AWS Data Pipeline을 사용하여 수행할 수 없는 것은 무엇입니까?
A. 내결함성이 있고 반복 가능하며 가용성이 높은 복잡한 데이터 처리 워크로드를 만듭니다.
B. 데이터가 저장된 위치에 정기적으로 액세스하고, 대규모로 변환 및 처리하고, 결과를 다른 AWS 서비스로 효율적으로 전송합니다.
C. 저장된 데이터에 대한 보고서를 생성합니다.
D. 지정된 간격으로 온프레미스 데이터 원본뿐만 아니라 다양한 AWS 컴퓨팅 및 스토리지 서비스 간에 데이터를 이동합니다.42
비즈니스는 모든 내부 응용 프로그램이 연결을 위해 사설 IP 주소를 사용하도록 요구합니다. 솔루션 설계자는 이 정책을 수용하기 위해 AWS 퍼블릭 서비스에 연결할 인터페이스 엔드포인트를 설정했습니다. 솔루션 설계자는 서비스 이름이 공용 IP 주소로 확인되고 내부 서비스가 인터페이스 끝점에 연결할 수 없음을 관찰합니다.
솔루션 설계자는 이 문제를 해결하기 위해 어떤 절차를 사용해야 합니까?
A. 인터페이스 엔드포인트에 대한 경로로 서브넷 라우팅 테이블 업데이트
B. VPC 속성에서 프라이빗 DNS 옵션 활성화
C. AWS 서비스에 대한 연결을 허용하도록 인터페이스 엔드포인트의 보안 그룹 구성
D. 내부 애플리케이션에 대한 조건부 전달자를 사용하여 Amazon Route 53 프라이빗 호스팅 영역 구성43
비즈니스 응용 프로그램의 인기가 높아지고 있으며 데이터베이스 서버의 대량 읽기로 인해 지연이 증가하고 있습니다.
서비스에 적용되는 속성은 다음과 같습니다.
✑ Auto Scaling과 함께 ALB(Application Load Balancer)를 사용하여 한 지역에서 호스팅되는 고가용성 REST API.
✑ 단일 가용 영역의 Amazon EC2 인스턴스에서 호스팅되는 MySQL 데이터베이스.
조직은 대기 시간을 최소화하고 지역 내 데이터베이스 읽기 성능을 개선하며 데이터 또는 성능 손실(HA/DR) 없이 실시간 복구를 자동으로 수행할 수 있는 다중 지역 재해 복구 기능을 갖기를 원합니다.
이러한 기준을 충족하는 배포 기술은 무엇입니까?
ㅏ. AWS CloudFormation StackSets를 사용하여 두 지역에 API 계층을 배포합니다. 한 리전에 여러 읽기 전용 복제본이 있고 원본 데이터베이스 클러스터와 다른 리전에 읽기 전용 복제본이 있는 Amazon Aurora with MySQL 데이터베이스 클러스터로 데이터베이스를 마이그레이션합니다. Amazon Route 53 상태 확인을 사용하여 기본 로드 밸런서에 대한 상태 확인이 실패한 경우 대기 리전에 대한 DNS 장애 조치를 트리거합니다. Route 53 장애 조치가 발생하는 경우 교차 리전 데이터베이스 복제본을 마스터로 승격하고 대기 리전에 새 읽기 전용 복제본을 구축합니다.
B. 자동 장애 조치가 있는 Redis 다중 AZ용 Amazon ElastiCache를 사용하여 데이터베이스 읽기 쿼리를 캐시합니다. AWS OpsWorks를 사용하여 API 계층, 캐시 계층 및 기존 데이터베이스 계층을 두 지역에 배포합니다. 장애가 발생한 경우 데이터베이스에서 Amazon Route 53 상태 확인을 사용하여 기본 리전의 상태 확인이 실패하면 대기 리전에 대한 DNS 장애 조치를 트리거합니다. MySQL 데이터베이스를 자주 백업하고, 활성 영역에 장애가 발생한 경우 백업을 대기 영역에 복사하고 대기 데이터베이스를 복원합니다.
C. AWS CloudFormation StackSets를 사용하여 두 지역에 API 계층을 배포합니다. Auto Scaling 그룹에 데이터베이스를 추가합니다. 두 번째 지역의 데이터베이스에 읽기 전용 복제본을 추가합니다. 데이터베이스에서 Amazon Route 53 상태 확인을 사용하여 기본 리전의 상태 확인이 실패한 경우 대기 리전에 대한 DNS 장애 조치를 트리거합니다. 교차 지역 데이터베이스 복제본을 마스터로 승격하고 대기 지역에 새 읽기 전용 복제본을 구축합니다.
D. 자동 장애 조치와 함께 Redis 다중 AZ용 Amazon ElastiCache를 사용하여 데이터베이스 읽기 쿼리를 캐시합니다. AWS OpsWorks를 사용하여 API 계층, 캐시 계층 및 기존 데이터베이스 계층을 두 지역에 배포합니다. 기본 리전의 상태 확인이 실패한 경우 ALB에서 Amazon Route 53 상태 확인을 사용하여 대기 리전에 대한 DNS 장애 조치를 트리거합니다. MySQL 데이터베이스를 자주 백업하고, 활성 영역에 장애가 발생한 경우 백업을 대기 영역에 복사하고 대기 데이터베이스를 복원합니다.44
"AWS Direct Connect 시작하기" 프로세스의 어느 단계에서 이더넷 802.1Q 표준을 준수하는 고객 제공 태그로 구성한 가상 인터페이스에 태그를 지정합니까?
A. 라우터 구성을 다운로드합니다.
B. 교차 연결을 완료합니다.
C. AWS Direct Connect를 사용하여 중복 연결을 구성합니다.
D. 가상 인터페이스를 생성합니다.45
회사의 본사는 전 세계 작업자가 사용하는 문제 추적 시스템을 지원하는 상당한 규모의 사내 MySQL 데이터베이스를 호스팅합니다. 조직은 이미 일부 워크로드에 AWS를 활용하고 있으며 온프레미스 데이터베이스를 참조하도록 데이터베이스 엔드포인트에 대한 Amazon Route 53 항목을 구성했습니다.
경영진은 데이터베이스가 단일 장애 지점 역할을 하는 것에 대해 우려하고 있으며 솔루션 설계자에게 데이터 손실이나 다운타임을 일으키지 않고 데이터베이스를 AWS로 재배치할 것을 요청합니다.
솔루션 설계자가 구현해야 하는 일련의 활동은 무엇입니까?
A. Amazon Aurora DB 클러스터를 생성합니다. AWS Database Migration Service(AWS DMS)를 사용하여 온프레미스 데이터베이스에서 Aurora로 전체 로드를 수행합니다. Aurora 클러스터 엔드포인트를 가리키도록 데이터베이스의 Route 53 항목을 업데이트하고 온프레미스 데이터베이스를 종료합니다.
B. 업무시간 외에는 온프레미스 데이터베이스를 종료하고 백업을 생성한다. 이 백업을 Amazon Aurora DB 클러스터에 복원합니다. 복원이 완료되면 데이터베이스의 Route 53 항목이 Aurora 클러스터 엔드포인트를 가리키도록 업데이트하고 온프레미스 데이터베이스를 종료합니다.
C. Amazon Aurora DB 클러스터를 생성합니다. AWS Database Migration Service(AWS DMS)를 사용하여 온프레미스 데이터베이스에서 Aurora로의 연속 복제로 전체 로드를 수행합니다. 마이그레이션이 완료되면 데이터베이스의 Route 53 항목이 Aurora 클러스터 엔드포인트를 가리키도록 업데이트하고 온프레미스 데이터베이스를 종료합니다.
D. 데이터베이스 백업을 생성하고 Amazon Aurora 멀티 마스터 클러스터로 복원합니다. 이 Aurora 클러스터는 온프레미스 데이터베이스가 있는 마스터-마스터 복제 구성에 있습니다. Aurora 클러스터 엔드포인트를 가리키도록 데이터베이스의 Route 53 항목을 업데이트하고 온프레미스 데이터베이스를 종료합니다.46
다음 중 가벼운 I/O 또는 버스트 I/O만 필요한 애플리케이션에 가장 적합한 Amazon RDS 스토리지 유형은 무엇입니까?
A. 마그네틱 및 프로비저닝된 IOPS 스토리지 모두
B. 마그네틱 스토리지
C. 프로비저닝된 IOPS 스토리지
D. 이들 중 어느 것도47
비즈니스에서 Amazon WorkSpaces를 사용하여 여러 작업자에게 DaaS(Desktop as a Service)를 제공하려고 합니다. WorkSpaces는 회사의 Active Directory에 따라 온프레미스에서 호스팅되는 파일 및 서비스에 액세스할 수 있는 권한이 필요합니다. 네트워크는 기존 AWS Direct Connect 연결을 사용하여 연결됩니다.
답변은 다음 기준을 충족해야 합니다.
✑ Active Directory의 자격 증명을 사용하여 온-프레미스 파일 및 서비스에 액세스해야 합니다.
✑ Active Directory의 자격 증명은 회사 외부에 저장해서는 안 됩니다.
✑ 최종 사용자는 WorkSpaces에 연결되면 온프레미스 파일 및 서비스에 대한 SSO(Single Sign-On)가 있어야 합니다.
솔루션 설계자는 최종 사용자에게 어떤 인증 기술을 사용해야 합니까?
A. WorkSpaces VPC 내에 Microsoft Active Directory용 AWS Directory Service(AWS Managed Microsoft AD) 디렉터리를 생성합니다. 암호 내보내기 서버와 함께 ADMT(Active Directory 마이그레이션 도구)를 사용하여 온프레미스 Active Directory에서 AWS Managed Microsoft AD로 사용자를 복사합니다. AWS Managed Microsoft AD의 사용자가 온프레미스 Active Directory의 리소스에 액세스할 수 있도록 단방향 신뢰를 설정합니다. AWS Managed Microsoft AD를 WorkSpaces의 디렉터리로 사용합니다.
B. 필요한 권한이 있는 온-프레미스 Active Directory에 서비스 계정을 만듭니다. AWS Directory Service에서 온프레미스 Active Directory와 통신하는 서비스 계정을 사용하여 온프레미스에 배포할 AD 커넥터를 생성합니다. 필요한 TCP 포트가 WorkSpaces VPC에서 온프레미스 AD 커넥터로 열려 있는지 확인합니다. AD 커넥터를 WorkSpaces의 디렉터리로 사용합니다.
C. 필요한 권한이 있는 온-프레미스 Active Directory에 서비스 계정을 만듭니다. 온프레미스 Active Directory와 통신하는 서비스 계정을 사용하여 WorkSpaces VPC 내의 AWS Directory Service에 AD 커넥터를 생성합니다. AD 커넥터를 WorkSpaces의 디렉터리로 사용합니다.
디. WorkSpaces VPC 내의 AWS Directory Service에 Microsoft Active Directory용 AWS Directory Service(AWS Managed Microsoft AD) 디렉터리를 생성합니다. 온프레미스 Active Directory의 사용자가 AWS Managed Microsoft AD의 리소스에 액세스할 수 있도록 단방향 신뢰를 설정합니다. AWS Managed Microsoft AD를 WorkSpaces의 디렉터리로 사용합니다. 온프레미스 ADFS 서버에서 AWS Identity and Access Management(IAM)를 사용하여 자격 증명 공급자를 생성합니다. 이 자격 증명 공급자의 사용자가 WorkSpaces를 실행할 수 있도록 허용하는 정책이 있는 역할을 맡도록 허용합니다.48
ENI(탄력적 네트워크 인터페이스)는 VPC(가상 사설 클라우드) 인스턴스에 연결할 수 있는 가상 네트워크 인터페이스입니다. ENI에는 인스턴스가 시작될 때 eth0에 대한 탄력적 네트워크 인터페이스에 자동으로 할당되는 단일 공용 IP 주소가 포함될 수 있습니다.
A. eth1용 탄력적 네트워크 인터페이스 생성
B. MAC 주소 포함
C. 기존 네트워크 인터페이스 사용
D. eth0에 대한 탄력적 네트워크 인터페이스 생성49
복리후생 등록 회사는 퍼블릭 웹 계층 NAT(Network Address Translation) 인스턴스가 포함된 VPC에서 AWS의 3계층 웹 애플리케이션을 호스팅합니다. 다음 회계 연도의 혜택 등록 기간 동안 예상되는 작업량과 약간의 추가 간접비를 처리할 수 있는 할당된 용량이 충분합니다.
등록은 일반적으로 이틀 동안 진행되며 이 시점이 지나면 웹 계층이 응답하지 않게 됩니다. CloudWatch 및 기타 모니터링 도구를 사용하여 조사한 결과, 회사에 고객이 없는 혜택이 있는 국가에서 포트 80을 통해 15개의 특정 IP 주소 집합에서 예상치 못한 엄청난 양의 인바운드 트래픽이 발생하는 것으로 나타났습니다. 웹 계층 인스턴스는 너무 과부하가 걸려서 혜택 등록 관리자가 SSH로 접속할 수도 없습니다.
이 공격을 물리치는 데 가장 효과적인 조치는 무엇입니까?
A. 웹 티어와 연계된 커스텀 라우팅 테이블을 생성하고 IGW(Internet Gateway)에서 공격하는 IP 주소를 차단합니다.
B. 웹 티어 서브넷에서 NAT 인스턴스의 EIP(Elastic IP Address) 변경 및 새로운 EIP로 Main Route Table 업데이트
C. 포트 80을 통해 공격하는 IP 주소를 차단하는 15개의 보안 그룹 규칙 생성
D. 공격하는 IP 주소를 차단하는 거부 규칙을 사용하여 웹 계층 서브넷과 연결된 인바운드 NACL(네트워크 액세스 제어 목록)을 만듭니다.50
귀하는 비즈니스 고객이 전자 상거래 플랫폼을 Amazon Virtual Private Cloud(VPC)로 마이그레이션하는 데 도움이 되는 솔루션 설계자로 고용되었습니다. 이전 설계자는 이전에 3계층 가상 사설 클라우드를 구현한 적이 있었습니다.
구성은 다음과 같습니다.
VPC: vpc-2f8bc447
-
IGW: igw-2d8bc445
-
NACL: ad-208bc448
-
서브넷 및 라우팅 테이블:
웹 서버: 서브넷-258bc44d
-
애플리케이션 서버: 서브넷-248bc44c
데이터베이스 서버: 서브넷-9189c6f9
라우팅 테이블 :
rrb-218bc449
rtb-238bc44b
연결:
서브넷 258bc44d : rtb-218bc449
서브넷 248bc44c : rtb-238bc44b
서브넷 9189c6f9 : rtb-238bc44b
이제 VPC 내부에서 EC2 인스턴스 프로비저닝을 시작할 준비가 되었습니다. 웹 서버는 인터넷에 직접 연결되어 있어야 합니다. 응용 프로그램 및 데이터베이스 서버는 할 수 없습니다.
다음 구성 중 응용 프로그램 및 데이터베이스 서버의 원격 관리와 이러한 서버가 인터넷에서 업데이트를 다운로드할 수 있는 기능은 무엇입니까?
A. 서브넷 258bc44d에 배스천 및 NAT 인스턴스를 생성하고 rtb-238bc44b에서 NAT 인스턴스로의 경로를 추가합니다.
B. rtb-238bc44b에서 igw-2d8bc445로 경로를 추가하고 서브넷 248bc44c 내에 요새 및 NAT 인스턴스를 추가합니다.
C. 서브넷 248bc44c에 배스천 및 NAT 인스턴스를 만들고 rtb-238bc44b에서 서브넷 258bc44d로 경로를 추가합니다.
D. 서브넷 258bc44d에 배스천 및 NAT 인스턴스를 만들고, rtb-238bc44b에서 Igw-2d8bc445로의 경로를 추가하고, 서브넷 258bc44d와 서브넷 248bc44c 간의 액세스를 허용하는 새 NACL을 추가합니다.51
Amazon SNS와 관련하여 다음을 제외하고 사용 가능한 푸시 알림 제공자를 통해 모바일 장치에 알림 메시지를 보낼 수 있습니다.
A. 마이크로소프트 윈도우 모바일 메시징(MWMM)
B. Android용 Google 클라우드 메시징(GCM)
C. Amazon 장치 메시징(ADM)
D. 애플 푸시 알림 서비스(APNS)52
다음 중 Amazon EBS 암호화 키에 대한 설명으로 옳은 것은?
A. Amazon EBS 암호화는 CMK(고객 마스터 키)를 사용하여 AWS Key Management Service(AWS KMS) 마스터 키를 생성합니다.
B. Amazon EBS 암호화는 EBS 마그네틱 키를 사용하여 AWS Key Management Service(AWS KMS) 마스터 키를 생성합니다.
C. Amazon EBS 암호화는 EBS 마그네틱 키를 사용하여 CMK(고객 마스터 키)를 생성합니다.
D. Amazon EBS 암호화는 AWS Key Management Service(AWS KMS) 마스터 키를 사용하여 CMK(고객 마스터 키)를 생성합니다.53
대기업은 다중 계정 AWS 접근 방식을 사용합니다. 개발 스테이징 및 프로덕션 워크로드를 관리하는 데 별도의 계정이 사용됩니다. 비용 관리 및 거버넌스 강화를 위해 다음 기준을 설정했습니다.
✑ 회사는 각 프로젝트에 대한 AWS 비용을 계산할 수 있어야 합니다.
✑ 회사는 각 환경 개발 스테이징 및 프로덕션에 대한 AWS 비용을 계산할 수 있어야 합니다.
✑ 일반적으로 배포되는 IT 서비스는 중앙에서 관리해야 합니다.
✑ 사업부에서는 사전 승인된 IT 서비스만 배포할 수 있습니다.
✑ 개발 계정에서 AWS 리소스 사용을 제한해야 합니다.
이러한 요구 사항을 달성하기 위해 어떤 조치를 조합하여 수행해야 합니까? (3개를 선택하세요.)
A. 태그를 지정할 수 있는 모든 리소스에 환경, 비용 센터 및 애플리케이션 이름 태그를 적용합니다.
B. 비용 탐색기를 사용하여 사용자 정의 예산을 구성하고 임계값을 정의합니다.
C. 비용 절감 견적이 포함된 주간 이메일을 받도록 AWS Trusted Advisor를 구성합니다.
D. 각 사업부에 대한 포트폴리오를 생성하고 AWS Service Catalog의 AWS CloudFormation을 사용하여 포트폴리오에 제품을 추가합니다.
E. Amazon CloudWatch에서 결제 경보를 구성합니다.
F. AWS를 사용하여 서비스를 사용할 수 있도록 AWS Organizations에서 SCP를 구성합니다.54
테이블 쓰기가 발생하도록 보장하려면 DynamoDB의 테이블 및 글로벌 보조 인덱스에 대해 지정된 처리량 설정이 __________이어야 합니다. 그렇지 않으면 테이블 쓰기가 제한됩니다.
A. 쓰기를 수용할 수 있는 충분한 쓰기 용량
B. 인덱스에 대한 추가 쓰기 비용 없음
C. 인덱스 항목당 100바이트의 오버헤드
라. 1KB 이하의 크기55
사용자가 애플리케이션에 대해 ElastiCache를 구성하고 실행하면 Amazon에서 사용자에게 다음과 같은 서비스를 제공하지 않습니다.
A. 클라이언트 프로그램이 캐시 클러스터의 모든 노드를 자동으로 식별하고 이러한 모든 노드에 대한 연결을 시작 및 유지하는 기능
B. 장애 감지 및 복구, 소프트웨어 패치와 같은 일반적인 관리 작업을 자동화합니다.
C. 다양한 데이터 유형에 대해 AWS Elasticache Redis 구현에서 기본 TTL(Time to Live) 제공.
D. 캐시 노드와 관련된 자세한 모니터링 메트릭을 제공하여 문제를 매우 빠르게 진단하고 대응할 수 있습니다.56
__________ 서비스는 Amazon EC2, Amazon SimpleDB 및 AWS Management Console과 같은 AWS 제품을 사용하는 사용자 또는 시스템이 많은 기업을 대상으로 합니다.
A. 아마존 RDS
B. AWS 무결성 관리
C. AWS 자격 증명 및 액세스 관리
D. 아마존 EMR57
로드 밸런서는 단일 가용 영역 내에 포함된 Amazon EC2 인스턴스로 트래픽을 분산하는 데 사용됩니다. 보안은 조직의 문제이며 솔루션 설계자가 다음 요구 사항을 충족하도록 시스템을 재구축하기를 원합니다.
✑ 일반적인 취약점 공격에 대해 인바운드 요청을 필터링해야 합니다.
✑ 거부된 요청은 제3자 감사 애플리케이션으로 보내야 합니다.
✑ 모든 리소스는 고가용성이어야 합니다.
이 기준을 충족하는 솔루션은 무엇입니까?
A. 애플리케이션의 AMI를 사용하여 다중 AZ Auto Scaling 그룹을 구성합니다. ALB(Application Load Balancer)를 생성하고 이전에 생성한 Auto Scaling 그룹을 대상으로 선택합니다. Amazon Inspector를 사용하여 ALB 및 EC2 인스턴스에 대한 트래픽을 모니터링합니다. WAF에서 웹 ACL을 생성합니다. 웹 ACL 및 ALB를 사용하여 AWS WAF를 생성합니다. AWS Lambda 함수를 사용하여 Amazon Inspector 보고서를 타사 감사 애플리케이션에 자주 푸시합니다.
B. ALB(Application Load Balancer)를 구성하고 EC2 인스턴스를 대상으로 추가합니다. WAF에서 웹 ACL을 생성합니다. 웹 ACL 및 ALB 이름을 사용하여 AWS WAF를 생성하고 Amazon CloudWatch Logs로 로깅을 활성화합니다. AWS Lambda 함수를 사용하여 타사 감사 애플리케이션에 로그를 자주 푸시합니다.
C. EC2 인스턴스를 대상으로 추가하는 대상 그룹과 함께 Application Load Balancer(ALB)를 구성합니다. 타사 감사 애플리케이션의 대상으로 Amazon Kinesis Data Firehose를 생성합니다. WAF에서 웹 ACL을 생성합니다. 웹 ACL 및 ALB를 사용하여 AWS WAF를 생성한 다음 Kinesis Data Firehose를 대상으로 선택하여 로깅을 활성화합니다. AWS Marketplace에서 AWS Managed Rules를 구독하고 WAF를 구독자로 선택합니다.
D. 애플리케이션의 AMI를 사용하여 다중 AZ Auto Scaling 그룹을 구성합니다. Application Load Balancer(ALB)를 생성하고 이전에 생성한 Auto Scaling 그룹을 대상으로 선택합니다. 타사 감사 애플리케이션의 대상이 있는 Amazon Kinesis Data Firehose를 생성합니다. WAF에서 웹 ACL을 생성합니다. 웹 ACL 및 ALB를 사용하여 AWS WAF를 생성한 다음 Kinesis Data Firehose를 대상으로 선택하여 로깅을 활성화합니다. AWS Marketplace에서 AWS Managed Rules를 구독하고 WAF를 구독자로 선택합니다.58
Amazon S3는 기업에서 웹 애플리케이션을 호스팅하는 데 사용합니다. 이제 조직은 Amazon EC2 인스턴스에서 실행되는 지속적 통합 도구를 사용하여 S3 버킷을 통해 애플리케이션을 생성하고 배포합니다. Solutions Architect는 다음 요구 사항에 따라 플랫폼의 보안을 강화할 책임이 있습니다.
✑ 빌드 프로세스는 웹 애플리케이션을 호스팅하는 계정과 별도의 계정에서 실행해야 합니다.
✑ 빌드 프로세스는 작동하는 계정에서 최소한의 액세스 권한을 가져야 합니다.
✑ 장기 자격 증명은 사용하지 않아야 합니다.
시작하기 위해 개발 팀은 두 개의 AWS 계정을 만들었습니다. 하나는 애플리케이션의 웹 계정 프로세스용이고 다른 하나는 애플리케이션의 빌드 계정용입니다.
보안 요구 사항을 충족하기 위해 Solutions Architect는 어떤 솔루션을 구현해야 합니까?
A. 빌드 계정에서 Amazon EC2에서만 맡을 수 있는 새 IAM 역할을 생성합니다. 지속적 통합 프로세스를 실행하는 EC2 인스턴스에 역할을 연결합니다. 웹 계정의 S3 버킷에 대한 s3: PutObject 호출을 허용하는 IAM 정책을 생성합니다. 웹 계정에서 빌드 계정이 s3:PutObject 호출을 사용하도록 허용하는 S3 버킷에 연결된 S3 버킷 정책을 생성합니다.
B. 빌드 계정에서 Amazon EC2에서만 맡을 수 있는 새 IAM 역할을 생성합니다. 지속적 통합 프로세스를 실행하는 EC2 인스턴스에 역할을 연결합니다. 웹 계정의 S3 버킷에 대한 s3: PutObject 호출을 허용하는 IAM 정책을 생성합니다. 웹 계정에서 새로 생성된 IAM 역할이 s3:PutObject 호출을 사용하도록 허용하는 S3 버킷에 연결된 S3 버킷 정책을 생성합니다.
C. 빌드 계정에서 새 IAM 사용자를 생성합니다. 액세스 키와 보안 액세스 키를 AWS Secrets Manager에 저장합니다. Secrets Manager에서 IAM 사용자 자격 증명 조회를 수행하도록 지속적 통합 프로세스를 수정합니다. 웹 계정의 S3 버킷에 대한 s3: PutObject 호출을 허용하는 IAM 정책을 생성하고 이를 사용자에게 공격합니다. 웹 계정에서 새로 생성된 IAM 사용자가 s3:PutObject 호출을 사용하도록 허용하는 S3 버킷에 연결된 S3 버킷 정책을 생성합니다.
D. 빌드 계정에서 AWS Secrets Manager에서 IAM 사용자 자격 증명 조회를 수행하도록 지속적 통합 프로세스를 수정합니다. 웹 계정에서 새 IAM 사용자를 생성합니다. Secrets Manager에 액세스 키와 보안 액세스 키를 저장합니다. PowerUserAccess IAM 정책을 IAM 사용자에게 연결합니다.59
귀하는 서버 환경의 수명이 거의 다 된 레거시 웹 응용 프로그램을 담당하고 있습니다. 현재 애플리케이션 환경에는 다음과 같은 제한 사항이 있으므로 가능한 한 빨리 이 프로그램을 AWS로 전송하고 싶습니다.
✑ VM의 단일 10GB VMDK가 거의 가득 찼습니다.
✑ Me 가상 네트워크 인터페이스는 여전히 10Mbps 드라이버를 사용하므로 100Mbps WAN 연결이 완전히 활용되지 않습니다.
✑ 현재 고도로 맞춤형으로 실행되고 있습니다. VMware 환경 내의 Windows VM
✑ 설치 미디어가 없습니다.
이것은 RTO가 8시간인 미션 크리티컬 애플리케이션입니다. 1시간 RPO(복구 시점 목표).
비즈니스 연속성 요구 사항을 계속 준수하면서 어떻게 이 애플리케이션을 가장 효율적인 방식으로 AWS로 이전할 수 있습니까?
A. vCenter용 EC2 VM Import Connector를 사용하여 VM을 EC2로 가져옵니다.
B. Import/Export를 사용하여 VM을 ESS 스냅샷으로 가져와 EC2에 연결합니다.
C. S3를 사용하여 VM의 백업을 생성하고 데이터를 EC2로 복원합니다.
D. me ec2-bundle-instance API를 사용하여 VM 이미지를 EC2로 가져오기60
Solutions Architect는 3계층 애플리케이션을 위한 AWS CloudFormation 템플릿을 설계했습니다. 템플릿에는 사용자 지정 AMI를 실행하는 Amazon EC2 인스턴스의 Auto Scaling 그룹이 포함됩니다.
Solutions Architect는 먼저 새 AMI를 참조하도록 템플릿을 변경한 다음 UpdateStack을 수행하여 EC2 인스턴스를 새 AMI 인스턴스로 교체함으로써 사용자 지정 AMI에 대한 향후 업그레이드가 실행 중인 스택에 배포될 수 있도록 보장하려고 합니다.
AMI 업데이트 배포를 통해 이러한 요구 사항을 어떻게 충족할 수 있습니까?
A. 새 버전의 템플릿에 대한 변경 세트를 생성하고 실행 중인 EC2 인스턴스의 변경 사항을 확인하여 AMI가 올바르게 업데이트되었는지 확인한 다음 변경 세트를 실행합니다.
B. 템플릿에서 AWS::AutoScaling::LaunchConfiguration 리소스를 편집하여 DeletionPolicy를 Replace로 변경합니다.
C. 템플릿에서 AWS::AutoScaling::AutoScalingGroup 리소스를 편집하여 UpdatePolicy 속성을 삽입합니다.
D. 업데이트된 템플릿에서 새 스택을 생성합니다. 성공적으로 배포되면 새 스택을 가리키도록 DNS 레코드를 수정하고 이전 스택을 삭제합니다.61
AWS CodeDeploy를 활용하여 Amazon Virtual Private Cloud(VPC) 내의 Amazon EC2 인스턴스에 애플리케이션을 배포하려고 합니다.
어떤 것이 가능하려면 어떤 기준이 충족되어야 합니까?
A. Amazon EC2 인스턴스에 설치된 AWS CodeDeploy 에이전트는 퍼블릭 AWS CodeDeploy 엔드포인트에만 액세스할 수 있어야 합니다.
B. Amazon EC2 인스턴스에 설치된 AWS CodeDeploy 에이전트는 퍼블릭 Amazon S3 서비스 엔드포인트에만 액세스할 수 있어야 합니다.
C. Amazon EC2 인스턴스에 설치된 AWS CodeDeploy 에이전트는 퍼블릭 AWS CodeDeploy 및 Amazon S3 서비스 엔드포인트에 액세스할 수 있어야 합니다.
D. 현재 AWS CodeDeploy를 사용하여 Amazon Virtual Private Cloud(VPC) 내에서 실행되는 Amazon EC2 인스턴스에 애플리케이션을 배포할 수 없습니다.62
기업이 온프레미스에서 AWS 클라우드로 3계층 웹 애플리케이션을 이전하고 있습니다. 마이그레이션 프로세스에는 다음 기준이 적용됩니다.
✑ 온프레미스 환경에서 머신 이미지를 수집합니다.
✑ 프로덕션 전환까지 온프레미스 환경에서 AWS 환경으로 변경 사항을 동기화합니다.
✑ 생산 전환 시 가동 중단 시간을 최소화합니다.
✑ 가상 머신의 루트 볼륨과 데이터 볼륨을 마이그레이션합니다.
최소한의 운영 오버헤드로 이러한 기준을 충족하는 옵션은 무엇입니까?
A. AWS Server Migration Service(SMS)를 사용하여 애플리케이션의 각 계층에 대한 복제 작업을 생성하고 시작합니다. AWS SMS에서 생성한 AMI에서 인스턴스를 시작합니다. 초기 테스트 후 최종 복제를 수행하고 업데이트된 AMI에서 새 인스턴스를 생성합니다.
B. AWS CLI VM Import/Export 스크립트를 생성하여 각 가상 머신을 마이그레이션합니다. 응용 프로그램의 변경 사항을 유지 관리하기 위해 스크립트가 점진적으로 실행되도록 예약합니다. VM Import/Export로 생성된 AMI에서 인스턴스를 시작합니다. 테스트가 완료되면 스크립트를 다시 실행하여 최종 가져오기를 수행하고 AMI에서 인스턴스를 시작합니다.
C. AWS Server Migration Service(SMS)를 사용하여 운영 체제 볼륨을 업로드합니다. 데이터 볼륨에 대해 AWS CLI import-snapshot 명령을 사용합니다. AWS SMS에서 생성한 AMI에서 인스턴스를 시작하고 데이터 볼륨을 인스턴스에 연결합니다. 초기 테스트 후 최종 복제를 수행하고 복제된 AMI에서 새 인스턴스를 시작하고 데이터 볼륨을 인스턴스에 연결합니다.
D. AWS Application Discovery Service 및 AWS Migration Hub를 사용하여 가상 머신을 애플리케이션으로 그룹화합니다. AWS CLI VM Import/Export 스크립트를 사용하여 가상 머신을 AMI로 가져옵니다. 응용 프로그램의 변경 사항을 유지 관리하기 위해 스크립트가 점진적으로 실행되도록 예약합니다. AMI에서 인스턴스를 시작합니다. 초기 테스트 후 최종 가상 머신 가져오기를 수행하고 AMI에서 새 인스턴스를 시작합니다.63
금융 서비스 회사는 AWS로 마이그레이션하고 있으며 개발자가 프로덕션 앱에 대한 액세스를 제한하면서 실험하고 혁신할 수 있도록 하려고 합니다.
회사에서 설정한 조건은 다음과 같습니다.
✑ 프로덕션 워크로드는 인터넷에 직접 연결할 수 없습니다.
✑ 모든 워크로드는 us-west-2 및 eu-central-1 리전으로 제한되어야 합니다.
✑ 개발자 샌드박스가 매월 AWS 지출에서 $500를 초과하면 알림을 보내야 합니다.
비즈니스 요구 사항에 맞는 다중 계정 구조를 개발하려면 어떤 단계 조합이 필요합니까? (3개를 선택하세요.)
A. AWS Organizations에서 조직 내 각 프로덕션 워크로드에 대한 계정을 생성합니다. OU(조직 구성 단위) 내에 프로덕션 계정을 배치합니다. 각 계정에 대해 기본 VPC를 삭제합니다. 인터넷 게이트웨이 연결에 대한 거부 규칙이 있는 SCP를 생성하고 기본 VPC 작업을 생성합니다. 프로덕션 계정의 OU에 SCP를 연결합니다.
B. AWS Organizations에서 조직 내 각 프로덕션 워크로드에 대한 계정을 생성합니다. OU(조직 구성 단위) 내에 프로덕션 계정을 배치합니다. 인터넷 게이트웨이 연결 작업에 대한 거부 규칙이 있는 SCP를 만듭니다. 기본 VPC의 사용을 방지하기 위해 거부 규칙이 있는 SCP를 생성합니다. 프로덕션 계정의 OU에 SCP를 연결합니다.
C. us-west-2 및 eu-central-1 값이 있는 aws:RequestedRegion 조건 키에서 StringNotEquals 조건으로 cloudfront:*, iam:*, route53:* 및 support:*에 대한 거부 효과를 포함하는 SCP를 생성합니다. . SCP를 조직의 루트에 연결합니다.
D. us-west-2 및 eu-central-을 사용하여 aws:RequestedRegion 조건 키에 StringNotEquals 조건을 사용하여 Cloudfront:*, iam:*, route53:* 및 support:*에 대한 거부 효과를 포함하는 IAM 권한 경계를 생성합니다. 1 값. 개발 및 프로덕션 사용자가 포함된 IAM 그룹에 권한 경계를 연결합니다.
E. AWS Organizations에서 조직 내 각 개발 워크로드에 대한 계정을 생성합니다. 조직 구성 단위(OU) 내에 개발 계정을 배치합니다. 계정의 월 청구액이 $500를 초과하는 경우 모든 IAM 사용자를 비활성화하는 사용자 지정 AWS Config 규칙을 생성합니다.
F. AWS Organizations에서 조직 내 각 개발 워크로드에 대한 계정을 생성합니다. 조직 구성 단위(OU) 내에 개발 계정을 배치합니다. 각 개발 계정에 대해 AWS 예산 내에서 예산을 생성하여 $500를 초과하는 월 지출을 모니터링하고 보고합니다.64
아래와 같은 정책이 IAM 그룹에 연결될 수 있습니다. 이를 통해 해당 그룹의 IAM 사용자는 콘솔을 사용하여 사용자 이름과 일치하는 AWS S3의 "홈 디렉터리"에 액세스할 수 있습니다.
{
"버전": "2012-10-17",
"문": [
{
"작업": ["s3:*"],
"효과": "허용",
"리소스": ["arn:aws:s3 :::bucket-name"],
"조건":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
},
{
"작업":[" s3:*"],
"효과":"허용",
}
가. 사실
나.거짓 _65
제조 회사는 엄청난 속도로 확장하고 있으며 IT 인프라 및 전자 상거래 입지를 업그레이드하기 위해 자본을 조달했습니다. 회사의 전자 상거래 플랫폼은 다음으로 구성됩니다.
✑ 주로 Amazon S3에 저장된 제품 이미지로 구성된 정적 자산.
✑ 제품 정보, 사용자 정보, 주문 정보를 저장하는 Amazon DynamoDB 테이블.
✑ Elastic Load Balancer 뒤에 애플리케이션의 프런트 엔드를 포함하는 웹 서버.
회사는 별개의 지역에 재해 복구 시설을 설립하기를 원합니다.
솔루션 설계자는 모든 요구 사항을 계속 준수하면서 새로운 설계를 실행하기 위해 어떤 활동 조합을 수행해야 합니까? (3개를 선택하세요.)
A. Amazon Route 53 상태 확인을 활성화하여 기본 사이트가 다운되었는지 확인하고 문제가 있는 경우 트래픽을 재해 복구 사이트로 라우팅합니다.
B. 정적 자산이 포함된 버킷에서 Amazon S3 교차 리전 복제를 활성화합니다.
C. Elastic Load Balancer에서 다중 리전 대상을 활성화하고 두 리전에서 Amazon EC2 인스턴스를 대상으로 합니다.
D. DynamoDB 전역 테이블을 활성화하여 다중 리전 테이블 복제를 달성합니다.
E. Amazon CloudWatch를 활성화하고 애플리케이션 지연 시간이 원하는 임계값을 초과할 때 재해 복구 사이트로 트래픽을 라우팅하는 CloudWatch 경보를 생성합니다.
F. 데이터 손상 시 사용 가능한 롤백 버전이 있는지 확인하기 위해 정적 자산이 포함된 소스 및 대상 버킷에서 Amazon S3 버전 관리를 활성화합니다.66
다음 중 ARN이 대소문자를 구분하지 않도록 IAM(Identity and Access Management) 정책에서 사용할 수 있는 Amazon 리소스 이름(ARN) 조건 연산자는 무엇입니까?
A. ArnCheck
B. 안매치
C. 안케이스
D. 안라이크67
EC2-Classic 인스턴스 및 EC2-VPC 네트워크 인터페이스에 적용되는 보안 그룹 및 규칙의 수에 대한 다음 설명 중 옳은 것은 무엇입니까?
A. EC2-Classic에서는 인스턴스를 최대 5개의 보안 그룹과 연결하고 보안 그룹에 최대 50개의 규칙을 추가할 수 있습니다. EC2-VPC에서 네트워크 인터페이스를 최대 500개의 보안 그룹과 연결하고 보안 그룹에 최대 100개의 규칙을 추가할 수 있습니다.
B. EC2-Classic에서는 인스턴스를 최대 500개의 보안 그룹과 연결하고 보안 그룹에 최대 50개의 규칙을 추가할 수 있습니다. EC2-VPC에서 네트워크 인터페이스를 최대 5개의 보안 그룹과 연결하고 보안 그룹에 최대 100개의 규칙을 추가할 수 있습니다.
C. EC2-Classic에서는 인스턴스를 최대 5개의 보안 그룹과 연결하고 보안 그룹에 최대 100개의 규칙을 추가할 수 있습니다. EC2-VPC에서 네트워크 인터페이스를 최대 500개의 보안 그룹과 연결하고 보안 그룹에 최대 50개의 규칙을 추가할 수 있습니다.
D. EC2-Classic에서는 인스턴스를 최대 500개의 보안 그룹과 연결하고 보안 그룹에 최대 100개의 규칙을 추가할 수 있습니다. EC2-VPC에서 네트워크 인터페이스를 최대 5개의 보안 그룹과 연결하고 보안 그룹에 최대 50개의 규칙을 추가할 수 있습니다.68
솔루션 설계자는 DDoS 및 애플리케이션 계층 공격으로부터 Amazon EC2에서 호스팅되는 웹 워크로드를 보호하기 위해 어떤 절차를 조합해야 합니까? (2개를 선택하세요.)
A. EC2 인스턴스를 Network Load Balancer 뒤에 배치하고 여기에 AWS WAF를 구성합니다.
B. DNS를 Amazon Route 53으로 마이그레이션하고 AWS Shield를 사용합니다.
C. EC2 인스턴스를 Auto Scaling 그룹에 넣고 여기에 AWS WAF를 구성합니다.
D. Amazon CloudFront 배포를 생성 및 사용하고 여기에 AWS WAF를 구성합니다.
E. VPC에서 인터넷 게이트웨이를 생성 및 사용하고 AWS Shield를 사용합니다.69
감독자는 응용 프로그램 서버가 있는 중간 계층 네트워크에 연결되는 각 웹 서버에 대해 탄력적 네트워크 인터페이스를 개발하는 책임을 귀하에게 부여했습니다. 또한 그는 이것을 고유 서브넷의 이중 홈 인스턴스로 구성하려고 합니다.
듀얼 홈 인스턴스를 통해 네트워크 패킷을 라우팅하는 대신 각 듀얼 홈 인스턴스가 기준을 충족하는 요청을 수신하고 처리해야 하는 위치는 어디입니까?
A. 웹 서버 중 하나에서
B. 프런트 엔드에서
C. 백 엔드에서
D. 보안 그룹을 통해| 1~5 | CBCEBB |
| 6~10 | BAACD |
| 11~15 | BBCDA |
| 16~20 | BADBA |
| 21~25 | CDBBA |
| 26~30 | CCADC |
| 31~35 | CDCCA |
| 36~40 | CAABC |
| 41~45 | CBADC |
| 46~50 | DCDDA |
| 51~55 | ADADFAC |
| 56~60 | CDBAC |
| 61~65 | CABCFBABD |
| 66~70 | DCBDB |
