Practice Test #3
65개 문제와 90분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.
65문제90분700/1000합격 점수
AI 기반
3중 AI 검증 답안 및 해설
모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.
GPT Pro
Claude Opus
65개 문제와 90분 시간 제한으로 실제 시험을 시뮬레이션하세요. AI 검증 답안과 상세 해설로 학습하세요.
AI 기반
모든 답안은 3개의 최고 AI 모델로 교차 검증하여 최고의 정확도를 보장합니다. 선택지별 상세 해설과 심층 문제 분석을 제공합니다.
미디어 회사의 솔루션 리드는 다음 1시간 이내에 10,000 requests per second를 목표로 하고 multi-Region disaster recovery(RPO 15 minutes, RTO 1 hour)를 갖춘 multi-tier serverless video-metadata API를 위한 검증된 AWS reference architectures와 design diagrams를 찾아야 한다. AWS Cloud solution designs의 예시를 어디에서 찾아야 하는가?
AWS Marketplace는 AWS에서 실행되는 third-party software, SaaS, 그리고 data products를 찾고, 구매하고, 배포하기 위한 디지털 catalog다. 일부 listing에 deployment guides 또는 architecture diagrams가 포함될 수는 있지만, Marketplace는 AWS reference architectures를 위한 주요 검증 저장소가 아니다. serverless scale 및 multi-Region DR을 위한 공식 AWS design patterns를 빠르게 찾기보다는 procurement 및 licensing에 초점이 맞춰져 있다.
AWS Service Catalog는 조직이 내부 사용을 위해 승인된 IT services(CloudFormation templates, products, portfolios)의 catalog를 생성하고 관리하도록 돕는다. governance와 표준화된 provisioning에는 훌륭하지만, 공개 AWS reference architectures나 design diagrams를 제공하지는 않는다. 회사 내에서 사전 승인된 architectures를 배포하는 문제라면 Service Catalog가 맞을 수 있지만, AWS 예시를 발견하는 용도는 아니다.
AWS Architecture Center는 검증된 reference architectures, solution patterns, 그리고 design diagrams를 workloads 및 산업 전반에 걸쳐 찾을 수 있는 올바른 장소다. 공식 AWS 가이던스(Well-Architected best practices 포함)를 집계하며, serverless, 고규모 API, 그리고 RPO/RTO 목표 같은 multi-Region disaster recovery 목적과 관련된 예시를 제공한다. 아키텍처 예시와 diagrams를 빠르게 찾도록 목적에 맞게 구축되어 있다.
AWS Trusted Advisor는 cost optimization, performance, security, fault tolerance, service limits, operational excellence 전반에 걸쳐 권장 사항을 제공하는 account 분석 도구다. 기존 AWS 환경에서의 위험과 개선점을 식별하는 데 도움이 되지만, reference architectures나 design diagrams의 라이브러리로 기능하지는 않는다. 예시 설계를 찾기 위한 것이 아니라, 아키텍처를 배포한 이후에 유용하다.
핵심 개념: 이 문제는 검증된 AWS reference architectures, design patterns, 그리고 diagrams를 어디에서 찾는지 평가한다. 핵심 리소스는 AWS Architecture Center로, AWS Well-Architected Framework, reference architectures, 그리고 architecture diagrams를 포함한 공식 및 파트너 검증 아키텍처 가이던스를 큐레이션한다. 정답이 맞는 이유: 솔루션 리드는 multi-tier serverless API를 고규모(10,000 RPS)로, 그리고 multi-Region disaster recovery 목표(RPO 15 minutes, RTO 1 hour)에 맞춰 빠르게(다음 1시간 이내) 예시가 필요하다. AWS Architecture Center는 이를 위해 특별히 설계되었다. 미디어를 포함한 산업 전반과 serverless, high availability, disaster recovery 같은 요구사항 전반에 걸친 solution patterns와 reference architectures를 제공한다. 소프트웨어를 구매하거나 내부 catalog를 설정할 필요 없이 “AWS reference architectures와 design diagrams”를 찾을 수 있는 가장 직접적인 장소다. 그곳에서 기대할 수 있는 주요 AWS 기능/가이던스: Architecture Center 및 관련 공식 가이던스에서는 일반적으로 API Gateway + Lambda + DynamoDB/Aurora Serverless 같은 serverless API 패턴, CloudFront/ElastiCache를 통한 caching, SQS/SNS/EventBridge를 통한 asynchronous ingestion, 그리고 Route 53 health checks/failover, DynamoDB global tables 또는 Aurora Global Database, cross-Region replication을 활용한 multi-Region DR 접근 방식(active-active 또는 active-passive) 등을 찾을 수 있다. RPO 15 minutes를 위해서는 near-real-time replication 옵션을, RTO 1 hour를 위해서는 automated failover runbooks와 infrastructure-as-code를 확인하게 된다. 흔한 오해: AWS Marketplace에도 listing에 “reference architectures”가 포함될 수 있지만, 주 목적은 third-party software 및 solutions 구매이며, 큐레이션된 AWS design diagrams를 제공하는 곳이 아니다. AWS Service Catalog는 조직 내에서 내부적으로 승인된 products/blueprints를 배포하기 위한 것이지, 공개 AWS reference architectures를 발견하기 위한 것이 아니다. Trusted Advisor는 account별 best-practice checks(cost, security, fault tolerance 등)를 제공하는 것이지 architecture diagrams를 제공하지 않는다. 시험 팁: 문제가 “AWS reference architectures, solution designs, diagrams를 어디에서 찾는가”를 묻는다면 기본적으로 AWS Architecture Center(그리고 종종 Well-Architected Framework)를 떠올려라. third-party solutions 구매라면 Marketplace, 내부 표준화된 deployments라면 Service Catalog, account 최적화 점검이라면 Trusted Advisor를 생각하면 된다.
한 대학 연구실은 3개의 프로젝트에 걸쳐 150명의 IAM user가 있는 단일 AWS account를 사용하며, 분기별 컴플라이언스 점검을 수행하여 각 user에 대해 마지막 password 변경 날짜와 활성 access key 중 90일을 초과한 것이 있는지 여부를 확인해야 합니다. 또한 감사자는 모든 user에 대한 이러한 세부 정보를 나열한 다운로드 가능한 CSV를 요구합니다. 이 요구 사항을 충족하는 AWS service 또는 tool은 무엇입니까?
IAM Access Analyzer는 resource-based policy(예: S3 bucket policy, KMS key policy, IAM role trust policy)를 분석하여 AWS resource에 대한 의도치 않은 access를 식별하는 데 도움을 줍니다. public 또는 cross-account access 경로를 탐지하는 데 유용하지만, 마지막 password 변경 날짜나 access key rotation/age를 보여주는 IAM user별 CSV를 생성하지는 않습니다. 따라서 감사자의 구체적인 reporting 요구 사항을 충족하지 못합니다.
AWS Artifact는 AWS 컴플라이언스 문서(예: SOC report, ISO certification)에 대한 온디맨드 access를 제공하고 일부 agreement 관리를 가능하게 합니다. 이는 AWS의 컴플라이언스 상태에 대한 증빙에 초점이 있으며, 귀하의 account의 IAM user credential 세부 정보를 reporting하는 것이 아닙니다. 각 IAM user의 password 변경 날짜와 access key age를 나열한 CSV를 생성할 수 없으므로 요구 사항을 충족하지 못합니다.
IAM credential report는 모든 IAM user와 key credential metadata를 나열하는 account 수준의 CSV report이며, password_last_changed 및 access_key_last_rotated 필드(최대 2개의 access key에 대해)를 포함합니다. 이는 분기별 컴플라이언스 점검을 직접 지원하고 감사자를 위한 다운로드 가능한 CSV 산출물을 제공합니다. 대규모로 IAM user credential 상태와 rotation 위생을 감사하는 표준 AWS 메커니즘입니다.
AWS Audit Manager는 AWS service에서 evidence를 지속적으로 수집하고 이를 컴플라이언스 framework에 매핑하여 audit-ready report를 생성하는 데 도움을 줍니다. 거버넌스 프로그램에는 강력하지만, IAM password 변경 날짜와 access key age에 대한 user별 CSV를 생성하는 가장 단순하거나 직접적인 tool은 아닙니다. 이처럼 좁게 정의된 IAM credential inventory 요구 사항에는 IAM credential report가 올바른 tool입니다.
핵심 개념: 이 문제는 credential 위생 및 컴플라이언스 증빙을 위한 AWS IAM account 수준의 reporting 지식을 평가합니다. 특히 account 내 모든 IAM user에 대해 password 및 access key age 세부 정보를 포함하는 감사 가능하고 내보낼 수 있는 report를 생성하는 데 초점을 둡니다. 정답이 맞는 이유: IAM credential report는 정확히 이 요구 사항을 위해 만들어졌습니다. 모든 IAM user와 주요 credential metadata를 나열하는 다운로드 가능한 CSV를 생성하며, 여기에는 마지막 password 변경 날짜와 access key의 age/status가 포함됩니다. 감사자가 모든 user(150명)에 대한 CSV를 요구하고 연구실이 분기별로 password 및 90일을 초과한 access key를 점검해야 하므로, credential report는 다운로드하여 검토하거나(예: Excel에서) 필터링해 비준수 user 및 key를 식별할 수 있는 단일 표준 산출물을 제공합니다. 주요 AWS 기능: IAM credential report는 account 수준에서 생성되며 password_last_changed, password_enabled, access_key_1_active, access_key_1_last_rotated, access_key_2_active, access_key_2_last_rotated 같은 필드를 포함합니다. 이를 통해 “last_rotated” 날짜를 현재 날짜와 비교하여 활성 access key가 90일을 초과했는지 여부를 쉽게 판단할 수 있습니다. report는 CSV 형식으로 제공되어 감사자의 “다운로드 가능한 CSV” 요구 사항을 충족합니다. IAM console 또는 AWS CLI/API(GenerateCredentialReport 및 GetCredentialReport)로 생성할 수 있어 분기별 자동화에도 유용합니다. 흔한 오해: IAM Access Analyzer와 AWS Audit Manager는 종종 “auditing”과 연관되지만, user별 password 변경 날짜와 access key age를 나열한 CSV를 직접 생성하지는 않습니다. AWS Artifact 역시 컴플라이언스와 관련이 있지만, 이는 AWS(서비스 제공자)의 컴플라이언스 report를 제공하는 것이지, 귀하의 account의 IAM user credential 상태를 제공하는 것이 아닙니다. 시험 팁: “모든 IAM user 나열”, “마지막 password 변경”, “access key age/rotation”, “다운로드 가능한 CSV” 같은 요구 사항이 보이면 즉시 “IAM credential report”를 떠올리십시오. Access Analyzer는 resource access policy 및 외부 access finding을 위한 것이고, Audit Manager는 단순한 IAM credential inventory export가 아니라 framework에 대한 더 광범위한 evidence 수집을 위한 것입니다.
한 리테일 분석 팀이 us-east-1의 7개 Amazon S3 bucket에 걸쳐 약 6TB의 CSV 및 JSON 파일을 저장하고 있으며, 이름과 16자리 신용카드 번호 같은 민감 데이터를 자동으로 탐지하고 분류하며, object별로 finding을 생성하고, 어떤 인프라도 배포하지 않고 예약 스캔을 지원하는 완전 관리형 서비스가 필요합니다. 어떤 AWS 서비스를 사용해야 합니까?
AWS IAM Access Analyzer는 IAM policy, bucket policy, access point를 분석하여 AWS 리소스에 대한 의도치 않은 접근(예: S3 bucket이 공개적으로 접근 가능한지 또는 다른 계정과 공유되는지)을 식별하는 데 도움을 줍니다. object 콘텐츠를 검사하지 않으며, CSV/JSON 파일 내 PII/PCI를 분류할 수 없고, object별 민감 데이터 finding을 생성하지도 않습니다. 이는 데이터 탐지/분류 서비스가 아니라 접근 거버넌스 도구입니다.
Amazon GuardDuty는 AWS CloudTrail event, VPC Flow Logs, DNS logs, 그리고 특정 S3 data event를 분석하여 의심스러운 활동(예: 자격 증명 탈취, 이상 API 호출, malware indicator)을 탐지하는 관리형 위협 탐지 서비스입니다. 보안 finding을 생성하긴 하지만, S3 object 콘텐츠를 스캔하여 이름이나 신용카드 번호를 탐지하지 않으며, 민감 데이터 분류 job을 위한 서비스가 아닙니다.
Amazon Inspector는 EC2 instance, ECR의 container image, 그리고(지원 모드에서) Lambda function에 대해 소프트웨어 취약점 및 의도치 않은 네트워크 노출을 식별하는 취약점 관리 서비스입니다. CVE, 패키지 취약점, 구성 위험을 평가합니다. S3 object에 대한 콘텐츠 기반 검사로 PII/PCI를 탐지하지 않으며, S3 bucket 전반에 걸친 예약 민감 데이터 탐지도 제공하지 않습니다.
Amazon Macie는 Amazon S3에서 민감 데이터를 탐지하고 보호하도록 목적에 맞게 구축되었습니다. 선택한 bucket을 자동으로 그리고 일정에 따라 스캔하고, object 콘텐츠(CSV/JSON 포함)를 검사하며, 관리형 data identifier를 사용해 이름과 16자리 신용카드 번호 같은 PII 및 PCI 데이터를 탐지할 수 있습니다. Macie는 object별로 상세한 finding을 생성하고 EventBridge/Security Hub와 통합하여 워크플로 자동화를 지원하며—인프라를 배포할 필요가 없는 완전 관리형 서비스입니다.
핵심 개념: 이 문제는 Amazon S3를 위한 AWS 관리형 데이터 보안 서비스—특히 object 내 민감 데이터(PII/PCI)의 자동 탐지 및 분류, finding 생성, 예약 스캔—에 대한 지식을 평가합니다. 정답이 맞는 이유: Amazon Macie는 Amazon S3에 저장된 민감 데이터를 탐지, 분류, 보호하도록 설계된 완전 관리형 서비스입니다. 머신 러닝과 패턴 매칭을 사용하여 CSV 및 JSON 같은 일반적인 형식에서 이름과 신용카드 번호(예: 16-digit PAN) 같은 데이터를 식별합니다. Macie는 여러 bucket을 평가하고, object별 finding(예: bucket, object key, 탐지된 데이터 유형 포함)을 생성하며, 어떤 인프라 배포 없이 예약/반복 job을 지원합니다. 이는 “민감 데이터 자동 탐지 및 분류”, “object별 finding 생성”, “여러 S3 bucket에 대한 예약 스캔 지원” 요구사항과 정확히 일치합니다. 주요 AWS 기능: Macie는 S3 inventory 및 자동 민감 데이터 탐지, 관리형 data identifier(일반적인 PII/PCI에 대한 내장), 그리고 조직별 패턴을 위한 custom data identifier(regex/키워드)를 제공합니다. Finding은 Amazon EventBridge로 전송되고 Macie console에서 확인할 수 있으며, 티켓팅/SIEM 워크플로로 라우팅할 수 있습니다. Macie는 AWS Organizations와 통합되어 멀티 계정 활성화를 지원하고, S3 bucket 선택 및 job 정의(일회성 또는 예약)를 통해 범위를 지정할 수 있습니다. 이는 AWS Well-Architected Security Pillar 가이드에 부합하는 최소 운영(least-ops), serverless 보안 태세를 지원합니다. 흔한 오해: GuardDuty도 “finding”을 생성하기 때문에 종종 혼동되지만, object 내부의 민감 데이터를 분류하는 것이 아니라 위협(악성 활동/이상 징후)을 탐지합니다. Inspector는 S3 데이터 분류가 아니라 compute 및 container image에 대한 취약점 관리에 초점을 둡니다. IAM Access Analyzer는 접근 정책과 외부 접근 경로를 분석하는 데 도움을 주며, 콘텐츠 검사 기능은 아닙니다. 시험 팁: “S3”, “PII/PCI”, “discover/classify”, “sensitive data”, “scheduled scans/jobs”가 보이면 정답은 거의 항상 Amazon Macie입니다. 문제가 “threat detection” 또는 “anomalous API calls”를 강조하면 GuardDuty를, “vulnerabilities/CVEs”를 강조하면 Inspector를, “public/cross-account access analysis”를 강조하면 IAM Access Analyzer를 떠올리세요.
us-east-1 및 eu-west-1의 Amazon ECS에서 40개의 microservices를 실행하는 미디어 analytics startup이 KMS customer managed key로 암호화된 12개의 third-party API key와 database password를 저장할 수 있는 중앙에서 관리되는 방식이 필요하며, tasks가 런타임에 세분화된 IAM permissions로 이러한 credentials를 programmatically retrieve할 수 있고 30일마다 자동 rotation이 되어야 합니다. 어떤 AWS service 또는 feature를 사용해야 합니까?
AWS Encryption SDK는 client-side cryptographic library이지 managed secret storage service가 아닙니다. 애플리케이션이 AWS KMS를 사용한 envelope encryption으로 데이터를 암호화하고 복호화하도록 도울 수는 있지만, secrets를 위한 중앙 저장소를 제공하지는 않습니다. 또한 내장된 secret rotation, lifecycle management, 또는 ECS tasks를 위한 기본적인 runtime retrieval 패턴도 제공하지 않습니다. 여기서 이를 사용하려면 startup이 자체 storage 및 rotation solution을 구축하고 운영해야 합니다.
AWS Security Hub는 AWS 서비스 및 partner tools의 security findings를 집계하고 우선순위를 지정하는 데 사용됩니다. 이는 security posture, compliance checks, alerting에 대한 가시성을 제공하지만, 애플리케이션 credentials를 저장하지는 않습니다. ECS tasks는 API keys나 database passwords를 위한 runtime secret source로 Security Hub를 사용할 수 없습니다. 또한 30일마다 secrets를 rotation하는 기능도 없습니다.
AWS Secrets Manager가 정답인 이유는 API keys, tokens, database credentials와 같은 민감한 값을 저장하도록 특별히 설계된 managed service이기 때문입니다. 이 서비스는 customer managed keys를 포함한 AWS KMS를 사용하여 저장 시 secrets를 암호화하므로 KMS CMK 보호 요구 사항을 충족합니다. ECS tasks는 특정 secret ARN에 대한 secretsmanager:GetSecretValue와 같은 최소 권한 permissions를 가진 task IAM roles를 사용하여 런타임에 프로그래밍 방식으로 secrets를 retrieval할 수 있습니다. 또한 Secrets Manager는 30일마다를 포함한 정의된 일정에 따른 automatic rotation을 지원하므로, 문제의 운영 요구 사항과 직접적으로 일치합니다.
AWS Artifact는 AWS compliance reports에 접근하고 business associate addendums와 같은 agreements를 관리하기 위한 포털입니다. 이는 애플리케이션 runtime service가 아니며, ECS tasks에 secrets를 저장, 암호화 또는 반환하는 기능이 없습니다. Artifact는 이 시나리오에서 요구되는 방식으로 secret별 retrieval permissions를 위해 IAM과 통합되지 않습니다. 또한 secret rotation 기능도 제공하지 않습니다.
핵심 개념: 이 문제는 애플리케이션을 위한 managed secret storage, AWS KMS customer managed keys (CMKs)를 사용한 암호화, compute(ECS tasks)에서의 세분화된 IAM access, 그리고 내장된 automatic rotation을 테스트합니다. 이를 위해 특별히 설계된 AWS 서비스는 AWS Secrets Manager입니다. 정답인 이유: AWS Secrets Manager는 third-party API keys 및 database passwords와 같은 민감한 값을 위한 중앙 집중식 저장소를 제공하고, AWS KMS(고객 관리형 키 포함)를 사용하여 저장 시 secrets를 암호화하며, 런타임에 AWS SDK/CLI/API를 통한 프로그래밍 방식의 retrieval을 제공합니다. ECS tasks는 최소 권한 permissions를 가진 IAM task role(예: 특정 secret ARN에 대한 secretsmanager:GetSecretValue)을 사용하여 secrets를 안전하게 retrieval할 수 있습니다. 또한 Secrets Manager는 AWS Lambda rotation functions를 사용하여 일정(예: 30일마다)에 따른 automatic rotation을 지원하며, 이는 문제의 직접적인 요구 사항입니다. 주요 AWS 기능: - KMS CMK encryption: 각 secret이 특정 customer managed key를 사용하도록 구성하고, key policies 및 grants를 적용할 수 있습니다. - Fine-grained IAM: IAM policies 및 secrets에 대한 resource-based policies를 사용하여 secret별, environment별, 또는 service별로 access를 제한할 수 있습니다. - Runtime retrieval: ECS는 Secrets Manager와 잘 통합되며, tasks는 시작 시 또는 필요 시 SDK를 사용하여 secrets를 가져올 수 있고, ECS secret options를 통해 secrets를 environment variables로 주입할 수도 있습니다. - Automatic rotation: Lambda를 사용한 기본 rotation scheduling을 지원하며, 일반적인 databases를 위한 AWS 제공 templates도 포함됩니다. 30일마다 rotation하는 것은 표준적인 패턴입니다. - Multi-Region considerations: 워크로드가 us-east-1 및 eu-west-1에서 실행되므로, 일반적으로 각 region에 secrets를 생성하거나(또는 복제를 위해 Secrets Manager multi-Region secrets를 사용) 지연 시간을 줄이고 복원력을 향상시키면서 중앙 집중식 governance를 유지합니다. 일반적인 오해: 일부는 “encryption”이 AWS Encryption SDK를 의미한다고 생각할 수 있지만, 이는 client-side cryptography library이며 중앙 집중식 secret lifecycle management나 rotation을 제공하지 않습니다. 또 다른 경우로 Security Hub를 secret management와 혼동할 수 있는데, 이는 credentials를 저장하는 것이 아니라 security findings를 집계합니다. AWS Artifact는 compliance reports 및 agreements를 위한 것이며, runtime secrets를 위한 서비스가 아닙니다. 시험 팁: “credentials를 중앙에서 저장”, “IAM으로 런타임에 retrieval”, “KMS CMK로 암호화”, 그리고 특히 “automatic rotation”과 같은 요구 사항이 보이면 AWS Secrets Manager를 우선 떠올리세요. rotation이 필요 없고 단순한 parameter storage 요구 사항이라면 AWS Systems Manager Parameter Store도 고려할 수 있지만, 여기서는 rotation이 핵심적인 차별점입니다.
한 지방자치단체 기록 보관소는 7년 동안 보관해야 하는 규정 준수 PDF 80 TB를 아카이브하고 있으며, 외부 감사인이 연 2회만 접근합니다. 하지만 감사가 발생하면 파일을 가능한 한 가장 낮은 스토리지 비용으로 밀리초 단위로 검색할 수 있어야 합니다. 어떤 Amazon S3 storage class를 사용해야 합니까?
Amazon S3 on Outposts는 데이터 레지던시, 로컬 처리, 또는 낮은 지연 시간의 로컬 접근 요구사항을 충족하기 위해 AWS Outposts rack에서 온프레미스에 객체를 저장하는 용도입니다. 아카이브용 storage class가 아니며, 일반적으로 80 TB를 7년 보관하는 데 최저 비용 옵션이 되지 않습니다. 문제에서 온프레미스 요구사항이 제시되지 않으므로 적합하지 않습니다.
Amazon S3 Glacier Instant Retrieval은 장기 보관 및 드문 접근 데이터이지만 즉각적인(밀리초) 검색이 필요한 경우를 위해 설계되었습니다. 이는 감사 시에만 접근하지만 요청 시 빠른 접근이 필요한 규정 준수 아카이브와 완벽히 일치합니다. S3 Standard보다 낮은 스토리지 비용을 제공하며, 연 2회 접근 패턴을 고려하면 검색 요금도 수용 가능합니다.
Amazon S3 Standard는 밀리초 단위 접근을 제공하며 자주 접근하는 데이터에 적합하지만, 제시된 옵션 중 스토리지 비용이 가장 높습니다. 80 TB를 7년 보관하고 연 2회만 접근하는 경우 S3 Standard는 불필요하게 비쌉니다. 지연 시간 요구사항은 충족하지만 “가능한 한 가장 낮은 스토리지 비용” 요구사항을 충족하지 못합니다.
Amazon S3 Intelligent-Tiering은 사용량에 따라 객체를 자주/드물게 접근하는 tier 사이에서 자동으로 이동시키므로, 접근 패턴이 알 수 없거나 시간이 지나며 변할 때 유용합니다. 하지만 객체당 모니터링/자동화 요금이 포함되며, 명확히 예측 가능한 매우 드문 접근에는 항상 가장 저렴하지 않습니다. 밀리초 검색이 필요한 알려진 아카이브 용도에서는 Glacier Instant Retrieval이 일반적으로 더 비용 효율적입니다.
핵심 개념: 이 문제는 접근 패턴, 검색 지연 시간, 보관 기간, 비용 최적화를 기반으로 Amazon S3 storage class를 선택하는 능력을 평가합니다. 핵심 요구사항은 “밀리초 단위 검색”을 유지하면서, 거의 접근하지 않는(연 2회) 데이터를 7년 동안 보관하는 데 “가능한 한 가장 낮은 스토리지 비용”을 달성하는 것입니다. 정답이 맞는 이유: Amazon S3 Glacier Instant Retrieval은 장기간 보관되며 거의 접근하지 않는 데이터이지만, 요청 시 즉시(밀리초) 접근이 필요할 때를 위해 설계되었습니다. Glacier 계열의 낮은 스토리지 비용 특성을 제공하면서도, 다른 Glacier 옵션(예: Flexible Retrieval 또는 Deep Archive)에서 발생하는 수분~수시간의 복원 지연을 피할 수 있습니다. 감사 시에만 접근하는 규정 준수 PDF의 경우, 접근은 매우 드물지만 접근이 발생하면 감사인이 거의 실시간에 가까운 검색을 기대하므로 이 패턴에 정확히 부합합니다. 주요 AWS 기능: S3 Glacier Instant Retrieval은 밀리초 단위 검색, 높은 내구성(11 9s)을 제공하며, 표준 S3 APIs(GET/PUT/HEAD, lifecycle policies, IAM, bucket policies)와 통합됩니다. S3 Lifecycle rules를 사용해 수집 후 객체를 Glacier Instant Retrieval로 전환할 수 있고, 선택적으로 규정 준수 보관 제어를 위해 S3 Object Lock(WORM)을 적용할 수 있습니다. 비용 측면에서는 S3 Standard보다 낮은 스토리지 비용을 지불하고, 감사가 발생할 때 검색 요금이 부과되는데—연 2회 접근 패턴에서는 적절합니다. 흔한 오해: 많은 사람들이 S3 Intelligent-Tiering이 항상 알 수 없는 접근 패턴에 최선이라고 가정합니다. 하지만 Intelligent-Tiering은 객체당 모니터링/자동화 요금이 추가되며, 접근 빈도가 예측 불가능할 때 가장 가치가 큽니다. 여기서는 패턴이 명확히 “드문 접근”이므로, 일반적으로 Glacier class가 더 저렴합니다. 또 다른 오해는 성능을 위해 S3 Standard를 선택하는 것입니다. S3 Standard는 밀리초 접근을 제공하지만, 7년 아카이브에 대해 가장 낮은 스토리지 비용은 아닙니다. 시험 팁: “아카이브/수년 보관” + “드문 접근” + “밀리초 단위로 검색해야 함”을 보면 S3 Glacier Instant Retrieval을 떠올리세요. 반대로 “수분/수시간을 기다릴 수 있음”이라고 했다면 Glacier Flexible Retrieval 또는 Deep Archive가 후보가 됩니다. 항상 접근 빈도(드묾), 검색 시간 목표(밀리초), 비용 목표(지연 시간을 충족하는 범위 내 최저 스토리지 비용)를 매핑하세요.
이동 중에도 모든 문제를 풀고 싶으신가요?
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.
SOC 2 Type II 검토를 준비 중인 한 fintech 회사는 15분 이내에, 그리고 support case를 열지 않고, 외부 감사인에게 공유하기 위해 AWS에서 발행한 compliance report(예: ISO/IEC 27001 certificates 및 PCI DSS Attestation of Compliance v4.0)와 third-party attestation을 us-east-1, eu-west-1, ap-southeast-2에서 운영 중인 8개 business unit 전반에 걸쳐 다운로드해야 합니다. 이러한 문서를 필요 시 중앙에서 self-service 방식으로 온디맨드 제공하기 위해 어떤 AWS service를 사용해야 합니까?
AWS Artifact는 compliance documentation 및 audit artifacts를 위한 AWS의 셀프서비스 포털이므로 올바른 서비스입니다. 고객은 support case를 생성하지 않고도 ISO/IEC 27001 certificates, SOC reports, PCI DSS Attestation of Compliance documents를 포함한 AWS 발행 reports 및 certifications를 다운로드할 수 있습니다. 이는 외부 auditor를 위해 공식 compliance evidence에 빠르고 중앙 집중식으로 액세스해야 한다는 요구 사항을 직접적으로 충족합니다. 또한 액세스는 IAM 및 조직 거버넌스 제어를 통해 중앙에서 관리할 수 있으므로 여러 business units 전반에 걸쳐서도 적합합니다.
AWS Trusted Advisor는 cost optimization, performance, security, fault tolerance, service limits 전반에 걸쳐 실시간 가이드와 best-practice check를 제공합니다. security 관련 check를 포함하긴 하지만, 다운로드 가능한 AWS compliance report나 third-party attestation을 제공하지는 않습니다. AWS 환경의 posture를 개선하는 데 도움을 주지만, SOC 2/ISO/PCI 감사 문서를 위한 evidence repository는 아닙니다.
AWS Health Dashboard(Personal Health Dashboard 포함)는 AWS service health, planned maintenance, 그리고 리소스에 영향을 줄 수 있는 account-specific event에 대한 가시성을 제공합니다. 이는 운영 인지 및 incident management에 유용하지만, compliance certification, audit report, attestation을 조회하기 위한 용도가 아닙니다. 감사인을 위해 ISO certificate나 PCI DSS AoC를 다운로드하는 데 사용할 수 없습니다.
AWS Config는 AWS 리소스의 configuration 변경을 기록 및 평가하고 rule(managed 또는 custom)에 대해 compliance를 평가하여 drift를 탐지하고 governance를 강화할 수 있습니다. 자체 configuration의 control effectiveness 및 지속적 compliance를 입증하는 데 유용하지만, ISO/PCI 문서와 같은 AWS-issued compliance report나 third-party audit attestation을 배포하지는 않습니다.
핵심 개념: 이 문제는 감사에 필요한 공식 compliance 문서를 셀프서비스로 제공받는 데 사용되는 AWS 서비스를 아는지를 평가합니다. AWS Artifact는 고객이 ISO/IEC 27001 certificates, SOC reports, PCI DSS Attestation of Compliance documents와 같은 AWS 발행 compliance reports 및 certifications에 액세스하는 데 사용하는 포털입니다. 정답인 이유: AWS Artifact는 support case를 생성하지 않고도 compliance reports에 온디맨드 셀프서비스 방식으로 액세스할 수 있게 해주므로 올바른 선택입니다. 이는 외부 auditor를 위해 15분 이내에 문서를 확보해야 한다는 요구 사항과 직접적으로 일치합니다. 여러 business units와 Regions에 대한 언급은 혼동을 유도하는 요소이며, Artifact는 워크로드가 어디에서 실행되든 AWS compliance evidence를 검색하기 위한 중앙 집중식 서비스입니다. 주요 AWS 기능: AWS Artifact에는 AWS compliance reports 및 certifications를 포함하는 Artifact Reports와, 특정 legal agreements를 검토하고 수락할 수 있도록 지원하는 Artifact Agreements가 포함됩니다. 액세스는 IAM으로 제어할 수 있으므로 audit, risk, compliance 팀이 거버넌스가 적용된 방식으로 문서를 검색할 수 있습니다. 이는 특히 SOC, ISO, PCI와 같은 framework에 대한 audit readiness 및 evidence collection을 간소화하도록 설계되었습니다. 일반적인 오해: Trusted Advisor는 공식 compliance reports 저장소가 아닙니다. 이는 best-practice recommendations 및 checks를 제공합니다. AWS Health Dashboard는 service health 및 account events를 위한 것이며 audit evidence를 위한 것이 아닙니다. AWS Config는 고객 resource configurations의 compliance를 평가하는 데 도움이 되지만, AWS 발행 certifications 또는 attestation documents를 제공하지는 않습니다. 시험 팁: 문제에서 support case를 열지 않고 AWS compliance reports, certifications, SOC reports, ISO certificates 또는 PCI documents를 다운로드하는 내용이 언급되면 AWS Artifact를 떠올리세요. 문제가 규칙에 따라 자신의 resource configurations를 점검하는 것에 관한 것이라면 대신 AWS Config를 떠올리세요. 운영 권장 사항이나 장애에 관한 것이라면 각각 Trusted Advisor 또는 AWS Health를 떠올리세요.
한 핀테크 스타트업은 결제 API를 배포해야 하며, 모든 compute 및 storage가 U.S. Midwest 내에 유지되고 선택한 위치가 Ohio주 Columbus에서 500마일 이내여야 합니다. 또한 fully managed AWS services를 사용하고 해당 위치에서 최소 두 개의 격리된 fault domain을 제공해야 합니다. 이 요구 사항을 충족하기 위해 특정 지리적 위치(예: Ohio의 us-east-2)를 선택할 수 있도록 해주는 AWS global infrastructure의 기능은 무엇입니까?
확장성은 수요에 맞춰 리소스를 늘리거나 줄일 수 있는 능력(예: Auto Scaling, serverless scaling, 또는 managed database scaling)을 의미합니다. 결제 API에 중요하긴 하지만, 확장성은 워크로드가 지리적으로 어디에서 실행되는지를 결정하지 않습니다. 어떤 Region에서든 확장할 수 있지만, 확장성은 위치 및 상주 제약을 충족하기 위해 us-east-2 (Ohio)를 선택하게 해주는 AWS global infrastructure 기능이 아닙니다.
Global footprint는 Regions와 Availability Zones로 구성된 AWS의 전 세계적 존재를 의미합니다. 이는 고객이 지리적 근접성, 지연 시간, 데이터 상주 요구 사항을 충족하기 위해 us-east-2 (Ohio)와 같은 특정 Region을 선택할 수 있게 해주는 기능입니다. Region을 선택하면 서비스는 해당 Region 내에 배포되며, 이후 그 안에서 여러 AZ를 사용해 최소 두 개의 격리된 fault domain을 달성할 수 있습니다.
가용성은 장애 상황에서도 시스템이 계속 운영되도록 설계하는 것과 관련이 있으며, 일반적으로 여러 Availability Zones에 걸쳐 배포하고 Multi-AZ 기능을 가진 managed services를 사용하여 달성합니다. 시나리오에 두 개의 격리된 fault domain(AZs)이 필요하긴 하지만, 문제는 us-east-2 같은 지리적 위치를 선택하게 해주는 것이 무엇인지 구체적으로 묻고 있습니다. 그 선택은 “가용성” 자체가 아니라 Region/global footprint 개념입니다.
성능은 응답성과 낮은 지연 시간에 관한 것으로, 더 가까운 Region을 선택하거나 caching(CloudFront, ElastiCache)을 사용하거나 네트워킹을 최적화하여 개선되는 경우가 많습니다. 그러나 성능은 결과/이점이지, 특정 지리적 위치를 선택할 수 있는 능력을 제공하는 AWS 인프라 기능은 아닙니다. Ohio를 선택하는 메커니즘은 AWS global footprint에 의해 가능해지는 AWS Region 선택입니다.
핵심 개념: 이 문제는 AWS Global Infrastructure 개념인 Regions, Availability Zones (AZs), 그리고 AWS의 전 세계적 존재(“global footprint”)가 고객이 데이터 상주(data residency), 지연 시간(latency), 규제 요구 사항을 위해 특정 지리적 위치를 선택할 수 있게 해준다는 점을 이해하는지를 평가합니다. 정답이 맞는 이유: 요구 사항은 compute와 storage를 U.S. Midwest 내, 그리고 Ohio주 Columbus에서 500마일 이내에 유지하면서 fully managed services를 사용하고 최소 두 개의 격리된 fault domain을 제공하는 것입니다. us-east-2 (Ohio)와 같은 특정 지리적 위치를 선택할 수 있게 해주는 AWS의 기능은 AWS의 global footprint입니다. AWS는 전 세계에 여러 Regions를 운영하며, 고객은 리소스가 배포될 Region을 명시적으로 선택합니다. us-east-2 Region을 선택함으로써 스타트업은 해당 지리적 영역에서 서비스가 프로비저닝되도록 보장하여 상주/주권(residency/sovereignty) 및 근접성 제약을 충족할 수 있습니다. 주요 AWS 기능: 선택한 Region 내에서 AWS는 여러 Availability Zones를 제공하는데, 이는 전력, 냉각, 네트워킹이 독립적인 물리적으로 분리된 격리 fault domain입니다. us-east-2에서 최소 두 개의 AZ에 걸쳐 배포하면 동일한 지리적 Region 내에 머무르면서 “두 개의 격리된 fault domain” 요구 사항을 충족합니다. 많은 fully managed services(예: Amazon RDS Multi-AZ, Amazon DynamoDB, Amazon S3, AWS Lambda, Amazon API Gateway)는 Region 범위(Region-scoped)이며 Multi-AZ 복원력으로 구성할 수 있거나(또는 본질적으로 multi-AZ) 고가용성 및 fault isolation 모범 사례에 부합합니다. 흔한 오해: “가용성”은 AZ가 fault isolation을 제공하므로 정답처럼 보일 수 있지만, 이 문제는 특정 지리적 위치(Region)를 선택하게 해주는 것이 무엇인지 묻고 있으며, 그 안에서 중복성을 달성하는 방법을 묻는 것이 아닙니다. “성능”과 “확장성”은 AWS 인프라의 이점이지만, 지리적 배포 위치를 선택하는 메커니즘을 설명하지는 않습니다. 시험 팁: us-east-2 같은 위치 선택이 언급되면 “Region”과 AWS global footprint를 떠올리십시오. “두 개의 격리된 fault domain”이 언급되면 Region 내의 “Availability Zones”를 떠올리십시오. 상주/주권 제약의 경우 기본 제어는 Region 선택이며, 해당 Region 내부의 복원력은 Multi-AZ 설계와 AZ 중복을 지원하는 managed services를 사용해 달성합니다. 참고: AWS Global Infrastructure 문서(Regions 및 Availability Zones)와 AWS Well-Architected Reliability pillar(fault isolation 및 multi-AZ 설계).
온라인 티켓팅 스타트업이 평상시에는 분당 800건의 요청이 들어오다가, 대형 콘서트 티켓 판매가 시작되면 90분 동안 분당 24,000건의 요청으로 트래픽이 급증하는 것을 확인했습니다. 이들은 과도하게 구매하지 않고 필요한 만큼만 프로비저닝할 수 있도록 플랫폼이 실시간으로 자동으로 compute capacity를 추가하고 제거하길 원합니다. 이 요구 사항을 충족하는 cloud computing의 이점은 무엇입니까?
“Go global in minutes”는 전 세계 여러 AWS Regions에 애플리케이션을 빠르게 배포(예: Route 53, CloudFront, multi-Region architectures 사용)하여 latency를 줄이고 글로벌 availability를 개선하는 것을 의미합니다. 이 시나리오는 지리적 확장이 아니라, compute를 자동으로 확장/축소하여 단기간 수요 스파이크를 처리하는 것이 핵심입니다. 따라서 이 옵션은 설명된 요구 사항을 가장 잘 충족하지 않습니다.
“Stop guessing capacity”는 가변 수요를 충족하기 위해 자동으로 실시간 scaling을 수행하는 요구 사항과 직접적으로 일치하는 cloud advantage입니다. EC2 Auto Scaling, ALB의 request 기반 scaling, ECS/Fargate scaling, 또는 Lambda의 내재적 scaling 같은 서비스를 통해 90분간의 급증 구간에는 capacity를 추가하고 이후에는 제거할 수 있습니다. 이는 피크에 맞춰 과다 프로비저닝하는 것과 스파이크 동안 과소 프로비저닝하는 것을 모두 방지하여, 실제 사용량에 맞게 capacity를 정렬합니다.
“Benefit from massive economies of scale”는 AWS가 대규모로 인프라를 구매하고 비용을 많은 고객에게 분산하기 때문에 더 낮은 가격을 제공할 수 있다는 의미입니다. 이는 전체 비용을 줄일 수는 있지만, 수요에 따라 compute capacity를 자동으로 추가/제거하는 운영적 기능을 구체적으로 설명하지는 않습니다. 이 문제는 elasticity와 right-sizing에 관한 것이지, AWS의 구매력과 단가 절감에 관한 것이 아닙니다.
“Trade fixed expense for variable expense”는 upfront capital expenditures(서버 구매)에서 pay-as-you-go operational expenses로 이동하는 것을 설명합니다. 이는 비용 최적화와 관련이 있지만, 문제는 capacity를 과다 구매하지 않기 위해 실시간으로 자동 scaling하는 것을 강조합니다. 동적 scaling과 right-sizing에 더 정확히 해당하는 이점은 CapEx-to-OpEx 전환이 아니라 “Stop guessing capacity”입니다.
핵심 개념 - 이 문제는 AWS Cloud의 가치 제안 중 elasticity와 capacity를 동적으로 right-size할 수 있는 능력을 테스트합니다. AWS 시험 용어로는 일반적으로 “Stop guessing capacity”로 표현되는 cloud advantage에 해당하며, 이는 예측과 과다 프로비저닝에 의존하는 대신 실제 수요에 따라 리소스를 확장/축소하는 것을 의미합니다. 정답인 이유 - 이 스타트업은 매우 가변적이고 스파이크 형태의 트래픽(분당 800에서 24,000으로, 짧은 90분 구간)을 겪습니다. 이들은 필요한 만큼만 프로비저닝하기 위해 compute capacity가 실시간으로 자동 추가/제거되길 원합니다. 이는 바로 “stop guessing capacity” 이점에 해당합니다. elastic services를 사용해 수요에 맞춰 공급을 조정할 수 있으므로, 성능 리스크(과소 프로비저닝)와 낭비(과다 프로비저닝)를 모두 줄일 수 있습니다. 주요 AWS 기능 - 실제로 이 요구 사항은 보통 Amazon EC2 Auto Scaling(대개 Elastic Load Balancer 뒤에 배치)으로 구현하며, CPU utilization, request count per target (ALB), 또는 custom Amazon CloudWatch metrics 같은 지표 기반 scaling policies를 사용합니다. 또는 AWS Lambda 같은 serverless 옵션이나 Amazon ECS/Fargate 같은 container 플랫폼도 자동으로 확장할 수 있습니다. 아키텍처 원칙은 monitoring과 automation(CloudWatch alarms, target tracking, 알려진 이벤트에 대한 scheduled scaling)과 결합된 elasticity(scale out/in)입니다. 흔한 오해 - “Trade fixed expense for variable expense”는 CapEx에서 OpEx로 전환하고 pay-as-you-go billing을 사용하는 것에 관한 내용입니다. 관련은 있지만, 이 문제는 실시간 자동 scaling과 capacity 과다 구매 방지에 초점을 두므로 더 직접적으로는 “stop guessing capacity”가 맞습니다. “Benefit from massive economies of scale”는 집계된 수요로 인해 AWS가 더 낮은 단가를 제공할 수 있다는 의미이지, 동적 scaling을 의미하지는 않습니다. “Go global in minutes”는 글로벌 인프라를 활용한 빠른 지리적 확장에 관한 것으로, 단기간 수요 스파이크 처리와는 다릅니다. 시험 팁 - “traffic surge”, “automatically add and remove capacity”, “real time”, “only what is needed” 같은 키워드가 보이면 elasticity와 Auto Scaling을 떠올리고, 이를 cloud advantage “Stop guessing capacity”에 매핑하세요. 반대로 예산/CapEx vs OpEx에 초점이 있다면 보통 “Trade fixed expense for variable expense”가 가장 적절한 선택입니다.
단일 AWS Organizations 구성 아래 12개의 AWS 계정을 보유한 한 엔지니어링 회사는 350명의 직원에 대해 로그인과 계정별 permission set을 중앙에서 관리해야 합니다. 사용자가 각 계정에 IAM user를 생성하지 않고도 single sign-on으로 여러 계정에 액세스할 수 있어야 합니다. 이 요구 사항을 충족하기 위해 회사는 어떤 AWS 서비스 또는 기능을 사용해야 합니까?
AWS IAM Access Analyzer는 IAM policy, resource policy, access path를 분석하여 AWS 리소스에 대한 의도치 않은 액세스를 식별하는 데 도움을 줍니다. 이는 security posture management(예: 공개적으로 액세스 가능한 S3 bucket 또는 cross-account access 탐지)에 사용됩니다. workforce single sign-on, user portal, 또는 여러 AWS 계정에 걸친 중앙 permission set 할당 기능을 제공하지 않으므로, 중앙 로그인 및 계정 액세스 관리 요구 사항을 충족할 수 없습니다.
AWS Secrets Manager는 database credential, API key 등과 같은 secret을 저장, 관리, rotation하도록 설계되었습니다. IAM을 통한 세분화된 access control을 지원하긴 하지만, identity provider가 아니며 SSO, user lifecycle management, 또는 여러 AWS 계정에 걸친 permission set을 제공하지 않습니다. 여러 AWS 계정에 대한 직원 로그인 관리를 중앙에서 수행하는 것과는 관련이 없습니다.
AWS IAM Identity Center는 AWS Organizations 환경에서 여러 AWS 계정 전반의 workforce access를 중앙에서 관리하기 위한 올바른 서비스입니다. single sign-on 포털을 제공하고, 관리자가 계정별로 사용자/그룹에 permission set을 생성하여 할당할 수 있으며, 각 member account에 해당 IAM role을 자동으로 프로비저닝합니다. 이를 통해 각 계정에 IAM user를 생성하지 않고도 수백 명의 직원에 대해 확장 가능하고 중앙 집중식 access management를 구현할 수 있습니다.
AWS STS는 federation, role assumption, cross-account access에 사용되는 temporary security credential을 발급합니다. IAM Identity Center 및 많은 federation 패턴이 내부적으로 STS에 의존하긴 하지만, STS 자체만으로는 중앙 user portal, directory 통합, 또는 여기서 요구되는 permission set 관리 모델을 제공하지 않습니다. 명시된 SSO 및 중앙 관리 요구를 충족하려면 여전히 IAM Identity Center 같은 identity management 계층이 필요합니다.
핵심 개념: 이 문제는 AWS Organizations 내 여러 AWS 계정 전반에서 workforce identity 및 access management를 중앙에서 수행하는 것을 테스트하며, 특히 각 계정에 IAM user를 생성하지 않고 single sign-on(SSO)을 활성화하고 계정별 permission set을 관리하는 요구 사항을 다룹니다. 정답이 맞는 이유: AWS IAM Identity Center(이전 AWS SSO)는 여러 AWS 계정과 애플리케이션에 대한 사용자 액세스를 중앙에서 관리하도록 목적에 맞게 설계되었습니다. IAM Identity Center를 AWS Organizations와 통합하면 관리자는 특정 member account에 대해 사용자 및 그룹에 permission set(IAM policy의 모음)을 생성하고 할당할 수 있습니다. 사용자는 IAM Identity Center 포털에 한 번만 로그인한 뒤 role-based access를 통해 여러 계정에 액세스할 수 있으므로, 각 계정에 IAM user를 프로비저닝할 필요가 없습니다. 주요 AWS 기능: IAM Identity Center는 중앙 directory를 제공하거나(SAML 2.0을 통해 Azure AD/Okta 같은 외부 IdP에 연결 가능), SSO를 위한 user portal과 target account에 자동으로 IAM role로 프로비저닝되는 permission set을 제공합니다. 또한 세분화된 할당(user/group + permission set + account), session duration 제어, MFA 통합(identity source에 따라 다름), AWS CloudTrail을 통한 중앙 감사 기능을 지원합니다. 이는 AWS Well-Architected Security Pillar의 모범 사례(연동(federation) 사용, least privilege, 중앙 집중식 identity management)와 일치합니다. 흔한 오해: AWS STS는 “temporary credentials” 및 cross-account access와 자주 연관되지만, STS는 구성 요소(building block)일 뿐 중앙 SSO 및 permission-set 관리 솔루션은 아닙니다. Access Analyzer는 resource access 및 policy 분석을 위한 것이지 사용자 로그인용이 아닙니다. Secrets Manager는 secret을 저장하고 rotation하는 서비스로, workforce SSO를 관리하지 않습니다. 시험 팁: “multiple accounts”, “AWS Organizations”, “central management”, “permission sets”, “single sign-on without IAM users”가 보이면, 시험에서는 거의 항상 IAM Identity Center를 가리킵니다. 용어를 기억하세요: permission set은 IAM Identity Center의 구성 요소이며 각 계정에서 IAM role로 생성됩니다. 문제가 외부 기업 directory를 언급한다면, IAM Identity Center + 외부 IdP 통합을 떠올리면 됩니다.
한 소매 회사는 본사 대역 198.51.100.0/24 및 파트너 VPN 대역 203.0.113.16/28에서의 웹 액세스를 허용해야 하며, 액세스 규칙을 구성할 때 CIDR 표기법을 사용하여 이러한 대역을 직접 지정하려고 합니다. IP 주소 범위를 CIDR block 형식으로 입력할 수 있도록 지원하는 AWS 네트워크 서비스 또는 기능은 무엇입니까? (두 개 선택)
정답입니다. Security groups는 ENIs/instances에 연결되는 가상 방화벽이며, source/destination을 IPv4 또는 IPv6 CIDR block(예: 198.51.100.0/24)으로 지정할 수 있는 inbound/outbound rules를 지원합니다. stateful이므로 반환 트래픽이 자동으로 허용됩니다. Security groups는 본사 또는 파트너 IP 대역이 80/443 같은 웹 포트에 접근하도록 허용하는 가장 일반적인 방법입니다.
오답입니다. AMI는 EC2 instances를 시작하기 위한 이미지 템플릿(OS + 소프트웨어 구성)입니다. 네트워크 액세스 제어 또는 규칙 구성을 제공하지 않으며 CIDR 표기법의 IP 범위를 허용하는 개념이 없습니다. 네트워크 액세스는 security groups, NACLs, routing, 그리고 선택적으로 WAF/Firewall Manager로 제어되며 AMI로 제어하지 않습니다.
정답입니다. Network ACLs는 subnet 경계에서 동작하며 protocol, port range, source/destination CIDR blocks를 기반으로 트래픽을 명시적으로 allow 또는 deny하는 순서가 있는 규칙을 사용합니다. NACLs는 stateless이므로(ephemeral ports 포함) 트래픽의 양방향을 모두 고려해야 합니다. subnet 전체 제한 및 명시적 deny 요구 사항에 유용합니다.
오답입니다. AWS Budgets는 비용 관리 서비스로, 지출 또는 사용량에 대한 예산 임계값과 알림을 설정하는 데 사용됩니다. 네트워크 액세스 규칙을 구성하지 않으며 트래픽 필터링을 위한 CIDR blocks를 받지 않습니다. Budgets의 “rules”는 알림 및 예산 조건과 관련된 것이지 IP 기반 액세스 제어가 아닙니다.
오답입니다. Amazon EBS는 EC2를 위한 block storage volumes를 제공합니다. EBS에 대한 액세스는 instances에 대한 attachment 및 API 작업에 대한 IAM permissions로 제어되며, 네트워크 CIDR 기반 규칙으로 제어되지 않습니다. EBS는 encryption, snapshots, policies를 지원하지만 특정 CIDR 대역에서의 inbound 웹 액세스를 허용/거부하는 기능은 제공하지 않습니다.
핵심 개념: 이 문제는 CIDR 표기법의 IP 범위를 사용하여 허용/거부 트래픽 소스를 정의할 수 있는 AWS 네트워킹 제어가 무엇인지 평가합니다. AWS에서 VPC 수준의 IP 기반 필터링을 위한 주요 구성 요소는 security groups(상태 저장, instance/ENI 수준)와 network ACLs(비상태 저장, subnet 수준)입니다. 둘 다 198.51.100.0/24 및 203.0.113.16/28과 같은 CIDR blocks를 허용합니다. 정답이 맞는 이유: Security groups는 IPv4 CIDR blocks 및 IPv6 CIDR blocks를 사용하여 소스(inbound rules)와 대상(outbound rules)을 지정할 수 있습니다. 예를 들어, 규칙의 source 필드에 198.51.100.0/24 및 203.0.113.16/28에서의 TCP/443을 직접 허용할 수 있습니다. Network ACLs도 CIDR 기반 규칙을 지원합니다. rule number, protocol/port range, source/destination CIDR로 allow/deny 항목을 생성할 수 있습니다. 이는 security groups가 지원하지 않는 명시적 deny를 포함하여 subnet 전체 제어에 흔히 사용됩니다. 주요 AWS 기능 / 모범 사례: - Security groups는 stateful입니다. 반환 트래픽이 자동으로 허용되므로 일반적인 웹 액세스 패턴에서 규칙 복잡도가 줄어듭니다. - Network ACLs는 stateless입니다. 필요 시 inbound와 outbound 모두(반환 트래픽을 위한 ephemeral ports 포함)를 허용해야 합니다. - 대부분의 워크로드 액세스 제어에는 security groups를 선호하고, 광범위한 subnet 가드레일, 명시적 deny, 또는 규정 준수 기반 subnet 경계에는 NACLs를 사용합니다. - 둘 다(해당되는 경우) 다른 security groups(SG만) 및 prefix lists 참조를 지원하지만, 이 문제는 CIDR 표기법 입력을 구체적으로 묻고 있습니다. 흔한 오해: 일부 응시자는 IAM policies 또는 WAF를 CIDR 입력과 혼동합니다. AWS WAF도 CIDR이 포함된 IP sets를 지원하지만, 여기서는 선택지에 없습니다. 또한 AMI나 EBS에 “access rules”가 있다고 생각할 수 있으나, 이들은 네트워크 계층의 CIDR 필터링을 제공하지 않습니다. 시험 팁: “configure access rules”와 “CIDR block format”이 보이면 VPC 트래픽 필터링을 떠올리세요: Security Groups(instance/ENI)와 Network ACLs(subnet). 핵심 차이: SG = stateful allow rules, NACL = stateless allow/deny 및 순서가 있는 rule numbers. 이를 통해 객관식에서 네트워킹이 아닌 서비스를 빠르게 제거할 수 있습니다.
학습 기간: 2 months
기초만 따로 공부하고 무한으로 문제 돌렸습니다. 믿을만한 앱임
학습 기간: 2 months
I have very similar questions on my exam, and some of them were nearly identical to the original questions.
학습 기간: 2 months
다음에 또 이용할게요
학습 기간: 2 months
Would vouch for this practice questions!!!
학습 기간: 1 month
도메인별 문제들이 잘 구성되어 있어서 좋았고, 강의만 듣고 시험보기엔 불안했는데 잘 이용했네요
Cloud Pass를 다운로드하고 모든 AWS Certified Cloud Practitioner (CLF-C02) 학습 문제를 무료로 이용하세요.
이동 중에도 모든 문제를 풀고 싶으신가요?
무료 앱 받기
Cloud Pass를 무료로 다운로드하세요 — 모의고사, 학습 진도 추적 등을 제공합니다.