문제
1. 회사의 VPC에는 프로덕션 환경과 개발 환경에 다양한 EC2 인스턴스가 있습니다. 서로 다른 환경의 인스턴스에 대해 서로 다른 사용자 집합에 대한 액세스 권한을 분리하는 방법을 고안해야 합니다.
이것은 어떻게 달성될 수 있습니까? (2개 선택)
A) 환경 변수와 일치하는 조건문을 사용하여 IAM 정책을 생성합니다.
B) 특정 태그가 있는 모든 인스턴스에 대한 액세스 권한을 부여하는 IAM 정책을 생성합니다.
C) 사용자 데이터를 사용하여 인스턴스에 환경 변수를 추가합니다.
D) 사용자 또는 그룹에 액세스 권한을 부여하려는 인스턴스에 특정 태그를 추가합니다
E) 자격증명 공급자 (IdP)를 연결하고 인스턴스에 대한 액세스 권한을 관련 그룹에 위임합니다.
2. VPC에서 새 서브넷을 생성하고 EC2 인스턴스를 시작했습니다. 인터넷에서 EC2 인스턴스에 직접 액세스하려고하는데 연결할 수 없습니다.
문제를 해결하기 위해 어떤 단계를 수행해야합니까? (2개선택)
A) 보안 그룹에 아웃 바운드 트래픽 규칙이 있는지 확인합니다.
B) 서브넷에 구성된 NAT 게이트웨이가 있는지 확인합니다.
C) 서브넷과 연결된 라우팅 테이블에 인터넷 게이트웨이에 대한 항목이 있는지 확인합니다.
D) 다른 서브넷에서 인스턴스를 ping 할 수 있는지 확인합니다.
E) 인스턴스에 퍼블릭 IP 주소가 있는지 확인합니다.
3. 클라이언트가 웹 응용 프로그램을 일부 업데이트 했습니다. 이 애플리케이션은 Auto Scaling 그룹을 사용하여 여러 EC2 인스턴스 그룹을 유지 관리합니다. 애플리케이션이 수정되었으며 새 인스턴스를 시작하려면 새 AMI를 사용해야 합니다.
새 AMI를 추가하려면 어떻게해야 합니까?
A) AMI를 사용하는 새 시작 구성을 만들고 새 시작 구성을 사용하도록 ASG를 업데이트 합니다.
B) 새 AMI에서 새 시작 구성을 사용하는 새 대상 그룹을 생성합니다.
C) 기존 시작 구성을 수정하여 새 AMI를 추가합니다.
D) Auto Scaling을 일시 중단하고 기존 AMI를 교체합니다.
정답
1. B, D
IAM 태그를 사용하여 키–값 페어 태그를 사용하여 IAM 엔터티(사용자 또는 역할)에 사용자 지정 속성을 추가할 수 있습니다. 예를 들어 사용자에게 위치 정보를 추가하려면 태그 키 location 및 태그 값 us_wa_seattle을 추가할 수 있습니다. 또는 세 개의 개별 위치 태그 키–값 페어 loc-country = us, loc-state = wa 및 loc-city = seattle을 사용할 수도 있습니다. 태그를 사용하여 리소스에 대한 엔터티의 액세스를 제어하거나 엔터티에 연결할 수 있는 태그를 제어할 수 있습니다.
IAM 리소스 태그를 사용하여 IAM 사용자 및 역할에 대한 액세스 제어할 수 있습니다.
태그는 IAM 리소스에 연결하거나 요청에 전달하거나 요청을 하는 보안 주체에 연결할 수 있습니다. IAM 사용자 또는 역할은 리소스 및 보안 주체 둘 다일 수 있습니다. 예를 들어 사용자가 사용자 그룹을 나열하도록 허용하는 정책을 작성할 수 있습니다. 이 작업은 요청을 하는 사용자(보안 주체)가 보려는 사용자와 동일한 project=blue 태그를 갖고 있는 경우에만 허용됩니다. 이 예에서 사용자는 동일한 프로젝트에서 작업하는 동안 자신을 비롯하여 모든 사용자에 대한 그룹 구성원 자격을 볼 수 있습니다.
태그를 기반으로 액세스를 제어하려면 정책의 조건 요소에 태그 정보를 제공하십시오. IAM 정책을 생성할 때 IAM 태그 및 연관된 태그 조건 키를 사용하여 다음 중 하나에 대한 액세스를 제어할 수 있습니다.
- 리소스 — 태그를 기반으로 사용자 또는 역할 리소스에 대한 액세스를 제어합니다. 이를 위해 iam:ResourceTag/key-name 조건 키를 사용하여 리소스에 연결해야 하는 태그 키-값 페어를 지정합니다. 비슷한 서비스별 키(예: ec2:ResourceTag)가 다른 AWS 리소스에서 사용됩니다.
- 요청 — 어떤 태그가 IAM 요청에 전달될 수 있는지 제어합니다. 이를 수행하려면 aws:RequestTag/key-name 조건 키를 사용하여 어떤 태그를 IAM 사용자 또는 역할에서 추가, 변경 또는 제거할 수 있는지 지정합니다. 이 키는 IAM 리소스 및 기타 AWS 리소스에서 동일한 방식으로 사용됩니다.
- 보안 주체 — 요청을 하는 사람(보안 주체)이 자신의 IAM 사용자 또는 역할에 연결된 태그를 기반으로 수행할 수 있는 권한을 제어합니다. 이를 위해 aws:PrincipalTag/key-name 조건 키를 사용하여 요청이 허용되기 전에 IAM 사용자 또는 역할에 연결해야 하는 태그를 지정합니다.
- 권한 부여 프로세스의 일부 — aws:TagKeys 조건 키를 사용하여 특정 태그 키를 리소스, 요청 또는 보안 주체에서 사용할 수 있는지 여부를 제어합니다. 이 경우 키 값은 중요하지 않습니다. 이 키는 IAM 리소스 및 기타 AWS 리소스에서 비슷하게 작동합니다. 그러나 IAM에서 사용자를 태그 지정하면 보안 주체가 모든 서비스에 대한 요청을 할 수 있는지 여부도 제어할 수 있습니다.
2. C, E
인터넷 게이트웨이 VPC를 인터넷 및 다른 AWS 서비스에 연결합니다.
인스턴스가 VPC의 다른 인스턴스와 통신할 수 있게 해주는 서브넷 범위의 프라이빗 IPv4 주소와 인스턴스가 인터넷에 연결하고 인터넷에서 액세스할 수 있게 해주는 퍼블릭 IPv4 주소인 탄력적 IPv4 주소가 있는 인스턴스이어야 인터네에 연결할 수 있습니다.
서브넷과 연결된 사용자 정의 라우팅 테이블. 라우팅 테이블 항목은 서브넷의 인스턴스가 IPv4를 사용하여 VPC 내의 다른 인스턴스와 통신할 수 있도록 해주며, 또한 인터넷을 통해 직접 통신할 수 있게 해줍니다. 인터넷 게이트웨이로 이어지는 경로가 있는 라우팅 테이블과 연결된 서브넷을 퍼블릭 서브넷이라고 합니다.
3. A
시작 구성은 Auto Scaling 그룹에서 EC2 인스턴스를 시작하는 데 사용하는 인스턴스 구성 템플릿입니다. 시작 구성을 만들 때 인스턴스에 대한 정보를 지정합니다. Amazon 머신 이미지(AMI)의 ID, 인스턴스 유형, 키 페어, 하나 이상의 보안 그룹, 블록 디바이스 매핑 등을 포함시키십시오. 이전에 EC2 인스턴스를 시작한 적이 있었다면 바로 이러한 정보를 지정하여 인스턴스를 시작했을 것입니다.
여러 개의 Auto Scaling 그룹을 가진 시작 구성을 지정할 수 있습니다. 하지만 Auto Scaling 그룹에 대해서는 한 번에 한 개의 시작 구성만 지정할 수 있으며 시작 구성을 한 번 생성한 후에는 수정할 수 없습니다. Auto Scaling 그룹의 시작 구성을 변경하려면 시작 구성을 생성한 후 이 구성으로 Auto Scaling 그룹을 업데이트해야 합니다.
Auto Scaling 그룹을 생성할 때마다 시작 구성, 시작 템플릿, 또는 EC2 인스턴스를 지정해야 한다는 점을 명심하십시오. EC2 인스턴스를 사용하여 Auto Scaling 그룹을 생성하면 Amazon EC2 Auto Scaling에서 자동으로 사용자를 위해 시작 구성을 생성하고 이 구성을 Auto Scaling 그룹에 연결합니다.
Auto Scaling 그룹은 한 번에 한 개의 시작 구성과 연결되며, 시작 구성을 생성한 후에는 수정할 수 없습니다. 기존 Auto Scaling 그룹의 시작 구성을 변경하기 위해 기존 시작 구성을 새 시작 구성의 기초로 사용할 수 있습니다. 그런 다음 새로운 시작 구성을 사용하도록 Auto Scaling을 업데이트합니다.
빌드업웍스에서는 ‘AWS 공인 솔루션스 아키텍트 — 어소시에이트 연습문제’를 개발했습니다.
더 많은 문제와 자세한 해설을 원하신다면 ‘AWS 공인 솔루션스 아키텍트 — 어소시에이트 연습문제’로 오셔서 내용을 확인하세요.
빌드업웍스와 함께 AWS 공인 솔루션스 아키텍트 — 어소시에이트에 도전하여 여러분의 잠재력과 경력을 향상해보세요!
© 2020, Buildup Works LLC. All rights reserved.
