AWS Certified Cloud Practitioner 클라우드 자격증 실전 문제를 활용한 준비-[2]

AWS Certified Cloud Practitioner 클라우드 자격증 실전 문제를 활용한 준비-[2]

AWS Support

Q. You have AWS Basic support, and you have discovered that some AWS resources are being used maliciously, and those resources could potentially compromise your data. What should you do?

A. Contact the AWS Abuse team

AWS 자원에서 악성 공격이나 가지고 있는 데이터에 잠재적으로 침입할 가능성이 있다면 어떻게 해야 될 지입니다.

다음의 취약점이나 악성 공격에 대해서 AWS Abuse Team에 연락을 통해 해결을 할 수 있습니다.

1) 스팸(spam): AWS 소유의 IP 주소로부터 원치 않는 이메일 받는 경우

2) 포트(port) 스캔: AWS 소유의 IP 주소에서 서버의 여러 포트로부터 패킷을 전송하거나 보안되지 않는 포트를 접속을 시도할 경우

3) 서비스 거부 공격(DoS) AWS 소유의 IP 주소에서 DDoS 공격을 시도하려는 경우

4) 침입(Intrusion) 시도

5) 맬웨어(Malware) 배포

AWS Secruity Team은 AWS에서 제공하는 서비스의 보안을 담당합니다. 

Q. A company has an AWS Enterprise Support plan. They want quick and efficient guidance with their billing and account inquiries. Which of the following should the company use?

A. AWS Support Concierge

한 회사에서 기업용 AWS Enterprise Support plan을 가지고 있는데 과금과 계좌 문의에 대해 효율적으로 정보를 얻고 싶을 때 AWS Support Concierge팀에게 문의를 하면됩니다. 24x7 언제나 문의가 가능하며 과금 할당 및 레포팅, 계좌 통합이나 보안 업무를 담당합니다.

Q. ​ A company is introducing a new product to their customers, and is expecting a surge in traffic to their web application. As part of their Enterprise Support plan, which of the following provides the company with architectural and scaling guidance?

A. Infrastructure Event Management

회사에서 새로운 서비스 출시하려고 하는데 웹 애플리케이션에 과도한 트래픽이 예상됩니다. AWS 기업용 Enterprise support plane 중에서 아키텍처나 스케일링을 도움주는 서비스는 Infrastructure Event Management입니다.

Q. As part of the Enterprise support plan, who is the primary point of contact for ongoing support needs?

A. TAM

기업용 고객의 경우 지원 필요한 경우 연락 가능한 곳은 TAM(Technical Account Manager)입니다. TAM은 전체 AWS 서비스에 대한 기술 전문 지식을 제공하고 사용 사례 및 기술 아키텍처에 대해 AWS Solution Architects와 협력하여 지원 요구 및 전화가 가능합니다.

AWS Shared Responsiblity Model

Q. According to the AWS Acceptable Use Policy, which of the following statements is true regarding penetration testing of EC2 instances?

A. Penetration testing can be performed by the customer on their own instances without prior authorization from AWS

AWS EC2 인스턴스에 침투 테스트(Penetration test)를 하기 위한 사항으로 AWS로부터 권한 없이 고객이 가진 EC2에 침투 테스트가 가능합니다.

AWS 고객은 8가지 서비스에 사전 승인 없이 인프라에 대한 보안 평가 및 침투 테스트가 가능합니다.

1) Amazon EC2 instances, NAT Gateways 및 Elastic Load Balancers

2) Amazon RDS

3) Amazon Cloud Front

4) Amazon Aurora

5) Amazon API Gateways

6) Amazon Lambda 및 Lambda Edge functions

7) Amazon Lightsail 자원

8) Amazon Elastic Beanstalk 환경

Amazon RDS, Amazon DynamoDB, Amazon Redshift, Amazon CloudFront 및 Amazon CloudSearch 등과 같은 AWS 관리형 서비스는 AWS가 서비스 가용성이나 운영하는데 모든 작업에 대해 책임을 가집니다. 하드웨어 프로비저닝이나 소프트웨어 설정, 패치 및 백업과 같은 관리 작업을 자동화하기 때문에 고객은 애플리케이션에 집중할 수 있어 빠른 성능, 고가용성, 보안 및 호환성을 제공받을 수 있습니다.

반면 고객 관리 서비스는 고객이 완전히 관리하는 서비스로 IaaS(Infrastructure as a Service)와 같은 Amazon EC2 서비스는 운영체제, 소프트웨어, 라이브버리 및 보안과 관련된 방화벽 설정을 직접 해야 합니다. Amazon VPC, AWS IAM 등이 있습니다.

Q. Under the shared responsibility model, Which of the following is the AWS’ responsibility?

A. Configuring infrastructure devices

AWS 공유된 책임 모델(Shared responsibility model)에 따른 AWS의 책임하에 있는 문제는 인프라 장치의 설정입니다. 반면에 보안 그룹(Security Groups)과 같은 트래픽 필터링이나, 클라이언트나 웹 서버측의 복호화나 보안은 고객의 책임에 있습니다.

Reference: https://aws.amazon.com/compliance/shared-responsibility-model/  

Q. Which statement is true regarding the AWS Shared Responsibility Model?

A. Responsibilities vary depending on the services used

AWS 공유된 책임 모델(Shared responsibility model)에 대해 맞는 것은 사용되는 서비스마다 책임 전가는 다양하다가 맞습니다. 

Q. In the AWS Shared responsibility Model, which of the following are the responsibility of the customer? (Choose TWO)

A. Configuring network access rules, Setting password complexity rules

AWS 공유된 책임 모델(Shared responsibility model)에서 고객에게 책임이 전가되는 것은 네트워크 액세스 룰 설정이나 패스워드의 설정이 되겠습니다. 

디스크 폐기(스토리지 장치 해제)는 장치의 수명 주기에 따라 AWS가 정해놓은 절차에 따라 폐기가 되며, 고객의 데이터가 노출되지 않도록 설정되며 이는 AWS 책임입니다.

Q. Which of the following are examples of AWS-Managed Services, where AWS is responsible for the operational and maintenance burdens of running the service? (Choose TWO)

A. Amazon Elastic MapReduce, Amazon DynamoDB 

운영과 유지에 대해 AWS 책임이 있는 AWS 관리형 서비스를 고르는 것으로 Amazon Elastic MapReduce와 Amazon DynamoDB가 있습니다.

Amazon Elastic MapReduce(EMR)은 Hadoop 클러스터를 생성해주는 서비스로 인프라 설정이나 자원 프로비저닝을 알아서 해주기 때문에 고객은 몇 분만 기다리면 바로 Hadoop을 활용한 분석이 가능합니다.

Amazon DynamoDB는 NoSQL의 서비스로 AWS 관리형 서비스이기 때문에 DB를 위한 유지 및 프로비저닝 및 고가용성을 자동으로 처리해줍니다.

Q. What should you do in order to keep the data on EBS volumes safe? (Choose TWO)

A. Create EBS snapshots, Ensure that EBS data is encrypted at rest

EBS 볼륨에 안전하게 데이터를 유지하기 위해서 필요한 것은 EBS 스냅샷을 생성하여 백업을 가져 데이터 유실 시 보장을 받을 수 있고, EBS 데이터가 암호화(Encryption)를 사용하는 것입니다.

Reference: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html

Q. Select TWO examples of the AWS shared controls.

A. Configuration Management, Patch Management

AWS와 고객이 공유된 제어 가능한 것은 설정 관리(Configuration management)와 패치 관리(Patch management)입니다.  패치 관리는 AWS에서는 인프라 측면에서 패치이며, 고객 측면에서는 EC2를 예로 들면 Guest OS나 애플리케이션이 될 것입니다. 설정 관리는 AWS 측면에서는 인프라 장치의 설정이 되고, 고객 측면에서는 Guest OS, DB, 애플리케이션 등이 되어 공유된 책임과 제어를 가지고 있습니다.

AWS Global Infrastructure

Q. What does Amazon CloudFront use to distribute content to global users with low latency?

A. AWS Edge Locations

전세계 사용자에게 낮은 지연성으로 컨텐츠를 제공하기 위해 Amazon CloudFront에서 사용하는 서비스는 AWS Edge Locations입니다. Amazon Cloud Front는 전 세계 여러 도시에 위치한 Edge Locations과 Regional Edge Cache의 네트워크를 사용해 사용자와 가까운 콘텐츠의 복제본으로 제공하기 때문에 낮은 지연(latency)을 보장합니다. 이에 따라 원본 서버의 부하를 줄일 수 있습니다.

AWS Global Accelerator는 게이밍, IoT 또는 전화와 관련된 VoIP(Voice over IP)와 같은 특화된 서비스입니다.

Q. A Japanese company hosts their applications on Amazon EC2 instances in the Tokyo Region. The company has opened new branches in the United States, and the US users are complaining of high latency. What can the company do to reduce latency for the users in the US while reducing costs?

A. Deploying new Amazon EC2 instances in a Region located in the US

일본의 회사에서 도쿄 리전에 Amazon EC2 인스턴스에 애플리케이션을 운영하고 있습니다. 미국에 있는 고객이 서비스 사용 시 높은 지연을 보이고 있어 불만을 제기합니다. 해당 문제를 해결하기 위해서는 미국에 위치한 리전에 새로운 EC2 Instance를 생성하고 서비스를 배포하는 것입니다.

Cloud Computing Benefits

Q. What are the benefits of having infrastructure hosted in AWS? (Choose TWO)

A. Increasing speed and agility, All of the physical security and most of the data/network security are taken care of for you

AWS가 관리하는 인프라를 사용 시에 이점은 애자일(agility, 민첩성)과 속도가 증가되고, 물리적 보안과 데이터/네트워크 보안의 케어를 받을 수 있다는 점입니다. 클라우드 컴퓨팅 환경에서는 클릭 몇 번 만으로 새로운 리소스를 할당 받을 수 있습니다. AWS 데이터 센터는 물리적 보안 계층으로 출입 통제 및 장비의 모니터링을 통해 수시로 확인을 하고 있습니다.

Q. Which of the below options are related to the reliability of AWS? (Choose TWO)

A. Automatically provisioning new resources to meet demand, Ability to recover quickly from failures.

AWS의 신뢰성과 관련된 옵션은 수요를 충족하기 새로운 자원의 프로비저닝이 자동적으로 일어나는 것과 고장 장애로부터 빠르게 복구가 가능하다는 것입니다.

AWS Security, Identity, & Compliance

Q. What is the AWS feature that provides an additional level of security above the default authentication mechanism of usernames and passwords?

A. AWS MFA

유저 이름과 암호의 암호화 매커니즘에 추가적인 레벨을 제공하는 AWS의 보안은 AWS MFA(Multi-Factor Authentication)입니다. 

AWS KMS(Key Management Service)는 데이터를 암호화기 위해 사용되는 암호화 키를 제어하고 생성 및 관리하는 관리형 서비스로 SSL과 관련된 애플리케이션이나 AWS 자원 제어 시에 해당 키를 사용할 수 있습니다.

Q. A company has moved to AWS recently. Which of the following AWS Services will help ensure that they have the proper security settings? (Choose TWO)

A. Amazon Inspector, AWS Trusted Advisor

한 회사가 AWS의 클라우드 컴퓨팅으로 이전하게 되었습니다. 적절한 보안 설정을 도움 받고 싶을 때 사용되는 서비스는 무엇인가요? Amazon Inspector는 AWS에 배포된 애플리케이션의 보안 및 규정 준수를 개선하는데 도와주는 자동화된 보안 평가 서비스입니다. AWS Trusted Advisors는 다섯 가지 카테고리(보안, 비용최적화, 장애 복구, 성능, 서비스 제한)에 대해서 모범 사례 및 권장 사항을 제공합니다.

Q. An organization has a large number of technical employees who operate their AWS Cloud infrastructure. What does AWS provide to help organize them into teams and then assign the appropriate permissions for each team?

A. IAM Groups

한 조직에 수많은 기술 직원들에게 AWS 클라우드 인프라를 운용하도록 하려고 하는데 이들을 팀으로 조직화하고 적절한 권한을 주기 위해 필요한 서비스는 무엇인가요? IAM Groups가 해당합니다. 하나의 단위로 관리되는 IAM 사용자의 그룹으로, 여러 사용자에 대한 권한을 지정할 수 있어 쉽게 관리가 됩니다. 예를 들면 관리자에 해당하는 그룹에는 Admins이라는 이름을 붙이고 액세스 가능한 권한을 적절하게 부여하면 됩니다.

IAM Role은 계정에 특정 권한을 부여할 수 있도록 해주는 IAM 자격증명입니다. IAM Role을 활용해 사용자에게 액세스 권한을 부여할 수 있습니다. IAM Users는 AWS와 직접 상호 작용하는 사용자입니다. IAM Users를 통해 AWS Management 콘솔에 로그인 하거나 API 또는 CLI를 사용해 개발을 할 수 있습니다. AWS Organizations는 IAM User가 아닌 AWS 계정을 조직화, 그룹화할 수 있으며, 결제를 중앙에서 관리하도록 도와줍니다. 

Q. Which of the following must an IAM user provide to interact with AWS services using the AWS Command Line Interface (AWS CLI)?

A. Access keys

AWS CLI(Command Line Interface)를 사용해 AWS 서비스를 상호작용하는 IAM 사용자에게 제공하기 위해 필요한 것은 Access keys입니다. 액세스 키는 액세스 키 ID와 시크릿 액세스 키로 구성되어 CLI 또는 SDK를 활용해 AWS 자원에 요청을 보낼 수 있습니다.

Q. Which of the following services allows customers to manage their agreements with AWS?

A. AWS Artifact

AWS의 개인정보처리방침 동의 관리하기 위해 고객에게 허락해주는 서비스는 AWS Artifact입니다. 고객에 AWS의 규정 준수 문서 및 계약에 대한 것을 포함합니다. 

Q. Hundreds of thousands of DDoS attacks are recorded every month worldwide. What service does AWS provide to help protect AWS Customers from these attacks? (Choose TWO)

A. AWS Shield, AWS WAF

전세계 적으로 매달마다 수십만건의 DDos 공격이 이루어지고 있습니다. 이 공격으로부터 AWS 고객을 보호하는 서비스는 무엇인가요? AWS Shield는 DDos 공격을 보호하고 동작 중인 웹 애플리케이션을 보호할 수 있도록 감지를 제공합니다. AWS WAF는 Amazon Route 53, Amazon CloudFront 및 Elastic Load Balancing와 같은 서비스의 트래픽을 제어하고 원하지 않는 요청을 차단합니다.

AWS Application Integration

Q. Which service is used to ensure that messages between software components are not lost if one or more components fail?

A. Amazon SQS

소프트웨어 구성 컴포넌트 간에 메세지를 보장하는 서비스는 Amazon SQS입니다. Amazon Simple Queue Service(SQS)는 메시지를 보내고 저장하거나 받을 수 있는 완전 관리형 메시지 큐잉 서비스입니다. 독립적으로 실행되어 전체적인 안정성을 높일 수 있으며, 여러 복사본이 AZ에 중복 저장되므로 필요할 때마다 사용할 수 있습니다.