728x90
반응형
공동 책임 모델
- 고객의 책임
- RDS 사용하는 동안: 보안 그룹을 통한 네트워크 액세스 제어
- aws관리형 서비스를 사용하는 동안: 고객 데이터 관리
- Lambda 기능을 관리하는 동안: Lambda함수 버전 생성, 코드 암호화
- 공통: Amazon EC2 데이터 베이스 인스턴스용 운영 체제 보안 패치 설치
- aws의 책임
- RDS 사용하는 동안: 기본 운영 체제의 패치 및 유지 관리, 데이터베이스의 자동 백업 관리, 하드웨어 오류 발생시 실패한 인스턴스 교체
- aws관리형 서비스를 사용하는 동안: 데이터 센터의 물리적 보안, 운영 체제 패치
- AWS에서 웹 애플리케이션을 실행하는 동안: IP 스푸핑 및 패킷 스니핑으로부터 보호, RDS 인스턴스에 최신 보안 패치 설치
- 공통: Xen 및 KVM 하이퍼바이저용 보안 패치 설치, Amazon DynamoDB용 운영 체제 패치 설치, Amazon RDS 데이터 베이스 인스턴스용 운영 체제 보안 패치 설치
- 상속된 제어항목 - 고객이 aws로부터 전적으로 상속받는 제어 항목
- 물리적 및 환경 제어 항목
- 공유된 제어항목 - 인프라 계층과 고객 계층에 모두 적용되지만, 컨텍스트 또는 관점이 완벽하게 구분되는 제어 항목. 공유된 제어에서는 AWS는 인프라에 대한 요구 사항을 제공하고 고객은 자사의 AWS 서비스 사용 내에서 자체적인 제어 구현을 제공해야함
- 패치관리
- 구성관리
- 인지 및 교육
- 고객 특정 - 고객이 aws서비스 내에서 배포하는 애플리케이션에 따라 전적으로 고객의 책임인 제어 항목
- 고객이 특정 보안 환경 내에서 데이터를 라우팅하거나 영역을 지정해야 할 수 있는 서비스 및 통신 보호 또는 영역 보안
AWS Config
- AWS 리소스의 구성을 평가, 감사
- AWS 리소스 구성을 지속적으로 모니터링하고 기록하며, 이를 통해 원하는 구성에 대해 기록된 구성 평가를 자동화 할 수 있음
- AWS 리소스 간의 관계 및 구성 변경 사항을 검토하고, 자세한 리소스 구성 기록을 살펴보고, 내부 지침에 지정된 구성에 대한 전반적인 규정 준수를 결정할 수 있음
- 규정 준수 감사, 보안 분석, 변경 관리 및 운영 문제 해결을 단순화할 수 있음
TCO(총 소유 비용)
- AWS 워크로드용 클라우드 모델 개발할 때 : 비용계산, 보관비용, 데이터 전송 비용 고려
- AWS TCO(총 소유비용) 계산기 : 고객에게 온프레미스에서 AWS로의 마이그레이션과 관련된 잠재적인 비용 절감에 대한 조언 제공
특성
- 고가용성 : Auto Scaling, 여러 가용 영역에 분산된 리소스
- 탄력성 : 수요 변화에 따라 리소스 규모를 조정하는 능력, 필요할 때 자원을 얼마나 쉽게 생산할 수 있는지, 할당된 리소스를 주어진 시점에 필요한 실제 리소스 양과 일치시키는 것
- 민첩성 : Amazon EC2 인스턴스(인프라보다는 인스턴스에 집중)를 얼마나 빨리 다시 시작할 수 있는지, 개발자가 IT 리소스를 사용할 수 있도록 하는 데 필요한 시간 단축을 통해 혁신을 지원하는 능력
- 내결함성 : 애플리케이션 구성요소의 내장 중복성
- 확장성 : 변화하는 수요를 충족하기 위해 애플리케이션을 확장 및 축소할 수 있는 고객의 유연성과 관련
서버리스 플랫폼
- AWS 람다, Amazon S3, DynamoDB, API 게이트웨이, Amazon SNS, AWS 단계 함수, Amazon kinesis 및 개발 도구 및 서비스
AWS Quick Start
- 보안 및 고가용성을 위한 AWS 모범 사례를 기반으로 AWS에서 인기 있는 기술을 배포할 수 있도록 AWS 솔루션 설계자와 파트너가 구축했음
- 이 엑셀러레이터는 수백 개의 수동 절차를 단 몇 단계로 줄여 프로덕션 환경을 신속하게 구축하고 즉시 사용 가능
AWS WorkLink
- Amazon WorkLink는 직원이 휴대폰을 사용하여 내부 기업 웹 사이트 및 웹 앱에 안전하고 쉽게 액세스할 수 있도록 하는 완전 관리형 서비스
AWS CodeDeploy
- 조직에서 애플리케이션 변경 사항 전달을 자동화할 수 있는 AWS 서비스
Amazon Athena
- 표준 SQL을 사용하여 Amazon S3에서 직접 데이터를 쉽게 분석할 수 있도록 하는 대화형 쿼리 서비스
- Amazon S3 데이터에 대한 일회성 쿼리를 신속하게 수행
- CSV, Parquet JSON 등을 포함한 다양한 파일 형식을 쿼리할 수 있음
AWS 엑스레이
- 분산 애플리케이션을 종단 간 모니터링 및 디버그할 수 있는 서비스
AWS Transit Gateway
- 온프레미스 네트워크를 별도의 AWS 리전에 있는 수많은 VPC에 연결하는 가장 효과적인 접근 방식
AWS OpsWorks
- Chef 및 Puppet을 사용하여 Amazon EC2 인스턴스 또는 온프레미스 컴퓨팅 환경에서 서버를 구성, 배포 및 관리하는 방법을 자동화
Amazon Rekognition
- Rekognition Image는 물체, 장면 및 얼굴을 감지하는 이미지 인식 서비스
- 사진에 나타나는 객체를 자동으로 감지
- 텍스트 추출, 유명인 인식, 이미지에서 부적절한 콘텐츠를 식별, 얼굴 검색 및 비교
AWS CodeCommit
- 클라우드에서 자산(문서, 소스 코드, 바이너리 파일 등)을 비공개로 저장하고 관리하는 데 사용할 수 있는 Amazon Web Services에서 호스팅하는 버전 제어 서비스
- 주요 목표 : 소프트웨어 버전 관리
AWS Control Tower
- 안전하고 잘 설계되어 즉시 사용할 수 있는 새로운 다중 계정 AWS 환경을 신속하게 설정하고 관리할 수 있는 AWS 솔루션
비용할당태그
- 많은 앱을 단일 계정으로 통합하고 개별 애플리케이션에서 지불한 AWS 클라우드 요금을 세부적으로 추적하기 위해 생성
아마존 메이시
- Amazon S3에 저장된 민감한 데이터를 자동으로 찾고 분류하고 보호하는 서비스
아마존 지식 센터
- 자주 묻는 결제 질문에 대해 고객에게 조언을 제공하는 서비스
AWS 코드 파이프라인
- 애플리케이션을 배포하는 데 사용할 수 있는 서비스
Cognito
- IdP(Identity Provider)로 사용하여 애플리케이션에 대한 사용자 및 자격 증명을 안전하게 저장 및 유지 관리하거나 OpenID Connect, SAML 및 Amazon.com과 같은 기타 인기 있는 웹 자격 증명 공급자와 통합 → 계정 로그온 보안 강화
Amazon EMR
- 동적으로 확장 가능한 Amazon EC2 인스턴스에 간단하고 빠르고 비용 효율적으로 방대한 양의 데이터를 처리할 수 있는 AWS 관리형 Hadoop 프레임 워크
Amazon 머신 이미지(AMI)
- 이미 구성된 Amazon EC2 인스턴스를 배포할 수 있는 기능
AWS 스토리지 게이트웨이
- 온프레미스 애플리케이션을 AWS 클라우드 스토리지와 손쉽게 통합할 수 있는 AWS 하이브리드 스토리지 오퍼링
VPC 엔드포인트
- 인터넷 연결 없이 Amazon EC2 인스턴스에서 Amazon S3버킷에 안전하게 액세스 하기 위해 사용해야하는 전략
Amazon Polly
- 텍스트를 자연스러운 음성으로 변환할 수 있는 AWS 서비스
AWS 보안 허브
- AWS 서비스의 보안 경고 및 결과를 통합, 구성 및 우선 순위 지정
Amazon connect
- 고객 서비스를 향상 시키기 위해 회사가 지원 직원이 받는 증가하는 전화를 처리할 수 있는 전화 번호를 설정하려고 할 때 사용
AWS 보안 게시판
- AWS 보안 발표를 최신 상태로 유지하는 데 가장 효과적인 리소스
기타
- 고객이 AWS 클라우드로 마이그레이션하여 운영 체제 패치에 소비하는 시간을 최소화하려면 → AWS에서 관리형 서비스 활용, AWS Systems Manager 기능 활용
- AWS 계정에 대한 루트 사용자 자격 증명이 필요한 작업 → AWS Support 플랜 변경, IAM 사용자에게 전체 관리 액세스 권한 부여
- 클라우드 기반 애플리케이션의 평가에 도움되는 것 → AWS 전문 서비스, AWS 파트너 네트워크(APN)
- Amazon EC2 인스턴스에서 기업이 다양한 관계형 데이터베이스 설치, 매달 데이터베이스 소프트웨어 제조업체는 배포해야하는 데이터베이스에 대한 새로운 보안 업데이트 게시, 이 때 보안 패치를 적용하는 가장 효과적인 방법 → AWS Systems Manager를 사용하여 일정에 따라 데이터베이스 패치 자동화
- 다중 가용 영역 모드에서 Amazon RDS 인스턴스를 구축할 때 따르는 아키텍처 개념 → 실패를 위한 디자인
- 기업이 Amazon EC2에 대한 수신 액세스를 제한하여 보안 및 감사태세를 강화하고자 함, 조직에서 인스턴스에 원격으로 액세스하기 위해 들어오는 SSH 포트를 열고 SSH 키를 처리하는 대신 사용해야 하는 것 → AWS 시스템 관리자 세션 관리자
- 비즈니스에 AWS 플랫폼에서 호스팅되거나 연결된 소프트웨어 솔루션이 필요, 독립 소프트웨어 제공업체와 관리 및 보안 공급업체는 솔루션을 제공해야할 때 → AWS 파트너 네트워크(APN) 컨설팅 파트너
- Amazon EC2 인스턴스에서 배치 작업을 완료하는데 5시간 소요, 매월 처리할 데이터의 양은 2배, 처리시간은 그에 비례, 이러한 증가하는 수요를 충족하려면 → 여러 EC2 인스턴스에 애플리케이션을 배포하고 워크로드를 병렬로 실행
- Amazon EC2 인스턴스에서 비즈니스는 애플리케이션을 호스팅, Amazon S3 alc Amazon DynamoDB를 비롯한 여러 AWS 리소스는 EC2 인스턴스에 필요, 권한을 위임하는 가장 최적의 방법 → 필요한 권한이 있는 IAM 역할 생성, 역할을 EC2 인스턴스에 연결
- 부서별 요금을 도출하는 데 사용할 수 있는 기술 → 부서별로 별도의 계정 생성, 태그를 사용하여 각 인스턴스를 특정 부서와 연결
- 상승하는 컴퓨팅 시작 비용 효과적으로 절감하려면 → 사용량이 많은 경우 주문형 리소스 제공
- 기업에 온프레미스에서 사용 가능한 용량을 능가하는 상당한 파일 스토리지 요구 사항이 있는 집중된 사용자 그룹이 있음, 조직은 로컬 콘텐츠 공유와 관련된 성능 이점을 유지하면서 이 그룹에 대한 파일 저장 용량을 확장하고자 할 때 가장 운영적으로 효과적인 AWS 옵션 → AWS Storage Gateway 파일 게이트웨이를 구성하고 배포, 각 사용자의 워크 스테이션을 파일 게이트웨이에 연결
- 강사 주도 환경에서 클라우드 보안에 대해 배우고자 하는 고객에게 제공하는 기회 → AWS 온라인 테크 토크, AWS 강의식 교육
- 기업이 프로덕션 워크로드를 AWS 클라우드로 전환하기로 결정, 마이그레이션과 관련된 운영 비용을 줄이는 데 도움이 되는 것 → 초과 프로비저닝 된 인스턴스 줄임, 관리 서비스 사용
- 클라이언트가 AWS에서 침투 테스트를 수행하는 동안 수행해야 하는 절차 → AWS 지원의 승인을 요청하고 기다린 후 테스트 수행
- 기업이 AWS 자격증명이 필요한 개발자 모집, 따라야 하는 보안 모범 사례 → 작업을 수행하는데 필요한 AWS 리소스에만 개발자 액세스 권한 부여, 계정 암호 정책에 최소 길이가 필요한지 확인
- AWS 사이트 간 VPN 연결을 성공적으로 구성하기 위해 필요한 것 → Transit gateway, Virtual private gateway
- AWS가 제공하는 보안 관련 서비스 → AWS Trusted Advisor 보안 검사, 데이터 암호화
- AWS 계정에 프로그래밍 방식으로 액세스하려면 자격 증명의 필요한 구성요소 → 액세스 키 ID, 비밀 액세스 키
- 기존 데이터 센터에서 자산을 관리하는 것보다 AWS 자산관리가 더 간단한 이유 → AWS는 고객을 대신하여 인프라 검색 스캔을 수행함
- 비즈니스가 두 개의 Amazon EC2 인스턴스가 가능한 한 통신 지연이 가장 낮은 서로 다른 데이터 센터에 있는지 확인해야 함 → 전용 대역폭을 위해 두 EC2 인스턴스를 배치 그룹에 배치함
- 한 비즈니스가 온프레미스 데이터 센터에서 AWS 클라우드로 이동하는 과정에 있으며 실제 지원을 찾고 있음 → AWS Professional Services를 사용하여 지침을 제공하고 회사의 AWS 계정에 AWS Landing Zone을 설정, AWS 파트너 네트워크(APN)에서 마이그레이션을 지원할 파트너 선택
- 전역적으로 중복 데이터베이스를 생성할 수 있는 Amazon RDS 기능 → 교차 리전 읽기 전용 복제본
- 비즈니스에 회사의 모든 인프라는 이제 호주의 아시아 태평양(시드니) 지역에서 제공되므로 브라질 소비자에게 과도한 지연이 발생, 대기 시간을 최소화 하기 위해 기업이 해야하는 것 → 브라질 남아메리카(상파울루) 지역에 자원 공급
- 다운 타임이 가장 짧은 재해 복구 시나리오 → 다중 사이트 활성-활성
- Amazon S3 버킷에 기밀 데이터를 저장할 때 → 데이터에 대해 미사용 데이터 암호화를 활성화
- 소매업체가 새로운 전자상거래 플랫폼을 위한 접근성 높은 아키텍처 개발하는 책임을 지고 있고, 조직은 다양한 가용 영역에서 데이터 복제를 허용하는 유일한 AWS 제품을 사용 → Amazon Aurora, Amazon DynamoDB
- 다국적 기업에서 간단한 시간 추적 스마트폰 애플리케이션 개발, 응용 프로그램은 전역적으로 액세스할 수 있어야 하며 수집된 데이터를 데이터 베이스에 저장해야함, 데이터는 사용자에게 가장 가까운 AWS리전에서 사용할 수 있어야 함, 가능한 한 최소한의 운영 오버헤드로 충족되도록 하려면→ Amazon DynamoDB 전역테이블 사용
- Amazon DynamoDB는 기업에서 AWS 클라우드 아키텍처로 사용, AWS 공동 책임 모델에 따른 조직의 의무 → IAM 도구로 적절한 권한 적용, DynamoDB 엔드포인트 생성
- 보안상의 이유로 비즈니스가 AWS 내부에 격리된 환경을 요구할 때 → 리소스를 호스팅할 별도의 VPC 생성
- 기업이 원격 근무자에게 안전한 네트워크 연결을 통해 관리되는 Windows가상 데스크톱 및 프로그램을 제공하고자 할 때 → Amazon WorkSpaces, AWS 사이트 간 VPN
출처
덤프 문제 해설 https://www.examtopics.com/exams/amazon/aws-certified-cloud-practitioner/view/
728x90
반응형
