AWS SAA - Marked Questions III

Marked Questions III

AWS Certified Solutions Architect Study Guide - Associate (SAA-C02) EXAM 에서 별표 친 문제들 목록

 

Practice Test #1

Q1

모바일 애플리케이션을 사용하려면 사용자가 연합 ID를 사용하여 로그인해야 합니다. 다음 중 AWS와 기본적으로 호환되는 공급자는 무엇입니까? (3개 선택)

• Amazon Cognito user pools
• Google
• An SAML 2.0 provider
• OpenSSH
• LDAP

정답 펼치기/접기

A, B, C
SAML과 호환되는 형식이면 지원된다.

 

Q2

EC2 인스턴스에서 실행 중인 마이크로서비스 클러스터에 대해 예측 불가능한 과중한 트래픽을 처리하는 데 이상적인 로드 밸런서 유형은?

• Application load balancer
• Network load balancer
• Classic load balancer
• Multifunction load balancer

정답 펼치기/접기

B
NLB는 레이어 4, transport layer에서 작동하며 초당 수백만의 요청에 따라 스케일될 수 있다.

 

Q3

다음 중 스폿 및 on-demand 인스턴스를 포함할 수 있는 것은 무엇입니까? (2개 선택)

• Spot launch group
• Spot cluster
• Spot fleet
• Spot pool
• Auto scaling group

정답 펼치기/접기

C, E
spot cluster나 spot pool 이라는 용어는 존재하지 않는다. spot instance pool은 조건에 부합하나 동작중이지 않은 스팟 EC2 인스턴스를 의미한다.

 

Q4

귀사의 IT 팀장이 귀하의 계정에서 실행 중인 RDS(Relational Database Service) MySQL 데이터베이스의 data breach가 있었음을 확인했습니다. 귀사에 미칠 수 있는 손해에 대한 책임은 누구에게 있습니까?

• The account owner
• AWS, the service provider
• Oracle (the provider of MySQL)
• No one

정답 펼치기/접기

A
AWS 인프라 위에서의 자신의 그 어떤 데이터나 어플리케이션도 AWS가 책임져주지는 않는다. 자신이 책임져야 한다.

 

Q5

외부 AWS 솔루션 설계자가 방금 AWS 인프라에 대한 보안 감사를 완료했으며 S3 버킷 중 적어도 일부를 공개적으로 사용할 수 있다고 말했습니다. 보안 향상을 위해 권장되는 도구는 다음 중 무엇입니까? (두개 선택)

• S3 bucket policies
• S3 access control lists (ACLs)
• Security groups
• IAM policies
• MFA

정답 펼치기/접기

A, D
bucket policy 와 IAM이 S3 보안을 위한 가장 효과적인 도구이다. ACL은 S3 에서 사용이 deprecated 되었다.

 

Q6

EC2 기반 애플리케이션을 사용하려면 DynamoDB 데이터베이스의 데이터에 대한 읽기 및 쓰기 액세스 권한이 필요합니다. 전 세계에 대한 액세스를 개방할 수는 없는 노릇이니, 다음 중 필요한 권한을 만드는 데 가장 적합한 방법은 무엇입니까?

• Configure an EC2 security group to open access.
• Create an IAM sesrsvice role that will give the EC2 instance full DynamoDB access.
• Create an IAM policy that will give the EC2 instance profile role full DynamoDB access.
• There is currently no way to permit such access.

정답 펼치기/접기

C
IAM 정책은 이러한 접근에 쓰이는 도구이다. IAM service role은 이러한 리소스에 대해 적용되는 것이 아니라 서비스에 적용된다.

 

Q7

다음 중 성공적인 IAM 액세스 키 관리 프로토콜의 중요한 부분은 무엇입니까? (두개 선택)

• Deactivate unused keys
• Configure automated key rotation
• Require MFA before assigning new keys
• Audit usage patterns for all keys
• Assign a different key for each region

정답 펼치기/접기

A, D
MFA는 키 lifecycle process 에 어울리지 않는다. 올바르게 설정되고 할당된 키는 감사 없이도 신뢰성이 있다.

 

Q8

AWS 계정에 대해 AWS Managed Microsoft AD 를 실행하는 서버에 로그인하여 관리 작업을 수행하려고 한다. 서버에 접근하려면 어떻게 해야 하는가?

• The service is managed by AWS, so you can't access the server.
• Identify the server instance from the EC2 instances console and open an SSH session.
• Identify the server instance from the EC2 instances console and open an RDP session.
• User the EC2 Run Command tool to run any necessary command.

정답 펼치기/접기

A
AWS 가 관리하는 모든 서비스는, AWS에 의해 내부 하드웨어 리소스가 감춰진다.

 

Q9

정적 웹 사이트 콘텐츠를 보다 효율적으로 전달하기 위해 CloudFront 배포를 생성했다. 어떤 절차를 거쳐야 고객이 CloudFront-served 리소스를 찾을 수 있게 되는가? (두개 선택)

• You can advertise the unique CloudFront endpoint that's associated with your distribution
• You can use Route53 to redirect traffic aimed at the appropriate DNS domain to the CloudFront endpoint
• You can have AWS Certificate Manager generate an encryption certificate for your distribution
• You can create a new Route53 record set to define an appropriate routing policy.

정답 펼치기/접기

A, B
CloudFront endpoint 를 제공하는 것도 괜찮지만, DNS domain 이름을 통해 연결하는 것이 가장 권장되는 방식이다.

 

Q10

Route53에서 public hosted zone 을 가장 잘 설명한 것은?

• A set of resources identified by a single domain name
• A set of rules for resolving client requests
• A top-level domain (TLD)
• A container that holds resource record sets that define routing behavior for a domain
• Domain names that can only be resolved from within a VPC

정답 펼치기/접기

D
프라이빗 호스팅 영역은 지정한 AWS VPC를 통해서만 리소스를 접근 하능하도록 하며, 퍼블릭 호스팅 영역은 외부 사용자의 접근을 허용할 필요가 있을 때 설정한다.

 

Practice Test #2

Q1

설정된 수의 WCU 및 RCU 로 프로비저닝된 DynamoDB 테이블을 생성한 후 읽기 속도가 느린 것을 발견했습니다. 읽기 성능을 향상시키는 가장 경제적인 방법은 무엇인가?

• Increase the provisioned read capacity units
• For read capacity, set Auto Scaling desired utilization to 70 percent
• For read capacity, set Auto Scaling desired utilization to 85 percent
• Increase the provisioned write capacity units
• For read and write capacity, set Auto Scaling desired utilization to 50 percent

정답 펼치기/접기

C
DynamoDB Auto Scaling은 WCU와 RCU를 demand에 따라 자동으로 증감시킨다. desired read capacity utilization을 조절함으로서 성능 효과를 볼 수 있다.

 

Q2

조직은 EC2 자동 확장을 사용하여 일련의 인스턴스를 실행하고 있습니다. 매월 모든 인스턴스에 패치를 적용하여 최신 보안 및 안정성 업데이트를 제공해야 합니다. 다음 중 최대 가용성을 유지하면서 이를 자동화하는 데 도움이 될 수 있는 것은 무엇입니까? (모두 선택)

• Create a new AMI every month.
• Create a new version of a launch template every month.
• Modify the launch configuration every month
• Implement scheduled Auto Scaling actions.

정답 펼치기/접기

A, B, D
업데이트가 포함된 새 AMI를 생성한 다음 교체 인스턴스를 프로비저닝하면 된다. 새 AMI를 참조하는 새 시작 템플릿 버전을 작성하고, 스케일아웃과 스케일인을 통해 새 AMI들이 적용되도록 한다.

 

Q3

조직은 EC2 자동 확장을 사용하여 일련의 인스턴스를 실행하고 있습니다. 매월 모든 인스턴스에 패치를 적용하여 최신 보안 및 안정성 업데이트를 제공해야 합니다. 다음 중 최대 가용성을 유지하면서 이를 자동화하는 데 도움이 될 수 있는 것은 무엇입니까? (모두 선택)

• Create a new AMI every month.
• Create a new version of a launch template every month.
• Modify the launch configuration every month
• Implement scheduled Auto Scaling actions.

정답 펼치기/접기

A, B, D
업데이트가 포함된 새 AMI를 생성한 다음 교체 인스턴스를 프로비저닝하면 된다. 새 AMI를 참조하는 새 시작 템플릿 버전을 작성하고, 스케일아웃과 스케일인을 통해 새 AMI들이 적용되도록 한다.

 

Q4

VPC에서 첫 번째 서브넷을 생성할 때 나중에 더 많은 서브넷을 위한 충분한 공간을 VPC에 남겨야 하는 이유는? (두개 선택)

• You may need to use multiple security groups.
• You may need to implement multi-AZ RDS.
• You may need to implement a NAT gateway.
• You may need to add a secondary CIDR to the VPC.

정답 펼치기/접기

B, C
Multi-AZ RDS는 여러 가용 영역을 필요로 하며, 이는 여러 서브넷을 필요로 한다. NAT gateway를 사용하는 것은 다른 라우트 테이블을 필요로 하며, 이는 또한 여러 서브넷을 필요로 한다.

 

Q5

IAM 사용자가 AWS Management Console을 이용하여 S3 bucket을 생성할 때 MFA를 필요로 하려고 한다. 이를 달성할 수 있는 방법은? (두개 선택)

• Use an S3 bucket policy to require MFA.
• Enable MFA for the user.
• Create an IAM policy.
• Generate an access key for the user.
• Assign an MFA device to the user

정답 펼치기/접기

B, E
유저에게 Management Console 로그인 시 MFA를 사용하도록 하려면, MFA device를 할당하고 활성화해야 한다.

 

Q6

CloudFormation 스택이 VPC 리소스를 생성했다. 이 VPC로의 의도되지 않은 변경사항을 막기 위한 방법은 무엇인가?

• Apply a stack policy to the template used to create the stack.
• Apply a bucket policy to the bucket storing the template used to create the stack.
• Apply a stack policy to the stack.
• Apply a resource policy to the VPC.

정답 펼치기/접기

C
stack policy는 stack 업데이트에 대한 다양한 설정을 할 수 있다.

 

Q7

IAM 롤의 trust policy가 필수로 요구하지 않는 것은?

• Action
• ARN
• Effect
• Principal

정답 펼치기/접기

B
action, effect, principal은 trust policy의 필수 요소이다.

 

Q8

직접 생성한 인스턴스에 대해 StatusCheckFailed_Instance 메트릭을 모니터링하는 CloudWatch 알람을 만들려고 한다. 어떤 알람 액션이 인스턴스의 public IP address를 잃지 않게 할 것인가?

• Reboot
• Terminate
• Recover
• Notification

정답 펼치기/접기

A
EC2 reboot 액션은 몇몇 instance 이슈를 해결할 수 있기도 하며, 이는 public IP를 변경하지 않는다. recover 액션은 public ip가 변경된다. notification 액션은 직접적으로 인스턴스에 변화를 주지 않지만, Lambda 를 트리거하여 인스턴스에 변화가 갈 수 있다.

 

Q9

서버측 암호화와 AWS KMS 관리 키(SSE-KMS)를 사용하여 S3 버킷에 저장된 개체에 대한 액세스를 보호할 수 있습니다. 당신은 새 관리자의 IAM user에 객체를 암호화할 수 있는 CMK (customer master key) 관리 권한을 추가하였습니다. 또한 AdministratorAccess mamaged policy를 그녀의 IAM 에 적용했습니다. 하지만 새 관리자는 객체를 읽을 수 없다고 보고합니다. 어떻게 그녀에게 읽기 권한을 부여할 수 있는가?

• Grant her access to the s3:decrypt action in the bucket policy.
• Grant her access to the kms:decrypt action in the key policy
• In the key policy, add the key ARN as a resource.
• Apply the AWSKeyManagementServicePowerUser managed policy to her IAM user.

정답 펼치기/접기

B
CMK에 administrator access을 허가하는것은 key를 decryption에 쓰는 것을 보증하지 않는다. kms:decrypt 권한을 키 정책에서 허용해야 한다.