SAP_C01 오답 수정 및 번역 No.31~No.40

NO.31 A company has an application that runs on Amazon EC2 instances in an Amazon EC2 Auto
Scaling group.
The company uses AWS CodePipeline to deploy the application. The instances that run in the Auto
Scaling group are constantly changing because of scaling events When the company deploys new
application code versions the company Installs the AWS CodeDeploy agent on any new target EC2
instances and associates the instances with the CodeDeploy deployment group The application is set
to go live within the next 24 hours What should a solutions architect recommend to automate the
application deployment process with the LEAST amount of operational overhead?
(A). Configure Amazon EventBridge (Amazon CloudWatch Events) to invoke an AWS Lambda function
when a new EC2 instance is launched into the Auto Scaling group. Code the Lambda function to
associate the EC2 instances with the CodeDeploy deployment group.
(B). Write a script to suspend Amazon EC2 Auto Scaling operations before the deployment of new
code.
When the deployment is complete, create a new AMI and configure the Auto Scaling group's launch
template to use the new AMI for new launches. Resume Amazon EC2 Auto Scaling operations
(C). Create a new AWS CodeBuild project that creates a new AMI that contains the new code
Configure CodeBuild to update the Auto Scaling group's launch template to the new AMI Run an
Amazon EC2 Auto Scaling instance refresh operation.
(D). Create a new AMI that has the CodeDeploy agent installed Configure the Auto Scaling group's
launch template to use the new AMI Associate the CodeDeploy deployment group with the Auto
Scaling group instead of the EC2 instances.

 

한 회사에 Amazon EC2 오토 스케일링 그룹의 Amazon EC2 인스턴스에서 실행되는 애플리케이션이 있습니다. 이 회사는 AWS CodePipeline을 사용하여 애플리케이션을 배포합니다. Auto Scaling 그룹에서 실행되는 인스턴스는 조정 이벤트로 인해 지속적으로 변경됩니다. 회사에서 새 애플리케이션 코드 버전을 배포할 때 회사는 새로운 대상 EC2 인스턴스에 AWS CodeDeploy 에이전트를 설치하고 해당 인스턴스를 CodeDeploy 배포 그룹에 연결합니다. 애플리케이션은 다음 24시간 내에 실행되도록 설정되어 있습니다.

솔루션 설계자는 최소한의 운영 오버헤드로 애플리케이션 배포 프로세스를 자동화하기 위해 무엇을 권장해야 합니까?

A. 새 EC2 인스턴스가 오토 스케일링 그룹으로 시작될 때 AWS Lambda 함수를 호출하도록 Amazon EventBridge (Amazon CloudWatch Events) 를 구성합니다. Lambda 함수를 코딩하여 EC2 인스턴스를 CodeDeploy 배포 그룹과 연결합니다.

B. 새 코드를 배포하기 전에 Amazon EC2 Auto Scaling 작업을 일시 중단하는 스크립트를 작성합니다. 배포가 완료되면 새 AMI를 생성하고 새로운 시작에 새 AMI를 사용하도록 Auto Scaling 그룹의 시작 템플릿을 구성합니다.Amazon EC2 오토 스케일링 작업 재개

C. 새 코드가 포함된 새 AMI를 생성하는 새 AWS CodeBuild 프로젝트를 생성합니다. Auto Scaling 그룹의 시작 템플릿을 새 AMI로 업데이트하도록 CodeBuild를 구성합니다.  Amazon EC2 자동 조정 인스턴스 새로 고침 작업을 실행합니다.

D. CodeDeploy 에이전트가 설치된 새 AMI를 생성합니다. 새 AMI를 사용하도록 Auto Scaling 그룹의 시작 템플릿을 구성합니다. CodeDeploy 배포 그룹을 EC2 인스턴스 대신 오토 스케일링 그룹과 연결합니다.

 

Answer: C

NO.32 A mobile gaming company is expanding into the global market. The company's game servers
run in the us-east-1 Region. The game's client application uses UDP to communicate with the game
servers and needs to be able to connect to a set of static IP addresses.
The company wants its game to be accessible on multiple continents. The company also wants the
game to maintain its network performance and global availability.
Which solution meets these requirements?
(A). Provision an Application Load Balancer (ALB) in front of the game servers Create an Amazon
CloudFront distribution that has no geographical restrictions Set the ALB as the origin Perform DNS
lookups for the cloudfront net domain name Use the resulting IP addresses in the game's client
application.
(B). Provision game servers in each AWS Region. Provision an Application Load Balancer in front of
the game servers. Create an Amazon Route 53 latency-based routing policy for the game's client
application to use with DNS lookups
(C). Provision game servers in each AWS Region Provision a Network Load Balancer (NLB) in front of
the game servers Create an accelerator in AWS Global Accelerator, and configure endpoint groups in
each Region Associate the NLBs with the corresponding Regional endpoint groups Point the game
client's application to the Global Accelerator endpoints
(D). Provision game servers in each AWS Region Provision a Network Load Balancer (NLB) in front of
the game servers Create an Amazon CloudFront distribution that has no geographical restrictions Set
the NLB as the origin Perform DNS lookups for the cloudfront net domain name. Use the resulting IP
addresses in the game's client application

 

모바일 게임 회사가 글로벌 시장으로 확장하고 있습니다. 이 회사의 게임 서버는 미국-동부-1 지역에서 실행됩니다. 게임의 클라이언트 애플리케이션은 UDP를 사용하여 게임 서버와 통신하며 고정 IP 주소 집합에 연결할 수 있어야 합니다. 이 회사는 여러 대륙에서 게임에 액세스 할 수 있기를 원합니다. 이 회사는 또한 게임이 네트워크 성능과 글로벌 가용성을 유지하기를 원합니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 게임 서버 앞에 애플리케이션 로드 밸런서 (ALB) 를 프로비저닝합니다. 지리적 제한이 없는 Amazon CloudFront 배포를 생성합니다. ALB를 오리진으로 설정 CloudFront 넷 도메인 이름에 대해 DNS 조회를 수행합니다. 게임의 클라이언트 애플리케이션에서 결과 IP 주소를 사용합니다.

B. 각 AWS 리전에서 게임 서버를 프로비저닝합니다. 게임 서버 앞에 애플리케이션 로드 밸런서를 프로비저닝합니다. 게임의 클라이언트 애플리케이션이 DNS 조회에 사용할 Amazon Route 53 지연 시간 기반 라우팅 정책을 생성합니다.

C. 각 AWS 리전에 게임 서버 프로비저닝 게임 서버 앞에 NLB (네트워크 로드 밸런서) 를 프로비저닝합니다. AWS 글로벌 액셀러레이터에서 액셀러레이터를 생성하고 각 리전에 엔드포인트 그룹을 구성합니다. NLB와 해당 리전 엔드포인트 그룹을 연결합니다. 게임 클라이언트의 애플리케이션이 글로벌 액셀러레이터 엔드포인트를 가리키도록 합니다.

D. 각 AWS 리전에 게임 서버 프로비저닝 게임 서버 앞에 NLB (네트워크 로드 밸런서) 를 프로비저닝합니다. 지리적 제한이 없는 Amazon CloudFront 배포를 생성합니다. NLB를 오리진으로 설정합니다. CloudFront 넷 도메인 이름에 대해 DNS 조회를 수행합니다. 게임의 클라이언트 애플리케이션에서 결과 IP 주소를 사용합니다.

Answer: C

참조 : https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/network/introduction.html

Network Load Balancer란 무엇입니까? - Elastic Load Balancing

 

NO.33 During an audit, a security team discovered that a development team was putting IAM user
secret access keys in their code and then committing it to an AWS CodeCommit repository . The
security team wants to automatically find and remediate instances of this security vulnerability
Which solution will ensure that the credentials are appropriately secured automatically?
(A). Run a script nightly using AWS Systems Manager Run Command to search for credentials on the
development instances If found use AWS Secrets Manager to rotate the credentials.
(B). Use a scheduled AWS Lambda function to download and scan the application code from
CodeCommit If credentials are found, generate new credentials and store them in AWS KMS
(C). Configure Amazon Macie to scan for credentials in CodeCommit repositories If credentials are
found, trigger an AWS Lambda function to disable the credentials and notify the user
(D). Configure a CodeCommit trigger to invoke an AWS Lambda function to scan new code
submissions for credentials If credentials are found, disable them in AWS 1AM and notify the user.

 

감사 중에 보안 팀은 개발 팀이 IAM 사용자 보안 액세스 키를 코드에 넣은 다음 AWS CodeCommit 리포지토리에 커밋하고 있음을 발견했습니다. 보안 팀은 이 보안 취약성의 인스턴스를 자동으로 찾아 수정하려고 합니다.

자격 증명이 자동으로 적절하게 보호되도록 보장하는 솔루션은 무엇입니까?

A. AWS Systems Manager Run Command를 사용하여 야간에 스크립트를 실행하여 개발 인스턴스에서 자격 증명을 검색합니다. 자격 증명이 발견되면 AWS 보안 관리자를 사용하여 자격 증명을 교체합니다.

B. 예약된 AWS Lambda 함수를 사용하여 CodeCommit에서 애플리케이션 코드를 다운로드하고 스캔합니다. 자격 증명이 발견되면 새 자격 증명을 생성하여 AWS KMS에 저장합니다.

C. CodeCommit 리포지토리에서 자격 증명을 검색하도록 Amazon Macie를 구성합니다. 자격 증명이 발견되면 AWS Lambda 함수를 트리거하여 자격 증명을 비활성화하고 사용자에게 알립니다.

D. CodeCommit 트리거를 구성하여 AWS Lambda 함수를 호출하여 자격 증명을 위한 새 코드 제출을 스캔합니다. 자격 증명이 발견되면 AWS IAM에서 자격 증명을 비활성화하고 사용자에게 알립니다.

 

Answer: D

참조 : https://docs.aws.amazon.com/codecommit/latest/userguide/how-to-notify.html

Manage triggers for an AWS CodeCommit repository - AWS CodeCommit

NO.34 A company is moving a business-critical multi-tier application to AWS. The architecture
consists of a desktop client application and server infrastructure. The server infrastructure resides in
an on-premises data center that frequently fails to maintain the application uptime SLA of 99.95%. A
solutions architect must re-architect the application to ensure that it can meet or exceed the SLA.
The application contains a PostgreSQL database running on a single virtual machine. The business
logic and presentation layers are load balanced between multiple virtual machines. Remote users
complain about slow load times while using this latency-sensitive application.
Which of the following will meet the availability requirements with little change to the application
while improving user experience and minimizing costs?
(A). Migrate the database to a PostgreSQL database in Amazon EC2. Host the application and
presentation layers in automatically scaled Amazon ECS containers behind an Application Load
Balancer. Allocate an Amazon Workspaces Workspace for each end user to improve the user
experience.
(B). Migrate the database to an Amazon RDS Aurora PostgreSQL configuration. Host the application
and presentation layers in an Auto Scaling configuration on Amazon EC2 instances behind an
Application Load Balancer. Use Amazon AppStream 2.0 to improve the user experience.
(C). Migrate the database to an Amazon RDS PostgreSQL Mulli-AZ configuration. Host the application
and presentation layers in automatically scaled AWS Fargate containers behind a Network Load
Balancer.
Use Amazon ElastiCache to improve the user experience.
(D). Migrate the database to an Amazon Redshift cluster with at least two nodes. Combine and host
the application and presentation layers in automatically scaled Amazon ECS containers behind an
Application Load Balancer. Use Amazon CloudFront to improve the user experience.

 

한 회사에서 비즈니스 크리티컬 멀티 티어 애플리케이션을 AWS로 이전하고 있습니다. 아키텍처는 데스크톱 클라이언트 애플리케이션과 서버 인프라로 구성됩니다. 서버 인프라는 애플리케이션 가동 시간 SLA를 99.95% 로 유지하지 못하는 경우가 많은 온프레미스 데이터 센터에 있습니다. 솔루션 설계자는 SLA를 충족하거나 초과할 수 있도록 애플리케이션을 다시 설계해야 합니다. 응용 프로그램에는 단일 가상 시스템에서 실행되는 PostgreSQL 데이터베이스가 포함되어 있습니다. 비즈니스 로직 및 프레젠테이션 계층은 여러 가상 시스템 간에 로드 밸런싱됩니다. 원격 사용자는 이 지연 시간에 민감한 애플리케이션을 사용하는 동안 로드 시간이 느리다고 불평합니다.

다음 중 사용자 환경을 개선하고 비용을 최소화하면서 애플리케이션을 거의 변경하지 않고 가용성 요구 사항을 충족하는 것은 무엇입니까?

A. 데이터베이스를 Amazon EC2의 PostgreSQL 데이터베이스로 마이그레이션합니다. 애플리케이션 로드 밸런서 뒤에 자동으로 확장되는 Amazon ECS 컨테이너에서 애플리케이션 및 프레젠테이션 레이어를 호스팅합니다. 각 최종 사용자에게 Amazon Workspaces 작업 공간을 할당하여 사용자 환경을 개선합니다.

B. 데이터베이스를 Amazon RDS Aurora 포스트그레SQL 구성으로 마이그레이션합니다. 애플리케이션 로드 밸런서 뒤에 있는 Amazon EC2 인스턴스의 Auto Scaling 구성에서 애플리케이션 및 프레젠테이션 계층을 호스팅합니다. Amazon AppStream 2.0을 사용하여 사용자 경험을 개선할 수 있습니다.

C. 데이터베이스를 Amazon RDS PostgreSQL 다중 AZ 구성으로 마이그레이션합니다. 네트워크 로드 밸런서 뒤에 자동으로 확장되는 AWS Fargate 컨테이너에서 애플리케이션 및 프레젠테이션 계층을 호스팅합니다. Amazon ElastiCache를 사용하여 사용자 경험을 개선할 수 있습니다.

D. 두 개 이상의 노드가 있는 Amazon Redshift 클러스터로 데이터베이스를 마이그레이션합니다. 애플리케이션 로드 밸런서 뒤에 자동으로 확장되는 Amazon ECS 컨테이너에서 애플리케이션 및 프레젠테이션 레이어를 결합하고 호스팅합니다. Amazon CloudFront를 사용하여 사용자 환경을 개선할 수 있습니다.

Answer: B

참조 : https://aws.amazon.com/rds/sla/

아마존 RDS 서비스 수준 계약

https://aws.amazon.com/appstream2/

비영구 데스크톱 및 애플리케이션 - Amazon AppStream 2.0 - Amazon Web Services

 

NO.35 A large company runs workloads in VPCs that are deployed across hundreds of AWS accounts
Each VPC consists of public subnets and private subnets that span across multiple Availability Zones
NAT gateways are deployed in the public subnets and allow outbound connectivity to the internet
from the private subnets.
A solutions architect is working on a hub-and-spoke design. All private subnets in the spoke VPCs
must route traffic to the internet through an egress VPC The solutions architect already has deployed
a NAT gateway in an egress VPC in a central AWS account Which set of additional steps should the
solutions architect take to meet these requirements?
(A). Create peering connections between the egress VPC and the spoke VPCs Configure the required
routing to allow access to the internet
(B). Create a transit gateway and share it with the existing AWS accounts Attach existing VPCs to the
transit gateway Configure the required routing to allow access to the internet
(C). Create a transit gateway in every account Attach the NAT gateway to the transit gateways
Configure the required routing to allow access to the internet
(D). Create an AWS PrivateLink connection between the egress VPC and the spoke VPCs Configure the
required routing to allow access to the internet

 

한 대기업은 수백 개의 AWS 계정에 배포된 VPC에서 워크로드를 실행합니다. 각 VPC는 여러 가용 영역에 걸쳐 있는 퍼블릭 서브넷과 프라이빗 서브넷으로 구성됩니다. NAT 게이트웨이는 퍼블릭 서브넷에 배포되며 프라이빗 서브넷에서 인터넷으로의 아웃바운드 연결을 허용합니다. 솔루션 설계자가 허브 앤 스포크 설계를 진행하고 있습니다. 스포크 VPC의 모든 프라이빗 서브넷은 송신 VPC를 통해 인터넷으로 트래픽을 라우팅해야 합니다. 솔루션스 아키텍트는 이미 중앙 AWS 계정의 송신 VPC에 NAT 게이트웨이를 배포했습니다.

솔루션 설계자가 이러한 요구 사항을 충족하기 위해 취해야 할 추가 단계는 무엇입니까?

A. 송신 VPC와 스포크 VPC 간에 피어링 연결을 생성합니다. 인터넷에 액세스할 수 있도록 필요한 라우팅을 구성합니다.

B. 전송 게이트웨이를 생성하여 기존 AWS 계정과 공유 기존 VPC를 전송 게이트웨이에 연결 인터넷에 액세스할 수 있도록 필요한 라우팅을 구성합니다.

C. 모든 계정에 전송 게이트웨이를 생성합니다. NAT 게이트웨이를 전송 게이트웨이에 연결합니다.인터넷에 액세스할 수 있도록 필요한 라우팅을 구성합니다.

D. 송신 VPC와 스포크 VPC 간에 AWS 프라이빗 링크 연결을 생성합니다. 인터넷에 액세스할 수 있도록 필요한 라우팅을 구성합니다.

 

Answer: B

NO.36 To abide by industry regulations, a solutions architect must design a solution that will store a
company's critical data in multiple public AWS Regions, including in the United States, where the
company's headquarters is located. The solutions architect is required to provide access to the data
stored in AWS to the company's global WAN network. The security team mandates that no traffic
accessing this data should traverse the public internet.
How should the solutions architect design a highly available solution that meets the requirements
and is cost-effective?
(A). Establish AWS Direct Connect connections from the company headquarters to all AWS Regions in
use.Use the company WAN lo send traffic over to the headquarters and then to the respective DX
connection to access the data.
(B). Establish two AWS Direct Connect connections from the company headquarters to an AWS
Region.Use the company WAN to send traffic over a DX connection. Use inter-region VPC peering to
access the data in other AWS Regions.
(C). Establish two AWS Direct Connect connections from the company headquarters to an AWS
Region.Use the company WAN to send traffic over a DX connection. Use an AWS transit VPC solution
to access data in other AWS Regions.
(D). Establish two AWS Direct Connect connections from the company headquarters to an AWS
Region.Use the company WAN to send traffic over a DX connection. Use Direct Connect Gateway to
access data in other AWS Regions.

 

업계 규정을 준수하기 위해 솔루션 설계자는 회사의 본사가 위치한 미국을 비롯한 여러 퍼블릭 AWS 리전에 회사의 중요 데이터를 저장할 솔루션을 설계해야 합니다. 솔루션 설계자는 AWS에 저장된 데이터에 대한 액세스를 회사의 글로벌 WAN 네트워크에 제공해야 합니다. 보안 팀은 이 데이터에 액세스하는 트래픽이 공용 인터넷을 통과하지 않도록 의무화하고 있습니다.

솔루션 설계자는 요구 사항을 충족하고 비용 효율적인 고가용성 솔루션을 어떻게 설계해야 합니까?

A. 본사에서 사용 중인 모든 AWS 리전으로 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 본사로 트래픽을 전송 한 다음 해당 DX 연결로 트래픽을 전송하여 데이터에 액세스합니다.

B. 본사에서 AWS 리전으로 두 개의 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 DX 연결을 통해 트래픽을 전송합니다.리전 간 VPC 피어링을 사용하여 다른 AWS 리전의 데이터에 액세스합니다.

C. 본사에서 AWS 리전으로 두 개의 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 DX 연결을 통해 트래픽을 전송합니다.AWS 전송 VPC 솔루션을 사용하여 다른 AWS 리전의 데이터에 액세스합니다.

D. 본사에서 AWS 리전으로 두 개의 AWS Direct Connect 연결을 설정합니다. 회사 WAN을 사용하여 DX 연결을 통해 트래픽을 전송합니다. 직접 연결 게이트웨이를 사용하여 다른 AWS 리전의 데이터에 액세스합니다.

Answer: D

 

NO.37 A company is launching a web-based application in multiple regions around the world The
application consists of both static content stored in a private Amazon S3 bucket and dyna ECS
containers behind an Application Load Balancer (ALB) The company requires that the static and
dynamic application content be accessible through Amazon CloudFront only Which combination of
steps should a solutions architect recommend to restrict direct content access to CloudFront? (Select
THREE)
(A). Create a web ACL in AWS WAF with a rule to validate the presence of a custom header and
associate the web ACL with the ALB
(B). Create a web ACL in AWS WAF with a rule to validate the presence of a custom header and
associate the web ACL with the CloudFront distribution
(C). Configure CloudFront to add a custom header to origin requests
(D). Configure the ALB to add a custom header to HTTP requests
(E). Update the S3 bucket ACL to allow access from the CloudFront distribution only
(F). Create a CloudFront Origin Access Identity (OAI) and add it to the CloudFront distribution Update
the S3 bucket policy to allow access to the OAI only

 

한 회사가 전 세계 여러 지역에서 웹 기반 애플리케이션을 출시하고 있습니다. 애플리케이션은 프라이빗 Amazon S3 버킷에 저장된 정적 콘텐츠와 ALB (애플리케이션 로드 밸런서) 뒤에 있는 dyna ECS 컨테이너로 구성됩니다. 이 회사는 정적 및 동적 애플리케이션 콘텐츠에 Amazon CloudFront를 통해서만 액세스할 수 있어야 합니다.

CloudFront에 대한 직접 콘텐츠 액세스를 제한하기 위해 솔루션스 아키텍트가 권장하는 단계는 무엇입니까?(세 개 선택)

A. 사용자 지정 헤더가 있는지 확인하고 웹 ACL을 ALB와 연결하는 규칙을 사용하여 AWS WAF에서 웹 ACL을 생성합니다.

B. 사용자 지정 헤더가 있는지 확인하고 웹 ACL을 CloudFront 배포와 연결하는 규칙을 사용하여 AWS WAF에서 웹 ACL을 생성합니다.

C. 오리진 요청에 사용자 지정 헤더를 추가하도록 CloudFront를 구성합니다.

D. HTTP 요청에 사용자 지정 헤더를 추가하도록 ALB를 구성합니다.

E. CloudFront 배포에서만 액세스할 수 있도록 S3 버킷 ACL을 업데이트합니다.

F. CloudFront 오리진 액세스 ID (OAI) 를 생성하여 CloudFront 배포에 추가합니다. OAI에 대한 액세스만 허용하도록 S3 버킷 정책을 업데이트합니다.

Answer: B,C,F

참조 : https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-overview.html#forward-custom-headers-restrict-access

Overview of serving private content - Amazon CloudFront

NO.38 A company has application services that have been containerized and deployed on multiple
Amazon EC2 instances with public IPs. An Apache Kafka cluster has been deployed to the EC2
instances. A PostgreSQL database has been migrated to Amazon RDS lor PostgreSQL. The company
expects a significant increase of orders on its platform when a new version of its flagship product is
released.
What changes to the current architecture will reduce operational overhead and support the product
release?
(A). Create an EC2 Auto Scaling group behind an Application Load Balancer. Create additional read
replicas for the DB instance. Create Amazon Kinesis data streams and configure the application
services lo use the data streams. Store and serve static content directly from Amazon S3.
(B). Create an EC2 Auto Scaling group behind an Application Load Balancer. Deploy the DB instance in
Multi-AZ mode and enable storage auto scaling. Create Amazon Kinesis data streams and configure
the application services to use the data streams. Store and serve static content directly from Amazon
S3.
(C). Deploy the application on a Kubernetes cluster created on the EC2 instances behind an
Application Load Balancer. Deploy the DB instance in Multi-AZ mode and enable storage auto scaling.
Create an Amazon Managed Streaming for Apache Kafka cluster and configure the application
services to use the cluster. Store static content in Amazon S3 behind an Amazon CloudFront
distribution.
(D). Deploy the application on Amazon Elastic Kubernetes Service (Amazon EKS) with AWS Fargate
and enable auto scaling behind an Application Load Balancer. Create additional read replicas for the
DB instance. Create an Amazon Managed Streaming for Apache Kafka cluster and configure the
application services to use the cluster. Store static content in Amazon S3 behind an Amazon
CloudFront distribution.

 

한 회사에서 퍼블릭 IP를 사용하여 여러 Amazon EC2 인스턴스에 컨테이너화 및 배포된 애플리케이션 서비스를 보유하고 있습니다. Apache Kafka 클러스터가 EC2 인스턴스에 배포되었습니다. PostgreSQL 데이터베이스가 Amazon RDS 또는 포스트그레SQL로 마이그레이션되었습니다. 이 회사는 주력 제품의 새 버전이 출시되면 플랫폼에서 주문이 크게 증가 할 것으로 예상합니다.

현재 아키텍처에 어떤 변화가 운영 오버헤드를 줄이고 제품 출시를 지원할 수 있을까요?

A. 애플리케이션 로드 밸런서 뒤에 EC2 Auto Scaling 그룹을 생성합니다. DB 인스턴스에 대한 추가 읽기 전용 복제본을 생성합니다. Amazon Kinesis 데이터 스트림을 생성하고 애플리케이션 서비스를 구성합니다. 데이터 스트림을 사용합니다. Amazon S3에서 직접 정적 콘텐츠를 저장하고 제공합니다.

B. 애플리케이션 로드 밸런서 뒤에 EC2 Auto Scaling 그룹을 생성합니다. 다중 AZ 모드로 DB 인스턴스를 배포하고 스토리지 자동 확장을 활성화합니다. Amazon Kinesis 데이터 스트림을 생성하고 데이터 스트림을 사용하도록 애플리케이션 서비스를 구성합니다. Amazon S3에서 직접 정적 콘텐츠를 저장하고 제공합니다.

C. 애플리케이션 로드 밸런서 뒤에 있는 EC2 인스턴스에 생성된 Kubernetes 클러스터에 애플리케이션을 배포합니다. 다중 AZ 모드로 DB 인스턴스를 배포하고 스토리지 자동 확장을 활성화합니다. Apache Kafka용 Amazon 관리형 스트리밍 클러스터를 생성하고 클러스터를 사용하도록 애플리케이션 서비스를 구성합니다. Amazon CloudFront 배포 뒤에 있는 Amazon S3에 정적 콘텐츠를 저장합니다.

D. AWS Fargate를 사용하여 Amazon Elastic Kubernetes Service (Amazon EKS) 에 애플리케이션을 배포하고 애플리케이션 로드 밸런서 뒤에서 자동 확장을 활성화합니다. DB 인스턴스에 대한 추가 읽기 전용 복제본을 생성합니다. Apache Kafka용 Amazon 관리형 스트리밍 클러스터를 생성하고 클러스터를 사용하도록 애플리케이션 서비스를 구성합니다. Amazon CloudFront 배포 뒤에 있는 Amazon S3에 정적 콘텐츠를 저장합니다.

Answer: D

NO.39 A company is planning to migrate an application from on premises to AWS. The application
currently uses an Oracle database and the company can tolerate a brief downtime of 1 hour when
performing the switch to the new infrastructure As part of the migration. the database engine will be
changed to MySQL. A solutions architect needs to determine which AWS services can be used to
perform the migration while minimizing the amount of work and time required.
Which of the following will meet the requirements?
(A). Use AWS SCT to generate the schema scripts and apply them on the target prior to migration Use
AWS DMS to analyse the current schema and provide a recommendation for the optimal database
engine Then, use AWS DMS to migrate to the recommended engine Use AWS SCT to identify what
embedded SQL code in the application can be converted and what has to be done manually
(B). Use AWS SCT to generate the schema scripts and apply them on the target prior to migration.
Use AWS DMS to begin moving data from the on-premises database to AWS. After the initial copy
continue to use AWS DMS to keep the databases m sync until cutting over to the new database Use
AWS SCT to identify what embedded SOL code in the application can be converted and what has to
be done manually.
(C). Use AWS DMS lo help identify the best target deployment between installing the database
engine on Amazon EC2 directly or moving to Amazon RDS. Then, use AWS DMS to migrate to the
platform. Use AWS Application Discovery Service to identify what embedded SQL code in the
application can be converted and what has to be done manually.
(D). Use AWS DMS to begin moving data from the on-premises database to AWS After the initial
copy, continue to use AWS DMS to keep the databases in sync until cutting over to the new database
use AWS Application Discovery Service to identify what embedded SQL code m the application can be
convened and what has to be done manually

 

한 회사에서 온프레미스에서 AWS로 애플리케이션을 마이그레이션할 계획입니다. 이 애플리케이션은 현재 Oracle 데이터베이스를 사용하고 있으며 마이그레이션의 일부로 새 인프라로 전환할 때 1시간의 짧은 다운타임을 허용할 수 있습니다. 데이터베이스 엔진은 MySQL로 변경됩니다. 솔루션 설계자는 필요한 작업과 시간을 최소화하면서 마이그레이션을 수행하는 데 사용할 수 있는 AWS 서비스를 결정해야 합니다.

다음 중 요구 사항을 충족하는 것은 무엇입니까?

A. AWS SCT를 사용하여 스키마 스크립트를 생성하고 마이그레이션 전에 대상에 적용합니다. AWS DMS를 사용하여 현재 스키마를 분석하고 최적의 데이터베이스 엔진에 대한 권장 사항을 제공합니다. 그런 다음 AWS DMS를 사용하여 권장 엔진으로 마이그레이션합니다. AWS SCT를 사용하여 애플리케이션에 포함된 SQL 코드를 변환할 수 있는 항목과 수동으로 수행해야 하는 작업을 식별합니다.

B. AWS SCT를 사용하여 스키마 스크립트를 생성하고 마이그레이션 전에 대상에 적용합니다. AWS DMS를 사용하여 온프레미스 데이터베이스에서 AWS로 데이터를 이동하기 시작합니다. 최초 복사 후 AWS DMS를 사용하여 새 데이터베이스로 전환할 때까지 데이터베이스 동기화를 유지합니다. AWS SCT를 사용하여 애플리케이션에 포함된 SOL 코드를 변환할 수 있는 항목과 수동으로 수행해야 하는 작업을 식별합니다.

C. AWS DMS를 사용하면 데이터베이스 엔진을 Amazon EC2에 직접 설치하거나 Amazon RDS로 이동하는 것 중에서 최적의 대상 배포를 식별할 수 있습니다. 그런 다음 AWS DMS를 사용하여 플랫폼으로 마이그레이션합니다. AWS 애플리케이션 검색 서비스를 사용하여 애플리케이션에 포함된 SQL 코드를 변환할 수 있는 항목과 수동으로 수행해야 하는 작업을 식별합니다.

D. AWS DMS를 사용하여 온프레미스 데이터베이스에서 AWS로 데이터 이동 시작 초기 복사 후 AWS DMS를 사용하여 새 데이터베이스로 전환할 때까지 계속해서 데이터베이스를 동기화 상태로 유지합니다. AWS Application Discovery Service를 사용하여 애플리케이션에 포함된 SQL 코드를 사용할 수 있는 항목과 사용해야 하는 요소를 파악합니다. 수동으로 할 수 있습니다.

Answer: B

NO.40 A company recently deployed a new application that runs on a group of Amazon EC2 Linux
instances in a VPC In a peered VPC the company launched an EC2 Linux instance that serves as a
bastion host The security group of the application instances allows access only on TCP port 22 from
the private IP of the bastion host The security group of the bastion host allows access to TCP port 22
from 0 0 0.0/0 so that system administrators can use SSH to remotely log in to the application
instances from several branch offices While looking through operating system logs on the bastion
host, a cloud engineer notices thousands of failed SSH logins to the bastion host from locations
around the world The cloud engineer wants to change how remote access is granted to the
application instances and wants to meet the following requirements:
* Eliminate brute-force SSH login attempts
* Retain a log of commands run during an SSH session
* Retain the ability to forward ports
Which solution meets these requirements for remote access to the application instances?

 

한 회사가 최근에 피어링된 VPC의 Amazon EC2 Linux 인스턴스 그룹에서 실행되는 새로운 애플리케이션을 배포했습니다. VPC 이 회사는 배스천 호스트 역할을 하는 EC2 Linux 인스턴스를 시작했습니다. 애플리케이션 인스턴스의 보안 그룹은 배스천 호스트의 프라이빗 IP에서 TCP 포트 22에 대한 액세스만 허용합니다.배스천 호스트의 보안 그룹에서는 0.0.0.0/0에서 TCP 포트 22에 액세스할 수 있으므로 시스템 관리자는 SSH를 사용하여 여러 지점의 애플리케이션 인스턴스에 원격으로 로그인할 수 있습니다. 한 클라우드 엔지니어는 배스천 호스트의 운영 체제 로그를 살펴보면서 전 세계 여러 위치에서 배스천 호스트에 대한 수천 건의 SSH 로그인에 실패한 것을 발견했습니다. 클라우드 엔지니어는 애플리케이션 인스턴스에 원격 액세스가 부여되는 방식을 변경하려고 하며 다음 요구 사항을 충족하려고 합니다.

* 무차별 대입 SSH 로그인 시도 제거

* SSH 세션 중에 실행되는 명령 로그 유지

* 포트 전달 기능 유지

 

애플리케이션 인스턴스에 대한 원격 액세스에 대한 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. AWS 시스템 관리자와 통신하도록 애플리케이션 인스턴스를 구성합니다. 세션 관리자를 사용하여 애플리케이션 인스턴스와 세션을 설정할 수 있는 액세스 권한을 시스템 관리자에게 부여합니다. 배스천 호스트를 종료합니다.

B. 지점의 공용 IP 주소에서 오는 트래픽만 허용하도록 배스천 호스트의 보안 그룹을 업데이트합니다.

C. AWS 클라이언트 VPN 엔드포인트를 구성하고 각 시스템 관리자에게 인증서를 프로비저닝하여 애플리케이션 VPC에 대한 VPN 연결을 설정합니다. 클라이언트 VPN IPv4 CIDR의 트래픽만 허용하도록 애플리케이션 인스턴스의 보안 그룹을 업데이트합니다. 배스천 호스트를 종료합니다.

D. AWS 시스템 관리자와 통신하도록 애플리케이션 인스턴스를 구성합니다. Systems Manager Run Command를 사용하여 응용 프로그램 인스턴스에 명령을 실행할 수 있는 시스템 관리자에게 액세스 권한을 부여합니다. 배스천 호스트를 종료합니다.

Answer: A
참조: https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html

AWS Systems Manager Session Manager - AWS Systems Manager

"Session Manager removes the need to open inbound ports, manage SSH keys, or use bastion hosts"