SAP_C01 오답 수정 및 번역 No.131~No.140

NO.131 An AWS customer has a web application that runs on premises. The web application fetches
data from a third-party API that is behind a firewall. The third party accepts only one public CIDR
block in each client's allow list.
The customer wants to migrate their web application to the AWS Cloud. The application will be
hosted on a set of Amazon EC2 instances behind an Application Load Balancer (ALB) in a VPC. The ALB
is located in public subnets. The EC2 instances are located in private subnets. NAT gateways provide
internet access to the private subnets.
How should a solutions architect ensure that the web application can continue to call the third-parly
API after the migration?
(A). Associate a block of customer-owned public IP addresses to the VPC. Enable public IP addressing
for public subnets in the VPC.
(B). Register a block of customer-owned public IP addresses in the AWS account. Create Elastic IP
addresses from the address block and assign them lo the NAT gateways in the VPC.
(C). Create Elastic IP addresses from the block of customer-owned IP addresses. Assign the static
Elastic IP addresses to the ALB.
(D). Register a block of customer-owned public IP addresses in the AWS account. Set up AWS Global
Accelerator to use Elastic IP addresses from the address block. Set the ALB as the accelerator
endpoint.

 

AWS 고객은 온프레미스에서 실행되는 웹 애플리케이션을 보유하고 있습니다. 웹 애플리케이션은 방화벽 뒤에 있는 타사 API에서 데이터를 가져옵니다. 타사는 각 클라이언트의 허용 목록에서 하나의 공개 CIDR 블록만 허용합니다. 고객이 웹 애플리케이션을 AWS 클라우드로 마이그레이션하려고 합니다. 애플리케이션은 VPC의 애플리케이션 로드 밸런서 (ALB) 뒤에 있는 Amazon EC2 인스턴스 세트에서 호스팅됩니다. ALB는 퍼블릭 서브넷에 있습니다. EC2 인스턴스는 프라이빗 서브넷에 있습니다. NAT 게이트웨이는 프라이빗 서브넷에 대한 인터넷 액세스를 제공합니다.

솔루션 설계자는 마이그레이션 후에도 웹 애플리케이션이 타사 API를 계속 호출할 수 있도록 어떻게 해야 합니까?

A. 고객 소유의 퍼블릭 IP 주소 블록을 VPC에 연결합니다. VPC에서 퍼블릭 서브넷에 퍼블릭 IP 주소 지정을 활성화합니다.

B. AWS 계정에서 고객 소유의 퍼블릭 IP 주소 블록을 등록합니다. 주소 블록에서 Elastic IP 주소를 생성하고 VPC의 NAT 게이트웨이에 할당합니다.

C. 고객 소유 IP 주소 블록에서 Elastic IP 주소를 생성합니다. 정적 탄력적 IP 주소를 ALB에 할당합니다.

D. AWS 계정에서 고객 소유의 퍼블릭 IP 주소 블록을 등록합니다. 주소 블록의 탄력적 IP 주소를 사용하도록 AWS Global Accelerator를 설정합니다. ALB를 액셀러레이터 끝점(endpoint)으로 설정합니다.

Answer: B

NO.132 A company has deployed an application to multiple environments in AWS. including
production and testing the company has separate accounts for production and testing, and users are
allowed to create additional application users for team members or services. as needed. The security
team has asked the operations team tor better isolation between production and testing with
centralized controls on security credentials and improved management of permissions between
environments Which of the following options would MOST securely accomplish this goal?
(A). Create a new AWS account to hold user and service accounts, such as an identity account Create
users and groups m the identity account. Create roles with appropriate permissions in the production
and testing accounts Add the identity account to the trust policies for the roles
(B). Modify permissions in the production and testing accounts to limit creating new 1AM users to
members of the operations team Set a strong 1AM password policy on each account Create new
1AM users and groups in each account to Limit developer access to just the services required to
complete their job function.
(C). Create a script that runs on each account that checks user accounts For adherence to a security
policy.
Disable any user or service accounts that do not comply.
(D). Create all user accounts in the production account Create roles for access in me production
account and testing accounts. Grant cross-account access from the production account to the testing
account.

 

한 회사가 AWS의 여러 환경에 애플리케이션을 배포했습니다. 프로덕션 및 테스트를 포함하여 이 회사는 프로덕션 및 테스트를 위한 별도의 계정을 보유하고 있으며, 사용자는 필요에 따라 팀 구성원 또는 서비스에 대한 추가 애플리케이션 사용자를 생성할 수 있습니다. 보안 팀은 운영 팀에 보안 자격 증명에 대한 중앙 집중식 제어와 환경 간 권한 관리를 개선하여 프로덕션과 테스트 간의 격리를 개선하도록 요청했습니다.

다음 중 이 목표를 가장 안전하게 달성할 수 있는 옵션은 무엇입니까?

A. 자격 증명 계정과 같은 사용자 및 서비스 계정을 보유할 새 AWS 계정을 생성합니다. ID 계정에서 사용자 및 그룹을 생성합니다. 프로덕션 및 테스트 계정에서 적절한 권한이 있는 역할을 생성합니다. 역할에 대한 신뢰 정책에 ID 계정을 추가합니다.

B. 프로덕션 및 테스트 계정의 권한을 수정하여 새 IAM 사용자 생성을 운영 팀의 구성원으로 제한합니다. 각 계정에 강력한 IAM 암호 정책을 설정합니다. 각 계정에 새 IAM 사용자 및 그룹을 생성하여 직무를 완료하는 데 필요한 서비스로만 개발자 액세스를 제한합니다.

C. 사용자 계정이 보안 정책을 준수하는지 확인하는 각 계정에서 실행되는 스크립트를 만듭니다. 준수하지 않는 사용자 또는 서비스 계정을 비활성화합니다.

D. 프로덕션 계정에서 모든 사용자 계정을 생성합니다. 프로덕션 계정 및 테스트 계정에서 액세스할 역할을 생성합니다. 프로덕션 계정에서 테스트 계정으로 교차 계정 액세스 권한을 부여합니다.

Answer: A

NO.133 A company's AWS architecture currently uses access keys and secret access keys stored on
each instance to access AWS services Database credentials are hard-coded on each instance SSH keys
for command-line remote access are stored in a secured Amazon S3 bucket The company has asked
its solutions architect to improve the security posture of the architecture without adding operational
complexly.
Which combination of steps should the solutions architect take to accomplish this? (Select THREE.)
(A). Use Amazon EC2 instance profiles with an 1AM role.
(B). Use AWS Secrets Manager to store access keys and secret access keys.
(C). Use AWS Systems Manager Parameter Store to store database credentials.
(D). Use a secure fleet of Amazon EC2 bastion hosts for remote access.
(E). Use AWS KMS to store database credentials
(F). Use AWS Systems Manager Session Manager for remote access.

 

회사의 AWS 아키텍처는 현재 각 인스턴스에 저장된 액세스 키와 보안 액세스 키를 사용하여 AWS 서비스에 액세스합니다. 데이터베이스 자격 증명은 각 인스턴스에서 하드 코딩됩니다. 명령줄 원격 액세스를 위한 SSH 키는 보안 Amazon S3 버킷에 저장됩니다. 이 회사는 솔루션 설계자에게 운영을 복잡하게 추가하지 않고 아키텍처의 보안 상태를 개선하도록 요청했습니다.

솔루션 설계자는 이 작업을 수행하기 위해 어떤 단계를 조합해야 합니까?(세 개 선택)

A. IAM 역할과 함께 Amazon EC2 인스턴스 프로필을 사용합니다.

B. AWS 보안 관리자를 사용하여 액세스 키와 보안 액세스 키를 저장합니다.

C. AWS Systems Manager 파라미터 스토어를 사용하여 데이터베이스 자격 증명을 저장합니다.

D. 원격 액세스를 위해 안전한 Amazon EC2 배스천 호스트 플릿을 사용합니다.

E. AWS KMS를 사용하여 데이터베이스 자격 증명을 저장합니다.

F. 원격 액세스를 위해 AWS 시스템 관리자 세션 관리자를 사용합니다.

Answer: A,C,F

NO.134 A large company in Europe plans to migrate its applications to the AWS Cloud. The company
uses multiple AWS accounts for various business groups. A data privacy law requires the company to
restrict developers' access to AWS European Regions only.
What should the solutions architect do to meet this requirement with the LEAST amount of
management overhead^
(A). Create IAM users and IAM groups in each account. Create 1AM policies to limit access to non-
European Regions Attach the 1AM policies to the 1AM groups
(B). Enable AWS Organizations, attach the AWS accounts, and create OUs for European Regions and
non-European Regions. Create SCPs to limit access to non-European Regions and attach the policies
to the OUs.
(C). Set up AWS Single Sign-On and attach AWS accounts. Create permission sets with policies to
restrict access to non-European Regions Create 1AM users and 1AM groups in each account.
(D). Enable AWS Organizations, attach the AWS accounts, and create OUs for European Regions and
non-European Regions. Create permission sets with policies to restrict access to non-European
Regions.Create 1AM users and 1AM groups in the primary account.

 

유럽의 한 대기업은 애플리케이션을 AWS 클라우드로 마이그레이션할 계획입니다. 이 회사는 다양한 비즈니스 그룹에 여러 AWS 계정을 사용합니다. 데이터 개인 정보 보호법에 따라 회사는 AWS 유럽 리전에만 개발자의 액세스를 제한해야 합니다.

최소한의 관리 오버헤드로 이 요구 사항을 충족하기 위해 솔루션 설계자는 무엇을 해야 합니까?

A. 각 계정에서 IAM 사용자와 IAM 그룹을 생성합니다. 비유럽 리전에 대한 액세스를 제한하는 IAM 정책을 생성합니다. IAM 정책을 IAM 그룹에 연결합니다.

B. AWS 조직을 활성화하고, AWS 계정을 연결하고, 유럽 리전 및 비유럽 리전에 대한 OU를 생성합니다. SCP를 생성하여 비유럽 지역에 대한 액세스를 제한하고 정책을 OU에 연결합니다.

C. AWS 싱글 사인온을 설정하고 AWS 계정을 연결합니다. 비유럽 리전에 대한 액세스를 제한하는 정책을 사용하여 권한 집합을 생성합니다. 각 계정에 IAM 사용자 및 IAM 그룹을 생성합니다.

D. AWS 조직을 활성화하고, AWS 계정을 연결하고, 유럽 리전 및 비유럽 리전에 대한 OU를 생성합니다. 비유럽 지역에 대한 액세스를 제한하는 정책을 사용하여 권한 집합을 만듭니다. 기본 계정에서 IAM 사용자 및 IAM 그룹을 생성합니다.

Answer: B

NO.135 A company has developed a web application. The company is hosting the application on a
group of Amazon EC2 instances behind an Application Load Balancer. The company wants to improve
the security posture of the application and plans to use AWS WAF web ACLs. The solution must not
adversely affect legitimate traffic to the application.
How should a solutions architect configure the web ACLs to meet these requirements?
(A). Set the action of the web ACL rules to Count. Enable AWS WAF logging Analyze the requests for
false positives Modify the rules to avoid any false positive Over time change the action of the web
ACL rules from Count to Block.
(B). Use only rate-based rules in the web ACLs. and set the throttle limit as high as possible
Temporarily block all requests that exceed the limit. Define nested rules to narrow the scope of the
rate tracking.
(C). Set the action o' the web ACL rules to Block. Use only AWS managed rule groups in the web ACLs
Evaluate the rule groups by using Amazon CloudWatch metrics with AWS WAF sampled requests or
AWS WAF logs.
(D). Use only custom rule groups in the web ACLs. and set the action to Allow Enable AWS WAF
logging Analyze the requests tor false positives Modify the rules to avoid any false positive Over time,
change the action of the web ACL rules from Allow to Block.

 

한 회사에서 웹 애플리케이션을 개발했습니다. 이 회사는 애플리케이션 로드 밸런서 뒤에 있는 Amazon EC2 인스턴스 그룹에서 애플리케이션을 호스팅하고 있습니다. 이 회사는 애플리케이션의 보안 태세를 개선하고자 하며 AWS WAF 웹 ACL을 사용할 계획입니다. 이 솔루션은 애플리케이션에 대한 합법적인 트래픽에 부정적인 영향을 주어서는 안 됩니다.

솔루션 설계자는 이러한 요구 사항을 충족하도록 웹 ACL을 어떻게 구성해야 합니까?

A. 웹 ACL 규칙의 작업을 카운트로 설정합니다. AWS WAF 로깅 활성화 오탐에 대한 요청 분석 오탐을 방지하기 위해 규칙을 수정합니다. 시간이 지남에 따라 웹 ACL 규칙의 작업을 카운트에서 차단으로 변경합니다.

B. 웹 ACL에는 속도 기반 규칙만 사용하고 스로틀 제한을 가능한 높게 설정합니다. 제한을 초과하는 모든 요청을 일시적으로 차단합니다.중첩 규칙을 정의하여 속도 추적의 범위를 좁힙니다.

C. 웹 ACL 규칙의 작업을 차단으로 설정합니다. 웹 ACL에는 AWS 관리형 규칙 그룹만 사용 AWS WAF 샘플링된 요청 또는 AWS WAF 로그와 함께 Amazon CloudWatch 지표를 사용하여 규칙 그룹을 평가합니다.

D. 웹 ACL에는 사용자 지정 규칙 그룹만 사용하고 작업을 AWS WAF 로깅 활성화 허용으로 설정합니다. 오탐에 대한 요청 분석 오탐을 방지하기 위해 규칙을 수정합니다. 시간이 지남에 따라 웹 ACL 규칙의 작업을 허용에서 차단으로 변경합니다.

Answer: B

NO.136 A company wants to migrate an application to Amazon EC2 from VMware Infrastructure
that runs in an on-premises data center. A solutions architect must preserve the software and
configuration settings during the migration.
What should the solutions architect do to meet these requirements?
(A). Configure the AWS DataSync agent to start replicating the data store to Amazon FSx for Windows
File Server Use the SMB share to host the VMware data store. Use VM Import/Export to move the
VMs to Amazon EC2.
(B). Use the VMware vSphere client to export the application as an image in Open Virealization
Format (OVF) format Create an Amazon S3 bucket to store the image in the destination AWS Region.
Create and apply an 1AM role for VM Import Use the AWS CLI to run the EC2 import command.
(C). Configure AWS Storage Gateway for files service to export a Common Internet File System (CIFSJ
share. Create a backup copy to the shared folder. Sign in to the AWS Management Console and
create an AMI from the backup copy Launch an EC2 instance that is based on the AMI.
(D). Create a managed-instance activation for a hybrid environment in AWS Systems Manager.
Download and install Systems Manager Agent on the on-premises VM Register the VM with Systems
Manager to be a managed instance Use AWS Backup to create a snapshot of the VM and create an
AMI. Launch an EC2 instance that is based on the AMI.

 

기업이 온프레미스 데이터 센터에서 실행되는 VMware 인프라에서 Amazon EC2로 애플리케이션을 이전하고자 합니다. 마이그레이션하는 동안 솔루션 설계자는 소프트웨어 및 구성 설정을 유지해야 합니다.

이러한 요구 사항을 충족하기 위해 솔루션 설계자는 무엇을 해야 합니까?

A. Windows 파일 서버용 Amazon FSx에 데이터 스토어를 복제하기 시작하도록 AWS DataSync 에이전트를 구성합니다. SMB 공유를 사용하여 VMware 데이터 저장소를 호스팅합니다. VM 가져오기/내보내기를 사용하여 VM을 Amazon EC2로 이동합니다.

B. VMware vSphere 클라이언트를 사용하여 애플리케이션을 OVF (개방형 가상화 형식) 형식의 이미지로 내보냅니다. Amazon S3 버킷을 생성하여 대상 AWS 리전에 이미지를 저장합니다. VM 가져오기를 위한 IAM 역할을 생성하고 적용합니다.AWS CLI를 사용하여 EC2 가져오기 명령을 실행합니다.

C. 공통 인터넷 파일 시스템 (CIFS) 공유를 내보내도록 파일 서비스용 AWS 스토리지 게이트웨이를 구성합니다. 공유 폴더에 백업 복사본을 만듭니다. AWS 관리 콘솔에 로그인하고 백업 사본에서 AMI를 생성합니다. AMI를 기반으로 하는 EC2 인스턴스를 시작합니다.

D. AWS Systems Manager에서 하이브리드 환경에 대한 관리형 인스턴스 활성화를 생성합니다. 온프레미스 VM에 시스템 관리자 에이전트를 다운로드하여 설치합니다. 시스템 관리자에 VM을 등록하여 관리형 인스턴스로 만듭니다. AWS 백업을 사용하여 VM의 스냅샷을 생성하고 AMI를 생성합니다. AMI를 기반으로 하는 EC2 인스턴스를 시작합니다.

Answer: B

NO.137 A group of research institutions and hospitals are in a partnership to study 2 PBs of genomic
data. The institute that owns the data stores it in an Amazon S3 bucket and updates it regularly. The
institute would like to give all of the organizations in the partnership read access to the data. All
members of the partnership are extremety cost-conscious, and the institute that owns the account
with the S3 bucket is concerned about covering the costs tor requests and data transfers from
Amazon S3.
Which solution allows for secure datasharing without causing the institute that owns the bucket to
assume all the costs for S3 requests and data transfers'?
(A). Ensure that all organizations in the partnership have AWS accounts. In the account with the S3
bucket, create a cross-account role for each account in the partnership that allows read access to the
data. Have the organizations assume and use that read role when accessing the data.
(B). Ensure that all organizations in the partnership have AWS accounts. Create a bucket policy on the
bucket that owns the data The policy should allow the accounts in the partnership read access to the
bucket. Enable Requester Pays on the bucket. Have the organizations use their AWS credentials when
accessing the data.
(C). Ensure that all organizations in the partnership have AWS accounts. Configure buckets in each of
the accounts with a bucket policy that allows the institute that owns the data the ability to write to
the bucket Periodically sync the data from the institute's account to the other organizations. Have the
organizations use their AWS credentials when accessing the data using their accounts
(D). Ensure that all organizations in the partnership have AWS accounts. In the account with the S3
bucket, create a cross-account role for each account in the partnership that allows read access to the
data. Enable Requester Pays on the bucket. Have the organizations assume and use that read role
when accessing the data.

 

연구 기관과 병원 그룹이 2PB의 게놈 데이터를 연구하기 위해 파트너십을 맺고 있습니다. 데이터를 소유한 기관은 데이터를 Amazon S3 버킷에 저장하고 정기적으로 업데이트합니다. 연구소는 파트너십의 모든 조직에 데이터에 대한 읽기 액세스 권한을 부여하고자 합니다. 파트너십의 모든 구성원은 비용에 매우 민감하며 S3 버킷으로 계정을 소유한 기관은 Amazon S3의 요청 및 데이터 전송 비용을 부담하는 것에 대해 우려하고 있습니다.

버킷을 소유한 기관이 S3 요청 및 데이터 전송에 대한 모든 비용을 부담하지 않으면서 데이터를 안전하게 공유할 수 있는 솔루션은 무엇입니까?

A. 파트너십의 모든 조직에 AWS 계정이 있는지 확인합니다. S3 버킷이 있는 계정에서 파트너쉽의 각 계정에 대해 데이터에 대한 읽기 액세스를 허용하는 교차 계정 역할을 생성합니다. 조직이 데이터에 액세스할 때 해당 읽기 역할을 가정하고 사용하도록 합니다.

B. 파트너십의 모든 조직에 AWS 계정이 있는지 확인합니다. 데이터를 소유하는 버킷에 버킷 정책을 생성합니다. 이 정책은 파트너쉽의 계정이 버킷에 대한 읽기 액세스 권한을 허용해야 합니다. 버킷에서 요청자 지불을 활성화합니다.조직이 데이터에 액세스할 때 AWS 자격 증명을 사용하도록 합니다.

C. 파트너십의 모든 조직에 AWS 계정이 있는지 확인합니다. 데이터를 소유한 기관이 버킷에 쓸 수 있도록 허용하는 버킷 정책을 사용하여 각 계정의 버킷을 구성합니다. 연구소 계정의 데이터를 다른 조직과 주기적으로 동기화합니다. 조직이 계정을 사용하여 데이터에 액세스할 때 AWS 자격 증명을 사용하도록 합니다.

D. 파트너십의 모든 조직에 AWS 계정이 있는지 확인합니다. S3 버킷이 있는 계정에서 파트너쉽의 각 계정에 대해 데이터에 대한 읽기 액세스를 허용하는 교차 계정 역할을 생성합니다. 버킷에서 요청자 지불을 활성화합니다.조직이 데이터에 액세스할 때 해당 읽기 역할을 가정하고 사용하도록 합니다.

Answer: B

NO.138 A company runs a popular web application in an on-premises data center. The application
receives four million views weekly. The company expects traffic to increase by 200% because of an
advertisement that will be published soon.
The company needs to decrease the load on the origin before the increase of traffic occurs. The
company does not have enough time to move the entire application to the AWS Cloud.
Which solution will meet these requirements?
(A). Create an Amazon CloudFront content delivery network (CDN). Enable query forwarding to the
origin.Create a managed cache policy that includes query strings. Use an on-premises load balancer
as the origin. Offload the DNS querying to AWS to handle CloudFront CDN traffic.
(B). Create an Amazon CloudFront content delivery network (CDN) that uses a Real Time Messaging
Protocol (RTMP) distribution. Enable query forwarding to the origin. Use an on-premises load
balancer as the origin. Offload the DNS querying to AWS to handle CloudFront CDN traffic.
(C). Create an accelerator in AWS Global Accelerator. Add listeners for HTTP and HTTPS TCP
ports.Create an endpoint group. Create a Network Load Balancer (NLB), and attach it to the endpoint
group.Point the NLB to the on-premises servers. Offload the DNS querying to AWS to handle AWS
Global Accelerator traffic.
(D). Create an accelerator in AWS Global Accelerator. Add listeners for HTTP and HTTPS TCP
ports.Create an endpoint group. Create an Application Load Balancer (ALB), and attach it to the
endpoint group. Point the ALB to the on-premises servers. Offload the DNS querying to AWS to
handle AWS Global Accelerator traffic.

 

한 회사가 온프레미스 데이터 센터에서 인기 있는 웹 애플리케이션을 실행합니다. 이 애플리케이션은 매주 4백만 회의 조회수를 받습니다. 이 회사는 곧 게시 될 광고로 인해 트래픽이 200% 증가 할 것으로 예상합니다. 회사는 트래픽이 증가하기 전에 오리진의 부하를 줄여야 합니다. 이 회사는 전체 애플리케이션을 AWS 클라우드로 이전할 시간이 충분하지 않습니다.

이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. Amazon CloudFront 콘텐츠 전송 네트워크 (CDN) 를 생성합니다. 원본으로의 쿼리 전달을 활성화합니다. 쿼리 문자열을 포함하는 관리형 캐시 정책을 만듭니다. 온프레미스 로드 밸런서를 오리진으로 사용합니다. DNS 쿼리를 AWS로 오프로드하여 CloudFront CDN 트래픽을 처리합니다.

B. RTMP (실시간 메시징 프로토콜) 배포를 사용하는 Amazon CloudFront 콘텐츠 전송 네트워크 (CDN) 를 생성합니다. 원본으로의 쿼리 전달을 활성화합니다. 온프레미스 로드 밸런서를 오리진으로 사용합니다. DNS 쿼리를 AWS로 오프로드하여 CloudFront CDN 트래픽을 처리합니다.

C. AWS Global Accelerator에서 액셀러레이터를 생성합니다. HTTP 및 HTTPS TCP 포트에 대한 리스너를 추가합니다. 엔드포인트 그룹을 생성합니다. NLB (네트워크 부하 분산 장치) 를 만들어 엔드포인트 그룹에 연결합니다. NLB가 온-프레미스 서버를 가리키도록 합니다. DNS 쿼리를 AWS로 오프로드하여 AWS Global Accelerator 트래픽을 처리합니다.

D. AWS Global Accelerator에서 액셀러레이터를 생성합니다. HTTP 및 HTTPS TCP 포트에 대한 리스너를 추가합니다. 엔드포인트 그룹을 생성합니다. 애플리케이션 로드 밸런서 (ALB) 를 생성하여 엔드포인트 그룹에 연결합니다. ALB가 온프레미스 서버를 가리키도록 합니다. DNS 쿼리를 AWS로 오프로드하여 AWS Global Accelerator 트래픽을 처리합니다.

Answer: C A

NO.139 A solutions architect is responsible (or redesigning a legacy Java application to improve its
availability, data durability, and scalability. Currently, the application runs on a single high-memory
Amazon EC2 instance. It accepts HTTP requests Irom upstream clients, adds them to an in-memory
queue, and responds with a 200 status. A separate application thread reads items from the queue,
processes them, and persists the results to an Amazon RDS MySQL instance. The processing time for
each item takes 90 seconds on average, most ol which is spent waiting on external service calls, but
the application is written to process multiple items in parallel.
Traffic to this service is unpredictable. During periods of high load, items may sit in the internal queue
for over an hour while the application processes the backlog. In addition, the current system has
issues with availability and data loss if the single application node fails.
Clients that access this service cannot be modified. They expect to receive a response to each HTTP
request they send within 10 seconds before they will time out and retry the request.
Which approach would improve the availability and durability of (he system while decreasing the
processing latency and minimizing costs?
(A). Create an Amazon API Gateway REST API that uses Lambda proxy integration to pass requests to
an AWS Lambda function. Migrate the core processing code to a Lambda function and write a
wrapper class that provides a handler method that converts the proxy events to the internal
application data model and invokes the processing module.
(B). Create an Amazon API Gateway REST API that uses a service proxy to put items in an Amazon SOS
queue. Extract the core processing code from the existing application and update it to pull items from
Amazon SOS instead of an in-memory queue. Deploy the new processing application to smaller EC2
instances within an Auto Scaling group that scales dynamically based on the approximate number of
messages in the Amazon SOS queue.
(C). Modify the application to use Amazon DynamoDB instead of Amazon RDS. Configure Auto Scaling
for the DynamoDB table. Deploy the application within an Auto Scaling group with a scaling policy
based on CPU utilization. Back the in-memory queue with a memory-mapped file to an instance store
volume and periodically write that file to Amazon S3.
(D). Update the application to use a Redis task queue instead of the in-memory queue. 8uild a Docker
container image for the application. Create an Amazon ECS task definition that includes the
application container and a separate container to host Redis. Deploy the new task definition as an
ECS service using AWS Fargate, and enable Auto Scaling.

 

솔루션 설계자는 가용성, 데이터 내구성 및 확장성을 개선하기 위해 레거시 Java 애플리케이션을 재설계할 책임이 있습니다. 현재 애플리케이션은 고용량 메모리 Amazon EC2 인스턴스 하나에서 실행됩니다. 업스트림 클라이언트의 HTTP 요청을 수락하고 이를 인 메모리 대기열에 추가하고 200 상태로 응답합니다. 별도의 애플리케이션 스레드는 대기열에서 항목을 읽고 처리한 다음 결과를 Amazon RDS MySQL 인스턴스에 유지합니다. 각 항목의 처리 시간은 평균 90초가 걸리며, 대부분은 외부 서비스 호출을 기다리는 데 소요되지만 응용 프로그램은 여러 항목을 병렬로 처리하도록 작성됩니다. 이 서비스에 대한 트래픽은 예측할 수 없습니다. 로드가 많은 기간에는 애플리케이션이 백로그를 처리하는 동안 항목이 한 시간 이상 내부 대기열에 있을 수 있습니다. 또한 단일 애플리케이션 노드에 장애가 발생할 경우 현재 시스템의 가용성 및 데이터 손실 문제가 발생합니다. 이 서비스에 액세스하는 클라이언트는 수정할 수 없습니다. 시간이 초과되어 요청을 재시도하기 전에 10초 이내에 전송하는 각 HTTP 요청에 대한 응답을 수신할 것으로 예상합니다.

처리 대기 시간을 줄이고 비용을 최소화하면서 시스템의 가용성과 내구성을 개선하는 접근 방식은 무엇입니까?

A. Lambda 프록시 통합을 사용하여 요청을 AWS Lambda 함수로 전달하는 Amazon API Gateway REST API를 생성합니다. 핵심 처리 코드를 Lambda 함수로 마이그레이션하고 프록시 이벤트를 내부 애플리케이션 데이터 모델로 변환하고 처리 모듈을 호출하는 핸들러 메서드를 제공하는 래퍼 클래스를 작성합니다.

B. 서비스 프록시를 사용하여 Amazon SQS 대기열에 항목을 넣는 Amazon API Gateway REST API를 생성합니다. 기존 애플리케이션에서 코어 처리 코드를 추출하고 이를 업데이트하여 인 메모리 대기열 대신 Amazon SQS에서 항목을 가져옵니다. Amazon SQS 대기열의 대략적인 메시지 수에 따라 동적으로 확장되는 Auto Scaling 그룹 내의 소규모 EC2 인스턴스에 새 처리 애플리케이션을 배포합니다.

C. Amazon RDS 대신 Amazon DynamoDB를 사용하도록 애플리케이션을 수정합니다. DynamoDB 테이블에 대한 오토 스케일링을 구성합니다. CPU 사용률을 기반으로 하는 조정 정책을 사용하여 Auto Scaling 그룹 내에 애플리케이션을 배포합니다. 메모리 매핑된 파일이 있는 인 메모리 대기열을 인스턴스 스토어 볼륨으로 되돌리고 해당 파일을 Amazon S3에 주기적으로 씁니다.

D. 인 메모리 대기열 대신 Redis 작업 대기열을 사용하도록 애플리케이션을 업데이트합니다. 애플리케이션에 대한 Docker 컨테이너 이미지를 빌드합니다. 애플리케이션 컨테이너와 Redis를 호스팅할 별도의 컨테이너를 포함하는 Amazon ECS 작업 정의를 생성합니다. AWS Fargate를 사용하여 새 작업 정의를 ECS 서비스로 배포하고 자동 확장을 활성화합니다.

Answer: B

NO.140 A company has an organization in AWS Organizations that has a large number of AWS
accounts. One of the AWS accounts is designated as a transit account and has a transit gateway that
is shared with all of the other AWS accounts AWS Site-to-Site VPN connections are configured
between ail of the company's global offices and the transit account The company has AWS Config
enabled on all of its accounts.
The company's networking team needs to centrally manage a list of internal IP address ranges that
belong to the global offices Developers Will reference this list to gain access to applications securely.
Which solution meets these requirements with the LEAST amount of operational overhead?

(A). Create a JSON file that is hosted in Amazon S3 and that lists all of the internal IP address ranges
Configure an Amazon Simple Notification Service (Amazon SNS) topic in each of the accounts that can
be involved when the JSON file is updated. Subscribe an AWS Lambda function to the SNS topic to
update all relevant security group rules with Vie updated IP address ranges.
(B). Create a new AWS Config managed rule that contains all of the internal IP address ranges Use the
rule to check the security groups in each of the accounts to ensure compliance with the list of IP
address ranges. Configure the rule to automatically remediate any noncompliant security group that
is detected.
(C). In the transit account, create a VPC prefix list with all of the internal IP address ranges. Use AWS
Resource Access Manager to share the prefix list with all of the other accounts. Use the shared prefix
list to configure security group rules is the other accounts.
(D). In the transit account create a security group with all of the internal IP address ranges. Configure
the security groups in me other accounts to reference the transit account's security

 

AWS 조직 내에 AWS 계정이 많은 조직이 있는 회사가 있습니다. AWS 계정 중 하나가 전송 계정으로 지정되고 다른 모든 AWS 계정과 공유되는 전송 게이트웨이가 있습니다. AWS 사이트 간 VPN 연결은 회사의 글로벌 지사와 전송 계정 간에 구성됩니다. 이 회사는 모든 계정에서 AWS Config를 활성화했습니다. 이 회사의 네트워킹 팀은 글로벌 지사에 속한 내부 IP 주소 범위 목록을 중앙에서 관리해야 합니다. 개발자 이 목록을 참조하여 애플리케이션에 안전하게 액세스할 수 있습니다.

운영 오버헤드가 가장 적은 상태에서 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. Amazon S3에서 호스팅되고 모든 내부 IP 주소 범위를 나열하는 JSON 파일을 생성합니다. JSON 파일이 업데이트될 때 관련될 수 있는 각 계정에서 Amazon Simple Notification Service (Amazon SNS) 주제를 구성합니다. AWS Lambda 함수를 SNS 주제에 구독하여 업데이트된 IP 주소 범위 보기로 모든 관련 보안 그룹 규칙을 업데이트합니다.

B. 모든 내부 IP 주소 범위를 포함하는 새 AWS Config 관리형 규칙을 생성합니다. 규칙을 사용하여 각 계정의 보안 그룹이 IP 주소 범위 목록을 준수하는지 확인합니다. 탐지된 모든 비준수 보안 그룹을 자동으로 수정하도록 규칙을 구성합니다.

C. 전송 계정에서 모든 내부 IP 주소 범위를 포함하는 VPC 접두사 목록을 생성합니다. AWS 리소스 액세스 관리자를 사용하여 접두사 목록을 다른 모든 계정과 공유합니다. 공유 접두사 목록을 사용하여 보안 그룹 규칙을 다른 계정으로 구성합니다.

D. 전송 계정에서 모든 내부 IP 주소 범위로 보안 그룹을 만듭니다. 전송 계정의 보안을 참조하도록 다른 계정의 보안 그룹을 구성합니다.

Answer: A