NO.1 A company's solution architect is designing a diasaster recovery (DR) solution for an application
that runs on AWS. The application uses PostgreSQL 11.7 as its database. The company has an PRO of
30 seconds. The solutions architect must design a DR solution with the primary database in the us-east-1 Region and the database in the us-west-2 Region.
What should the solution architect do to meet these requirements with minimum application
change?
(A). Migrate the database to Amazon RDS for PostgreSQL in us-east-1. Set up a read replica up a read
replica in us-west-2. Set the managed PRO for the RDS database to 30 seconds.
(B). Migrate the database to Amazon for PostgreSQL in us-east-1. Set up a standby replica in an
Availability Zone in us-west-2, Set the managed PRO for the RDS database to 30 seconds.
(C). Migrate the database to an Amazon Aurora PostgreSQL global database with the primary Region
as us-east-1 and the secondary Region as us-west-2. Set the managed PRO for the Aurora database to
30 seconds.
(D). Migrate the database to Amazon DynamoDB in us-east-1. Set up global tables with replica tables
that are created in us-west-2.
한 회사의 솔루션 설계자가 AWS에서 실행되는 애플리케이션을 위한 재해 복구 (DR) 솔루션을 설계하고 있습니다. 이 애플리케이션은 PostgreSQL 11.7을 데이터베이스로 사용합니다. 회사의 PRO(복구 지점 목표)는 30 초입니다. 솔루션 설계자는 us-east-1 리전의 기본 데이터베이스와 us-west-2 리전의 데이터베이스를 사용하여 DR 솔루션을 설계해야 합니다.
애플리케이션 변경을 최소화하면서 이러한 요구 사항을 충족하기 위해 솔루션 설계자는 무엇을 해야 합니까?
A. 미국 동부-1의 PostgreSQL용 Amazon RDS로 데이터베이스를 마이그레이션합니다. us-west-2에서 읽기 전용 복제본을 설정하여 읽기 전용 복제본을 설정합니다. RDS 데이터베이스의 관리형 PRO를 30초로 설정합니다.
B. 미국 동부-1의 PostgreSQL을 위해 데이터베이스를 Amazon으로 마이그레이션합니다. us-west-2의 가용 영역에 예비 복제본을 설정하고 RDS 데이터베이스의 관리형 PRO를 30초로 설정합니다.
C. 기본 리전은 us-east-1이고 보조 리전은 us-west-2인 Amazon Aurora PostgreSQL 글로벌 데이터베이스로 데이터베이스를 마이그레이션합니다. Aurora 데이터베이스의 관리형 PRO를 30초로 설정합니다.
D. 데이터베이스를 미국 동부-1의 Amazon DynamoDB로 마이그레이션합니다. us-west-2에서 생성된 복제본 테이블로 전역 테이블을 설정합니다.
Answer: C
Amazon Aurora PostgreSQL 글로벌 데이터베이스, 관리형 RPO(복구 지점 목표) 지원
글로벌 데이터베이스는 각각 기본 클러스터의 리전과 다른 AWS 리전에 있는 보조 클러스터를 최대 5개까지 생성할 수 있게 해 주는 데이터베이스 구성입니다. 이러한 클러스터는 낮은 RPO(복구 지
aws.amazon.com
NO.2 A solutions architect must analyze a company's Amazon EC2 Instances and Amazon Elastic
Block Store (Amazon EBS) volumes to determine whether the company is using resources efficiently
The company is running several large, high-memory EC2 instances lo host database dusters that are
deployed in active/passive configurations The utilization of these EC2 instances varies by the
applications that use the databases, and the company has not identified a pattern The solutions
architect must analyze the environment and take action based on the findings.
Which solution meets these requirements MOST cost-effectively?
(A). Create a dashboard by using AWS Systems Manager OpsConter Configure visualizations tor
Amazon CloudWatch metrics that are associated with the EC2 instances and their EBS volumes
Review the dashboard periodically and identify usage patterns Rightsize the EC2 instances based on
the peaks in the metrics
(B). Turn on Amazon CloudWatch detailed monitoring for the EC2 instances and their EBS volumes
Create and review a dashboard that is based on the metrics Identify usage patterns Rightsize the FC?
instances based on the peaks In the metrics
(C). Install the Amazon CloudWatch agent on each of the EC2 Instances Turn on AWS Compute
Optimizer, and let it run for at least 12 hours Review the recommendations from Compute Optimizer,
and rightsize the EC2 instances as directed
(D). Sign up for the AWS Enterprise Support plan Turn on AWS Trusted Advisor Wait 12 hours Review
the recommendations from Trusted Advisor, and rightsize the EC2 instances as directed
솔루션 설계자는 회사의 Amazon EC2 인스턴스와 Amazon Elastic Block Store (Amazon EBS) 볼륨을 분석하여 회사에서 리소스를 효율적으로 사용하고 있는지 확인해야 합니다. 이 회사는 액티브/패시브 구성으로 배포된 여러 개의 대용량, 고용량 메모리 EC2 인스턴스 호스트 데이터베이스 클러스터를 실행하고 있습니다. 이러한 EC2 인스턴스의 사용률은 데이터베이스를 사용하는 애플리케이션에 따라 다르며 회사에서는 패턴을 식별하지 못했습니다. 솔루션 설계자는 환경을 분석하고 결과를 바탕으로 조치를 취해야 합니다.
이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?
A. AWS 시스템 관리자 OpsCenter를 사용하여 대시보드를 생성합니다. EC2 인스턴스 및 해당 EBS 볼륨과 연결된 Amazon CloudWatch 지표에 대한 시각화를 구성합니다. 대시보드를 주기적으로 검토하고 사용 패턴을 식별합니다. 지표의 피크를 기준으로 EC2 인스턴스의 크기를 적절하게 조정합니다.
B. EC2 인스턴스와 해당 EBS 볼륨에 대한 Amazon CloudWatch 세부 모니터링을 켭니다. 지표를 기반으로 하는 대시보드를 만들고 검토합니다. 사용 패턴을 식별합니다. 지표의 피크를 기준으로 EC2 인스턴스의 크기를 적절하게 조정합니다.
C. 각 EC2 인스턴스에 Amazon CloudWatch 에이전트를 설치합니다. AWS 컴퓨트 옵티마이저를 켜고 12시간 이상 실행되도록 합니다. 컴퓨팅 옵티마이저의 권장 사항을 검토하고 지침에 따라 EC2 인스턴스의 크기를 적절하게 조정합니다.
D. AWS 엔터프라이즈 지원 플랜에 가입합니다. AWS 신뢰할 수 있는 조언자를 켭니다. 12시간 기다립니다. Trusted Advisor의 권장 사항을 검토하고 지침에 따라 EC2 인스턴스의 크기를 적절하게 조정합니다.
Answer: C
NO.3 A company wants to use Amazon S3 to back up its on-premises file storage solution. The
company s on-premises file storage solution supports NFS and the company wants its new solution to
support NFS The company wants to archive the backup Files after 5 days If the company needs
archived files for disaster recovery, the company is willing to wait a few days for the retrieval of those
Files.
Which solution meets these requirements MOST cost-effectively?
(A). Deploy an AWS Storage Gateway file gateway that is associated with an S3 bucket Move the files
from the on-premises file storage solution to the file gateway Create an S3 Lifecycle rule to move the
files to S3 Standard-Infrequent Access (S3 Standard-IA) after 5 days
(B). Deploy an AWS Storage Gateway volume gateway that is associated with an S3 bucket Move the
files from the on-premises file storage solution to the volume gateway Create an S3 Lifecycle rule to
move the files to S3 Glacier Deep Archive after 5 days
(C). Deploy an AWS Storage Gateway tape gateway that is associated with an S3 bucket Move the
files from the on-premises file storage solution to the tape gateway Create an S3 Lifecycle rule to
move the files to S3 Standard-Infrequent Access (S3 Standard-IA) after 5 days
(D). Deploy an AWS Storage Gateway file gateway that is associated with an S3 bucket Move the files
from the on-premises file storage solution to the file gateway Create an S3 Lifecycle rule to move the
files to S3 Glacier Deep Archive after 5 days
한 회사에서 Amazon S3를 사용하여 온프레미스 파일 스토리지 솔루션을 백업하려고 합니다. 이 회사의 온프레미스 파일 스토리지 솔루션은 NFS를 지원하며 NFS를 지원하는 새로운 솔루션을 원합니다. 5 일 후에 백업 파일을 아카이빙하려고 합니다. 회사에서 재해 복구를 위해 아카이브된 파일이 필요한 경우 해당 파일을 검색하기 위해 며칠을 기다릴 수 있습니다.
이러한 요구 사항을 가장 비용 효율적으로 충족하는 솔루션은 무엇입니까?
A. S3 버킷과 연결된 AWS Storage Gateway 파일 게이트웨이를 배포합니다. 온프레미스 파일 스토리지 솔루션에서 파일 게이트웨이로 파일을 이동합니다. 5일 후에 파일을 S3 Standard-Infrequent Access (S3 Standard-IA) 로 이동하는 S3 수명 주기 규칙을 생성합니다.
B. S3 버킷과 연결된 AWS Storage Gateway 볼륨 게이트웨이 배포 온프레미스 파일 스토리지 솔루션에서 볼륨 게이트웨이로 파일을 이동합니다. 5일 후에 파일을 S3 Glacier Deep Archive로 이동하는 S3 수명 주기 규칙을 생성합니다.
C. S3 버킷과 연결된 AWS Storage Gateway 테이프 게이트웨이 배포 온프레미스 파일 스토리지 솔루션에서 테이프 게이트웨이로 파일을 이동합니다. 5일 후에 파일을 S3 Standard-Infrequent Access (S3 Standard-IA) 로 이동하는 S3 수명 주기 규칙을 생성합니다.
D. S3 버킷과 연결된 AWS Storage Gateway 파일 게이트웨이를 배포합니다. 온프레미스 파일 스토리지 솔루션에서 파일 게이트웨이로 파일을 이동합니다. 5일 후에 파일을 S3 Glacier Deep Archive로 이동하는 S3 수명 주기 규칙을 생성합니다.
Answer: D
NO.4 A company is planning on hosting its ecommerce platform on AWS using a multi-tier web
application designed for a NoSOL database. The company plans to use the us-west-2 Region as its
primary Region. The company want to ensure that copies of the application and data are available in
a second Region, us-west-1, for disaster recovery. The company wants to keep the time to fail over as
low as possible. Failing back to the primary Region should be possible without administrative
interaction after the primary service is restored.
Which design should the solutions architect use?
(A). Use AWS Cloud Formation StackSets lo create the stacks in both Regions with Auto Scaling groups
for the web and application tiers. Asynchronously replicate static content between Regions using
Amazon S3 cross-Region replication. Use an Amazon Route 53 DNS failover routing policy to direct
users to the secondary site in us-west-1 in the event of an outage. Use Amazon DynamoDB global
tables for the database tier.
(B). Use AWS Cloud Formation StackSets to create the stacks in both Regions with Auto Scaling
groups for the web and application tiers. Asynchronously replicate static content between Regions
using Amazon S3 cross-Region replication. Use an Amazon Route 53 DNS failover routing policy to
direct users to the secondary site in us-west-1 in the event of an outage. Deploy an Amazon Aurora
global database for the database tier.
(C). Use AWS Service Catalog to deploy the web and application servers in both Regions.
Asynchronously replicate static content between the two Regions using Amazon S3 cross-Region
replication. Use Amazon Route 53 health checks to identify a primary Region failure and update the
public DNS entry listing to the secondary Region in the event of an outage. Use Amazon RDS for
MySQL with cross-Region replication for the database tier.
(D). Use AWS CloudFormation StackSets to create the stacks in both Regions using Auto Scaling
groups for the web and application tiers. Asynchronously replicate static content between Regions
using Amazon S3 cross-Region replication. Use Amazon CloudFront with static files in Amazon S3, and
multi-Region origins for the front-end web tier. Use Amazon DynamoD8 tables in each Region with
scheduled backups to Amazon S3.
한 회사에서 NoSQL 데이터베이스용으로 설계된 다중 계층 웹 애플리케이션을 사용하여 AWS에서 전자 상거래 플랫폼을 호스팅할 계획입니다. 이 회사는 us-west-2 리전을 기본 리전으로 사용할 계획입니다.이 회사는 재해 복구를 위해 애플리케이션 및 데이터의 사본을 두 번째 리전인 us-west-1에서 사용할 수 있도록 보장하려고 합니다. 이 회사는 페일오버 시간을 가능한 한 낮게 유지하려고 합니다. 기본 서비스가 복원된 후 관리 상호 작용 없이 기본 리전으로 페일백할 수 있어야 합니다.
솔루션 설계자는 어떤 설계를 사용해야 합니까?
A. AWS CloudFormation 스택세트를 사용하여 웹 및 애플리케이션 티어에 대한 Auto Scaling 그룹이 있는 두 리전 모두에서 스택을 생성합니다. Amazon S3 교차 리전 복제를 사용하여 리전 간에 정적 콘텐츠를 비동기적으로 복제합니다. 중단 발생 시 Amazon Route 53 DNS 장애 조치 라우팅 정책을 사용하여 사용자를 us-west-1의 보조 사이트로 안내합니다. 데이터베이스 계층에는 Amazon DynamoDB 글로벌 테이블을 사용합니다.
B. AWS CloudFormation 스택세트를 사용하여 웹 및 애플리케이션 티어에 대한 Auto Scaling 그룹이 있는 두 리전 모두에서 스택을 생성합니다. Amazon S3 교차 리전 복제를 사용하여 리전 간에 정적 콘텐츠를 비동기적으로 복제합니다.중단 발생 시 Amazon Route 53 DNS 장애 조치 라우팅 정책을 사용하여 사용자를 us-west-1의 보조 사이트로 안내합니다. 데이터베이스 계층에 대해 Amazon Aurora 글로벌 데이터베이스를 배포합니다.
C. AWS Service Catalog를 사용하여 두 리전에 웹 및 애플리케이션 서버를 배포합니다. Amazon S3 교차 리전 복제를 사용하여 두 리전 간에 정적 콘텐츠를 비동기적으로 복제합니다. Amazon Route 53 상태 확인을 사용하여 기본 리전 장애를 식별하고 중단 시 퍼블릭 DNS 항목 목록을 보조 리전으로 업데이트합니다. 데이터베이스 티어에 대한 교차 리전 복제와 함께 MySQL용 Amazon RDS를
D. AWS CloudFormation 스택세트를 사용하여 웹 및 애플리케이션 티어에 대한 Auto Scaling 그룹을 사용하여 두 리전 모두에서 스택을 생성할 수 있습니다. Amazon S3 교차 리전 복제를 사용하여 리전 간에 정적 콘텐츠를 비동기적으로 복제합니다. Amazon S3의 정적 파일과 함께 Amazon CloudFront를 사용하고 프런트 엔드 웹 티어에는 다중 리전 오리진을 사용합니다. 각 리전에서 Amazon S3로의 예약 백업과 함께 Amazon DynamoDB 테이블을 사용합니다.
Answer: A
NO.5 A company is planning to host a web application on AWS and works to load balance the traffic
across a group of Amazon EC2 instances. One of the security requirements is to enable end-to-end
encryption in transit between the client and the web server.
Which solution will meet this requirement?
(A). Place the EC2 instances behind an Application Load Balancer (ALB) Provision an SSL certificate
using AWS Certificate Manager (ACM), and associate the SSL certificate with the ALB. Export the SSL
certificate and install it on each EC2 instance. Configure the ALB to listen on port 443 and to forward
traffic to port 443 on the instances.
(B). Associate the EC2 instances with a target group. Provision an SSL certificate using AWS Certificate
Manager (ACM). Create an Amazon CloudFront distribution and configure It to use the SSL certificate.
Set CloudFront to use the target group as the origin server
(C). Place the EC2 instances behind an Application Load Balancer (ALB). Provision an SSL certificate
using AWS Certificate Manager (ACM), and associate the SSL certificate with the ALB. Provision a
third-party SSL certificate and install it on each EC2 instance Configure the ALB to listen on port 443
and to forward traffic to port 443 on the instances.
(D). Place the EC2 instances behind a Network Load Balancer (NLB). Provision a third-party SSL
certificate and install it on the NLB and on each EC2 instance. Configure the NLB to listen on port 443
and to forward traffic to port 443 on the instances.
한 회사가 AWS에서 웹 애플리케이션을 호스팅할 계획이며 Amazon EC2 인스턴스 그룹 전체에서 트래픽을 로드 밸런싱하기 위해 노력하고 있습니다. 보안 요구 사항 중 하나는 클라이언트와 웹 서버 간에 전송되는 종단 간 암호화를 활성화하는 것입니다.
이 요구 사항을 충족하는 솔루션은 무엇입니까?
A. EC2 인스턴스를 애플리케이션 로드 밸런서 (ALB) 뒤에 배치하고 AWS 인증서 관리자 (ACM) 를 사용하여 SSL 인증서를 프로비저닝하고 SSL 인증서를 ALB에 연결합니다. SSL 인증서를 내보내고 각 EC2 인스턴스에 설치합니다. ㄴ포트 443에서 수신 대기하고 인스턴스의 포트 443으로 트래픽을 전달하도록 ALB를 구성합니다.
B. EC2 인스턴스를 대상 그룹과 연결합니다. AWS 인증서 관리자 (ACM) 를 사용하여 SSL 인증서를 프로비저닝합니다. Amazon CloudFront 배포를 생성하고 SSL 인증서를 사용하도록 구성합니다. 대상 그룹을 오리진 서버로 사용하도록 CloudFront를 설정합니다.
C. EC2 인스턴스를 애플리케이션 로드 밸런서 (ALB) 뒤에 배치합니다. AWS 인증서 관리자 (ACM) 를 사용하여 SSL 인증서를 프로비저닝하고 SSL 인증서를 ALB에 연결합니다. 타사 SSL 인증서를 프로비저닝하고 각 EC2 인스턴스에 설치합니다. 포트 443에서 수신 대기하고 인스턴스의 포트 443으로 트래픽을 전달하도록 ALB를 구성합니다.
D. EC2 인스턴스를 NLB (네트워크 로드 밸런서) 뒤에 배치합니다. 타사 SSL 인증서를 프로비저닝하고 NLB 및 각 EC2 인스턴스에 설치합니다. 포트 443에서 수신 대기하고 인스턴스의 포트 443으로 트래픽을 전달하도록 NLB를 구성합니다.
Answer: C
NO.6 A company is running an application on several Amazon EC2 instances in an Auto Scaling group
behind an Application Load Balancer. The load on the application varies throughout the day, and EC2
instances are scaled in and out on a regular basis. Log files from the EC2 instances are copied to a
central Amazon S3 bucket every 15 minutes. The security team discovers that log files are missing
from some of the terminated EC2 instances.
Which set of actions will ensure that log files are copied to the central S3 bucket from the terminated
EC2 instances?
(A). Create a script to copy log files to Amazon S3, and store the script in a file on the EC2 instance.
Create an Auto Scaling lifecycle hook and an Amazon EventBridge (Amazon CloudWatch Events) rule
to detect lifecycle events from the Auto Scaling group. Invoke an AWS Lambda function on the
autoscaling:EC2_INSTANCE_TERMINATING transition to send ABANDON to the Auto Scaling group to
prevent termination, run the script to copy the log files, and terminate the instance using the AWS
SDK.
(B). Create an AWS Systems Manager document with a script to copy log files to Amazon S3. Create
an Auto Scaling lifecycle hook and an Amazon EventBridge (Amazon CloudWatch Events) rule to
detect lifecycle events from the Auto Scaling group. Invoke an AWS Lambda function on the
autoscaling:EC2_INSTANCE_TERMINATING transition to call the AWS Systems Manager API
SendCommand operation to run the document to copy the log files and send CONTINUE to the Auto
Scaling group to terminate the instance.
(C). Change the log delivery rate to every 5 minutes. Create a script to copy log files to Amazon S3,
and add the script to EC2 instance user data. Create an Amazon EventBridge (Amazon CloudWatch
Events) rule to detect EC2 instance termination. Invoke an AWS Lambda function from the
EventBridge (CloudWatch Events) rule that uses the AWS CLI to run the user-data script to copy the
log files and terminate the instance.
(D). Create an AWS Systems Manager document with a script to copy log files to Amazon S3. Create
an Auto Scaling lifecycle hook that publishes a message to an Amazon Simple Notification Service
(Amazon SNS) topic. From the SNS notification, call the AWS Systems Manager API SendCommand
operation to run the document to copy the log files and send ABANDON to the Auto Scaling group to
terminate the instance.
한 회사가 애플리케이션 로드 밸런서 뒤에 있는 Auto Scaling 그룹의 여러 Amazon EC2 인스턴스에서 애플리케이션을 실행하고 있습니다. 애플리케이션에 대한 로드는 하루 종일 달라지며 EC2 인스턴스는 정기적으로 확장 및 축소됩니다. EC2 인스턴스의 로그 파일은 15분마다 중앙 Amazon S3 버킷으로 복사됩니다. 보안 팀은 종료된 EC2 인스턴스 중 일부에서 로그 파일이 누락되었음을 발견합니다.
로그 파일이 종료된 EC2 인스턴스에서 중앙 S3 버킷으로 복사되도록 보장하는 작업 세트는 무엇입니까?
A. 스크립트를 생성하여 로그 파일을 Amazon S3에 복사하고 EC2 인스턴스의 파일에 스크립트를 저장합니다. 오토 스케일링 수명 주기 후크 및 Amazon EventBridge (Amazon CloudWatch Events) 규칙을 생성하여 오토 스케일링 그룹에서 수명 주기 이벤트를 감지합니다. 자동 확장:EC2_Instance_terminating 전환에서 AWS Lambda 함수를 호출하여 종료를 방지하기 위해 ABANDON을 Auto Scaling 그룹에 보내고, 스크립트를 실행하여 로그 파일을 복사하고, AWS SDK를 사용하여 인스턴스를 종료합니다.
B. 로그 파일을 Amazon S3로 복사하는 스크립트가 포함된 AWS 시스템 관리자 문서를 생성합니다. 오토 스케일링 수명 주기 후크 및 Amazon EventBridge (Amazon CloudWatch Events) 규칙을 생성하여 오토 스케일링 그룹에서 수명 주기 이벤트를 감지합니다. 자동 확장:EC2_Instance_terminating 전환에서 AWS Lambda 함수를 호출하여 AWS 시스템 관리자 API sendCommand 작업을 호출하여 문서를 실행하여 로그 파일을 복사하고 자동 조정 그룹에 CONTINUE를 전송하여 인스턴스를 종료합니다.
C. 로그 전송 속도를 5분마다 변경합니다. 로그 파일을 Amazon S3에 복사하는 스크립트를 생성하고 EC2 인스턴스 사용자 데이터에 스크립트를 추가합니다. EC2 인스턴스 종료를 감지하는 Amazon EventBridge (Amazon CloudWatch Events) 규칙을 생성합니다.AWS CLI를 사용하여 사용자 데이터 스크립트를 실행하여 로그 파일을 복사하고 인스턴스를 종료하는 EventBridge (CloudWatch 이벤트) 규칙에서 AWS Lambda 함수를 호출합니다.
D. 로그 파일을 Amazon S3로 복사하는 스크립트가 포함된 AWS 시스템 관리자 문서를 생성합니다. Amazon Simple Notification Service (Amazon SNS) 주제에 메시지를 게시하는 Auto Scaling 수명 주기 후크를 생성합니다. SNS 알림에서 AWS 시스템 관리자 API sendCommand 작업을 호출하여 문서를 실행하여 로그 파일을 복사하고 ABANDON을 오토 스케일링 그룹에 전송하여 인스턴스를 종료합니다.
Answer: B
NO.7 A company has a data lake in Amazon S3 that needs to be accessed by hundreds of
applications across many AWS accounts. The company's information security policy states that the S3
bucket must not be accessed over the public internet and that each application should have the
minimum permissions necessary to function.
To meet these requirements, a solutions architect plans to use an S3 access point that is restricted to
specific VPCs tor each application.
Which combination of steps should the solutions architect take to implement this solution? (Select
TWO.)
(A). Create an S3 access point for each application in the AWS account that owns the S3 bucket.
Configure each access point to be accessible only from the application's VPC. Update the bucket
policy to require access from an access point.
(B). Create an interface endpoint for Amazon S3 in each application's VPC. Configure the endpoint
policy to allow access to an S3 access point. Create a VPC gateway attachment for the S3 endpoint.
(C). Create a gateway endpoint lor Amazon S3 in each application's VPC. Configure the endpoint
policy to allow access to an S3 access point. Specify the route table that is used to access the access
point.
(D). Create an S3 access point for each application in each AWS account and attach the access points
to the S3 bucket. Configure each access point to be accessible only from the application's VPC.
Update the bucket policy to require access from an access point.
(E). Create a gateway endpoint for Amazon S3 in the data lake's VPC. Attach an endpoint policy to
allow access to the S3 bucket. Specify the route table that is used to access the bucket.
Amazon S3에 데이터 레이크가 있는 회사는 여러 AWS 계정에 있는 수백 개의 애플리케이션에서 액세스해야 합니다. 이 회사의 정보 보안 정책에 따르면 S3 버킷은 퍼블릭 인터넷을 통해 액세스해서는 안되며 각 애플리케이션이 작동하는 데 필요한 최소한의 권한이 있어야 합니다. 이러한 요구 사항을 충족하기 위해 솔루션 설계자는 각 애플리케이션에 대해 특정 VPC로 제한된 S3 액세스 포인트를 사용할 계획입니다.
솔루션 설계자가 이 솔루션을 구현하기 위해 수행해야 하는 단계는 무엇입니까?(두 개 선택)
A. S3 버킷을 소유한 AWS 계정에서 각 애플리케이션에 대해 S3 액세스 포인트를 생성합니다. 애플리케이션의 VPC에서만 액세스할 수 있도록 각 액세스 포인트를 구성합니다.액세스 포인트에서 액세스하도록 버킷 정책을 업데이트합니다.
B. 각 애플리케이션의 VPC에 Amazon S3에 대한 인터페이스 엔드포인트를 생성합니다. S3 액세스 포인트에 대한 액세스를 허용하도록 엔드포인트 정책을 구성합니다. S3 엔드포인트에 대한 VPC 게이트웨이 연결을 생성합니다.
C. 각 애플리케이션의 VPC에 게이트웨이 엔드포인트 또는 Amazon S3를 생성합니다. S3 액세스 포인트에 대한 액세스를 허용하도록 엔드포인트 정책을 구성합니다. 액세스 포인트에 액세스하는 데 사용되는 라우팅 테이블을 지정합니다.
D. 각 AWS 계정의 각 애플리케이션에 대한 S3 액세스 포인트를 생성하고 액세스 포인트를 S3 버킷에 연결합니다. 애플리케이션의 VPC에서만 액세스할 수 있도록 각 액세스 포인트를 구성합니다. 액세스 포인트에서 액세스하도록 버킷 정책을 업데이트합니다.
E. 데이터 레이크의 VPC에 Amazon S3에 대한 게이트웨이 엔드포인트를 생성합니다. 엔드포인트 정책을 연결하여 S3 버킷에 대한 액세스를 허용합니다. 버킷에 액세스하는 데 사용되는 라우팅 테이블을 지정합니다.
Answer: A,C
NO.8 A solutions architect needs to implement a client-side encryption mechanism for objects that
will be stored in a new Amazon S3 bucket. The solutions architect created a CMK that is stored in
AWS Key Management Service (AWS KMS) for this purpose.
The solutions architect created the following IAM policy and attached it to an IAM role:
During tests, me solutions architect was able to successfully get existing test objects m the S3 bucket
However, attempts to upload a new object resulted in an error message. The error message stated
that me action was forbidden.
Which action must me solutions architect add to the IAM policy to meet all the requirements?
(A). Kms:GenerateDataKey
(B). KmsGetKeyPolpcy
(C). kmsGetPubKKey
(D). kms:SKjn
솔루션 설계자는 새 Amazon S3 버킷에 저장될 객체에 대해 클라이언트 측 암호화 메커니즘을 구현해야 합니다.솔루션스 아키텍트는 이를 위해 AWS 키 관리 서비스 (AWS KMS) 에 저장되는 CMK를 생성했습니다.
솔루션스 아키텍트는 다음과 같은 IAM 정책을 생성하여 IAM 역할에 연결했습니다.
테스트 중에 솔루션 아키텍트는 S3 버킷의 기존 테스트 객체를 성공적으로 가져올 수 있었습니다. 하지만 새 객체를 업로드하려고 하면 오류 메시지가 표시되었습니다.오류 메시지는 나에게 행동이 금지되었다고 말했습니다.
모든 요구 사항을 충족하기 위해 솔루션스 아키텍트가 IAM 정책에 추가해야 하는 작업은 무엇입니까?
A. Kms:GenerateDataKey
B. KmsGetKeyPolpcy
C. kmsGetPubKKey
D. kms:SKjn
Answer: A
NO.9 A solutions architect is importing a VM from an on-premises environment by using the Amazon
EC2 VM Import feature of AWS Import/Export The solutions architect has created an AMI and has
provisioned an Amazon EC2 instance that is based on that AMI The EC2 instance runs inside a public
subnet in a VPC and has a public IP address assigned The EC2 instance does not appear as a managed
instance in the AWS Systems Manager console Which combination of steps should the solutions
architect take to troubleshoot this issue"? (Select TWO )
(A). Verify that Systems Manager Agent is installed on the instance and is running
(B). Verify that the instance is assigned an appropriate 1AM role for Systems Manager
(C). Verify the existence of a VPC endpoint on the VPC
(D). Verify that the AWS Application Discovery Agent is configured
(E). Verify the correct configuration of service-linked roles for Systems Manager
솔루션스 아키텍트가 AWS Import/Export의 Amazon EC2 VM 가져오기 기능을 사용하여 온프레미스 환경에서 VM을 가져오고 있습니다. 솔루션스 아키텍트가 AMI를 생성하고 해당 AMI를 기반으로 하는 Amazon EC2 인스턴스를 프로비저닝했습니다. EC2 인스턴스는 VPC의 퍼블릭 서브넷 내에서 실행되며 퍼블릭 IP 주소가 할당됩니다. EC2 인스턴스는 AWS 시스템 관리자 콘솔에서 관리형 인스턴스로 표시되지 않습니다. 이 문제를 해결하기 위해 솔루션 설계자가 수행해야 하는 단계는 무엇입니까?(두 개 선택)
A. Systems Manager 에이전트가 인스턴스에 설치되어 있고 실행 중인지 확인합니다.
B. 인스턴스에 Systems Manager를 위한 적절한 IAM 역할이 할당되었는지 확인합니다.
C. VPC에 VPC 엔드포인트가 있는지 확인합니다.
D. AWS Application Discovery Agent가 구성되었는지 확인합니다.
E. Systems Manager에 대한 서비스 연결 역할이 올바르게 구성되었는지 확인합니다.
Answer: A,B
참고 : https://aws.amazon.com/ko/premiumsupport/knowledge-center/systems-manager-ec2-instance-not-appear/
Systems Manager 콘솔의 관리형 인스턴스에 Amazon EC2 인스턴스가 나타나지 않는 문제 해결
인스턴스가 계속 Systems Manager 콘솔에 관리형 인스턴스로 표시되지 않는 경우, SSM 에이전트 로그를 참조하여 추가 문제를 해결하세요. Windows: Windows용 SSM 에이전트 로그는 %PROGRAMDATA%\Amazon\SSM\Logs에
aws.amazon.com
관리형 인스턴스 되기 위한 사전 조건
・AWS Systems Manager 에이전트(SSM 에이전트)가 설치되어 실행 중입니다.
・SSM 에이전트를 사용하여 Systems Manager 엔드포인트에 연결되어 있습니다.
・올바른 AWS Identity and Access Management(IAM) 역할이 연결되어 있습니다.
・인스턴스 메타데이터 서비스에 연결되어 있습니다.
NO.10 An AWS partner company is building a service in AWS Organizations using Its organization
named org. This service requires the partner company to have access to AWS resources in a customer
account, which is in a separate organization named org2 The company must establish least privilege
security access using an API or command line tool to the customer account What is the MOST secure
way to allow org1 to access resources h org2?
(A). The customer should provide the partner company with their AWS account access keys to log in
and perform the required tasks
(B). The customer should create an IAM user and assign the required permissions to the IAM user The
customer should then provide the credentials to the partner company to log In and perform the
required tasks.
(C). The customer should create an IAM role and assign the required permissions to the IAM role. The
partner company should then use the IAM rote's Amazon Resource Name (ARN) when requesting
access to perform the required tasks
(D). The customer should create an IAM rote and assign the required permissions to the IAM rote.
The partner company should then use the IAM rote's Amazon Resource Name (ARN). Including the
external ID in the IAM role's trust pokey, when requesting access to perform the required tasks
AWS 파트너 회사가 조직이라는 조직을 사용하여 AWS 조직에 서비스를 구축하고 있습니다. 이 서비스를 사용하려면 파트너 회사가 org2라는 별도의 조직에 있는 고객 계정의 AWS 리소스에 액세스할 수 있어야 합니다. 회사는 고객 계정에 대한 API 또는 명령줄 도구를 사용하여 최소 권한 보안 액세스를 설정해야 합니다.
org1이 org2의 리소스에 액세스하도록 허용하는 가장 안전한 방법은 무엇입니까?
A. 고객은 로그인하고 필요한 작업을 수행할 수 있도록 파트너 회사에 AWS 계정 액세스 키를 제공해야 합니다.
B. 고객은 IAM 사용자를 생성하고 IAM 사용자에게 필요한 권한을 할당해야 합니다. 그런 다음 고객은 파트너 회사에 자격 증명을 제공하여 로그인하고 필요한 작업을 수행해야 합니다.
C. 고객은 IAM 역할을 생성하고 IAM 역할에 필요한 권한을 할당해야 합니다. 그런 다음 파트너 회사는 필요한 작업을 수행하기 위해 액세스를 요청할 때 IAM 역할의 Amazon Resource Name (ARN) 을 사용해야 합니다.
D. 고객은 IAM 역할을 생성하고 IAM 역할에 필요한 권한을 할당해야 합니다. 그런 다음 파트너 회사는 필요한 작업을 수행하기 위한 액세스를 요청할 때 IAM 역할의 신뢰 정책에 있는 외부 ID를 포함하여 IAM 역할의 Amazon Resource Name (ARN) 을 사용해야 합니다.
Answer: D
참고 : https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
How to use an external ID when granting access to your AWS resources to a third party - AWS Identity and Access Management
Example Corp can use any string value they want for the ExternalId, as long as it is unique for each customer. It can be a customer account number or even a random string of characters, as long as no two customers have the same value. It is not intended to
docs.aws.amazon.com
제3자에게 AWS 리소스에 대한 액세스 권한을 부여해야 할 때(위임자 액세스) 이 시나리오의 한 가지 중요한 측면은 역할을 맡을 수 있는 사람을 지정하기 위해 IAM 역할 신뢰 정책에서 사용할 수 있는 선택적 정보인 외부 ID(external ID)입니다.
'Cloud > AWS SAP' 카테고리의 다른 글
| SAP_C01 오답 수정 및 번역 No.51~No.60 (0) | 2022.07.05 |
|---|---|
| SAP_C01 오답 수정 및 번역 No.41~No.50 (0) | 2022.07.04 |
| SAP_C01 오답 수정 및 번역 No.31~No.40 (0) | 2022.06.10 |
| SAP_C01 오답 수정 및 번역 No.21~No.30 (0) | 2022.06.10 |
| SAP_C01 오답 수정 및 번역 No.11~No.20 (0) | 2022.06.10 |
