AWS SysOps Administrator Associate (SOA-C02) 실전 모의고사 65문제

A) CloudWatch 세부 모니터링을 활성화한다 B) CloudWatch 에이전트를 설치하고 사용자 정의 지표를 퍼블리시한다 C) AWS Systems Manager를 사용하여 메모리를 자동으로 추적한다 D) CloudTrail을 활성화하여 메모리 지표를 수집한다

정답: B

설명: EC2의 메모리 및 디스크 사용률은 CloudWatch 기본 지표에 포함되지 않습니다. CloudWatch 에이전트를 EC2 인스턴스에 설치하면 OS 수준의 지표를 사용자 정의 지표(Custom Metrics)로 CloudWatch에 퍼블리시할 수 있습니다.

A) 알람 임계값이 위반되었다 B) 알람을 평가하기에 충분한 데이터가 없다 C) 지표 데이터가 정상 범위에 있다 D) CloudWatch 서비스에 장애가 발생했다

정답: B

설명: INSUFFICIENT_DATA는 알람이 방금 생성되었거나, 지표가 사용 가능하지 않거나, 알람을 결정하기에 충분한 데이터가 수집되지 않은 상태입니다. ALARM(임계값 초과), OK(정상), INSUFFICIENT_DATA 세 가지 상태가 있습니다.

A) CloudTrail 이벤트를 Lambda 함수에 연결한다 B) AWS Config 규칙과 SSM Automation을 이용한 자동 수정(Auto-Remediation)을 설정한다 C) S3 버킷 정책에 퍼블릭 액세스 차단 조건을 추가한다 D) GuardDuty 알림을 SNS로 전송하고 Lambda로 처리한다

정답: B

설명: AWS Config는 규칙 위반 시 SSM Automation 문서를 통해 자동 수정(Remediation)을 실행할 수 있습니다. s3-bucket-public-read-prohibited 관리형 규칙과 AWS-DisableS3BucketPublicReadWrite 자동화 문서를 연결하면 됩니다.

A) 관리 이벤트는 무료이고, 데이터 이벤트는 유료다 B) 관리 이벤트는 AWS 리소스에 대한 제어 플레인 작업이고, 데이터 이벤트는 리소스 내의 데이터 작업이다 C) 관리 이벤트는 IAM 작업만 기록하고, 데이터 이벤트는 모든 서비스를 기록한다 D) 관리 이벤트는 리전별로 다르고, 데이터 이벤트는 글로벌이다

정답: B

설명: 관리 이벤트(Control Plane)는 EC2 인스턴스 생성, IAM 정책 변경 등 AWS 리소스 관리 작업입니다. 데이터 이벤트(Data Plane)는 S3 객체 GetObject/PutObject, Lambda 함수 호출 등 리소스 내의 데이터 작업입니다. 데이터 이벤트는 볼륨이 크므로 별도 활성화가 필요합니다.

A) EC2 인스턴스의 CPU 사용률 임계값 알람 설정 B) 가장 많은 오류를 발생시키는 상위 IP 주소 식별 C) 여러 리전의 로그를 집계하여 단일 대시보드 표시 D) CloudTrail 로그를 S3에 자동으로 아카이브

정답: B

설명: CloudWatch Contributor Insights는 로그 데이터를 분석하여 시스템 성능에 영향을 미치는 상위 기여자(Contributor)를 식별합니다. 예를 들어 가장 많은 404 오류를 발생시키는 IP 주소나 가장 많은 요청을 보내는 사용자를 찾는 데 적합합니다.

A) AWS Trusted Advisor B) CloudWatch 대시보드와 지표 수식(Metric Math) C) AWS Cost Explorer D) AWS Personal Health Dashboard

정답: B

설명: CloudWatch 대시보드를 사용하면 여러 지표를 시각화하고, 지표 수식(Metric Math)으로 복합 계산을 수행할 수 있습니다. 시계열 데이터를 통해 일별 패턴을 분석하는 데 적합합니다.

A) 인스턴스의 AMI ID와 스냅샷 B) 패치 기준선(Patch Baseline)과 유지 관리 창(Maintenance Window) C) VPC 보안 그룹과 서브넷 D) CloudWatch 로그 그룹과 알람

정답: B

설명: Patch Manager를 사용하려면 패치 기준선(어떤 패치를 적용할지 정의)과 유지 관리 창(언제 패치를 적용할지 정의)을 설정해야 합니다. 패치 그룹(Patch Group)으로 인스턴스를 논리적으로 그룹화할 수도 있습니다.

A) ERROR 수준 이상의 모든 로그를 삭제한다 B) 메시지에 "ERROR" 문자열이 포함된 로그 이벤트를 필터링한다 C) ERROR 타입의 CloudWatch 알람을 생성한다 D) ERROR 이벤트를 S3로 자동 내보낸다

정답: B

설명: CloudWatch Logs Insights의 filter 명령은 조건에 맞는 로그 이벤트를 필터링합니다. like /ERROR/는 정규표현식을 사용하여 메시지에 "ERROR"가 포함된 이벤트를 선택합니다.

A) Personal Health Dashboard는 유료이고, Service Health Dashboard는 무료다 B) Personal Health Dashboard는 내 AWS 리소스에 영향을 주는 이벤트를 보여주고, Service Health Dashboard는 모든 AWS 서비스의 전반적인 상태를 보여준다 C) Personal Health Dashboard는 글로벌 서비스만 표시하고, Service Health Dashboard는 리전별 서비스를 표시한다 D) 두 서비스는 동일한 정보를 제공하지만 UI가 다르다

정답: B

설명: AWS Personal Health Dashboard는 내 계정의 특정 리소스에 영향을 미치는 이벤트(예: 내 EC2가 있는 가용 영역의 장애)를 보여줍니다. Service Health Dashboard는 모든 AWS 서비스와 리전의 전반적인 상태를 공개적으로 보여줍니다.

A) S3 버킷의 비정상적인 퍼블릭 액세스 B) API 호출 볼륨의 비정상적인 활동 C) EC2 인스턴스의 비정상적인 CPU 사용률 D) IAM 사용자의 비밀번호 변경

정답: B

설명: CloudTrail Insights는 계정의 AWS 관리 이벤트에서 비정상적인 API 활동(예: 갑작스러운 API 호출 급증)을 자동으로 감지합니다. 이를 통해 보안 침해 또는 운영 이슈를 조기에 식별할 수 있습니다.

A) 애플리케이션을 수동으로 재구성해야 한다 B) AWS가 DNS를 자동으로 스탠바이 인스턴스로 전환한다 C) 읽기 전용 복제본이 기본 인스턴스로 승격된다 D) 가용 영역에 새로운 RDS 인스턴스가 자동 생성된다

정답: B

설명: RDS Multi-AZ에서 기본 인스턴스 장애 시, AWS는 자동으로 DNS 레코드를 스탠바이 인스턴스의 엔드포인트로 전환합니다. 일반적으로 60-120초 내에 장애 조치가 완료됩니다. 애플리케이션은 동일한 DNS 엔드포인트를 사용하므로 코드 변경이 불필요합니다.

A) 스냅샷은 항상 증분 방식으로 저장되지만 복원 시 전체 볼륨을 복구한다 B) 스냅샷은 전체 복사로 저장되어 많은 스토리지를 사용한다 C) 스냅샷은 동일 리전 내에서만 사용할 수 있다 D) 스냅샷을 삭제하면 이전 스냅샷의 데이터도 함께 삭제된다

정답: A

설명: EBS 스냅샷은 증분(Incremental) 방식으로 저장됩니다. 첫 번째 스냅샷은 전체 볼륨을 저장하고, 이후 스냅샷은 변경된 블록만 저장합니다. 하지만 AWS가 내부적으로 관리하므로 각 스냅샷을 독립적으로 복원할 수 있습니다. 스냅샷은 다른 리전에 복사도 가능합니다.

A) S3 객체의 수명 주기 정책 관리 B) EBS 스냅샷 및 AMI의 자동 생성, 보존, 삭제 자동화 C) RDS 자동 백업 일정 설정 D) CloudWatch 로그의 보존 기간 관리

정답: B

설명: Amazon Data Lifecycle Manager(DLM)는 EBS 스냅샷 및 EBS 지원 AMI의 생성, 보존, 삭제를 자동화합니다. 정책을 생성하여 스케줄에 따라 스냅샷을 자동으로 생성하고 지정된 기간 후 삭제할 수 있습니다.

A) 여러 리전의 리소스와 가중치 설정 B) 기본(Primary)과 보조(Secondary) 레코드, 그리고 상태 확인(Health Check) C) 지리적 위치 기반 라우팅 규칙 D) CloudFront 배포와 연결된 오리진 설정

정답: B

설명: Route 53 장애 조치 라우팅은 Primary와 Secondary 레코드로 구성됩니다. Primary에 연결된 상태 확인이 실패하면 자동으로 Secondary로 트래픽이 전환됩니다. 상태 확인은 HTTP, HTTPS, TCP 중 하나를 사용할 수 있습니다.

A) 7일 B) 14일 C) 35일 D) 90일

정답: C

설명: RDS 자동 백업을 활성화하면 최대 35일간의 포인트 인 타임 복구(PITR)가 가능합니다. 트랜잭션 로그는 5분 간격으로 S3에 저장됩니다. 기본 백업 보존 기간은 7일이며, 최대 35일까지 설정 가능합니다.

A) Multi-AZ RDS와 Auto Scaling 그룹 B) Route 53 장애 조치 + 다른 리전의 예비 인프라 C) CloudFront 배포와 오리진 그룹(Origin Group) D) B와 C를 결합한 멀티 리전 아키텍처

정답: D

설명: 리전 전체 장애에 대비하려면 멀티 리전 아키텍처가 필요합니다. Route 53 장애 조치로 DNS 레벨에서 다른 리전으로 전환하고, CloudFront 오리진 그룹으로 오리진 장애 시 백업 오리진으로 자동 전환할 수 있습니다. 두 메커니즘을 결합하면 가장 강력한 가용성을 제공합니다.

A) S3 버킷에 스냅샷을 복사한 후 버킷 정책으로 공유한다 B) 스냅샷 권한 설정에서 특정 AWS 계정 ID를 추가한다 C) IAM 역할을 교차 계정으로 위임하여 스냅샷에 접근한다 D) AWS Organizations를 통해서만 스냅샷을 공유할 수 있다

정답: B

설명: EBS 스냅샷은 특정 AWS 계정 ID와 공유하거나 공개(Public)로 설정할 수 있습니다. 스냅샷 권한 수정 메뉴에서 공유할 계정 ID를 직접 추가합니다. 암호화된 스냅샷을 공유할 때는 KMS 키도 함께 공유해야 합니다.

A) 리소스의 응답 시간을 계산하여 임계값과 비교하는 확인 B) 여러 상태 확인의 결과를 결합하여 상위 상태 확인을 만드는 기능 C) 자동으로 RTT를 계산하여 최적 엔드포인트를 선택하는 기능 D) CloudWatch 알람 상태를 기반으로 동작하는 상태 확인

정답: B

설명: Calculated Health Check는 여러 개의 자식 상태 확인(Child Health Check)을 결합하여 단일 상태 확인을 만드는 기능입니다. 예를 들어 웹 서버, DB, 캐시 서버의 상태 확인을 결합하여 전체 시스템의 건강 상태를 하나의 확인으로 표현할 수 있습니다.

A) 재해 발생 시 허용 가능한 최대 데이터 손실량 B) 재해 발생 후 시스템이 정상 운영을 재개하는 데 걸리는 최대 허용 시간 C) 백업 데이터를 복원하는 데 실제로 소요되는 시간 D) 재해 대비 시스템 구축에 투자하는 최대 비용

정답: B

설명: RTO(Recovery Time Objective)는 재해 발생 후 서비스를 복구하는 데 걸리는 최대 허용 시간입니다. RPO(Recovery Point Objective)는 허용 가능한 최대 데이터 손실 시점입니다. RTO가 낮을수록 더 많은 비용이 필요합니다.

A) 각 서비스의 백업 비용을 50% 절감한다 B) 여러 AWS 서비스의 백업을 중앙에서 정책 기반으로 관리한다 C) 자동으로 최적의 백업 간격을 결정한다 D) 백업 데이터를 자동으로 암호화하고 다른 계정으로 전송한다

정답: B

설명: AWS Backup은 EC2, EBS, RDS, Aurora, DynamoDB, EFS, Storage Gateway 등 여러 AWS 서비스의 백업을 중앙에서 정책(백업 계획) 기반으로 통합 관리할 수 있게 합니다. 규정 준수 및 감사를 위한 백업 활동 보고서도 제공합니다.

A) EC2 인스턴스 유형 변경 B) S3 버킷 이름 변경 C) EC2 태그 변경 D) CloudWatch 알람 임계값 변경

정답: B

설명: CloudFormation에서 일부 속성 변경은 리소스 교체(기존 삭제 후 새 리소스 생성)를 유발합니다. S3 버킷 이름은 불변 속성이므로 변경 시 기존 버킷이 삭제되고 새 버킷이 생성됩니다. EC2 인스턴스 유형과 태그는 중단 없이 업데이트됩니다.

A) CloudFormation 스택을 배포할 수 있는 IAM 사용자를 제한한다 B) 스택 업데이트 중 특정 리소스의 수정을 방지한다 C) 스택의 최대 리소스 수를 제한한다 D) 프로덕션 환경의 스택을 삭제로부터 보호한다

정답: B

설명: CloudFormation 스택 정책은 스택 업데이트 중 특정 리소스에 대한 업데이트 작업(Update, Delete, Replace)을 제어합니다. 프로덕션 데이터베이스나 중요 리소스를 실수로 수정하거나 삭제하는 것을 방지하는 데 사용됩니다.

A) 인스턴스에 IAM 역할 없이도 SSH 접근이 가능하다 B) SSH 포트(22번)를 열거나 배스천 호스트 없이 EC2 인스턴스에 안전하게 접근할 수 있다 C) RDP와 SSH 모두 단일 포트로 접속할 수 있다 D) 인스턴스의 OS를 원격으로 자동 업그레이드한다

정답: B

설명: Session Manager는 인바운드 포트를 열거나 배스천 호스트를 운영하지 않고도 EC2 인스턴스에 안전하게 접속할 수 있게 합니다. 모든 세션 활동은 CloudTrail 및 CloudWatch Logs에 기록됩니다. 인스턴스에 SSM 에이전트와 적절한 IAM 역할이 필요합니다.

A) CloudFormation 스택의 배포 시간을 측정한다 B) 스택 리소스가 CloudFormation 템플릿에서 정의된 예상 설정과 다른지 감지한다 C) 스택 간의 의존성을 자동으로 분석한다 D) 자동으로 템플릿을 최신 버전으로 업데이트한다

정답: B

설명: 드리프트 감지는 CloudFormation 스택의 실제 리소스 설정이 템플릿에서 정의된 예상 설정과 얼마나 다른지 감지합니다. 콘솔이나 CLI를 통해 수동으로 변경된 리소스를 찾아내어 인프라 구성의 일관성을 유지하는 데 도움이 됩니다.

A) EC2 인스턴스의 비용 최적화 B) Chef 또는 Puppet을 사용하여 서버 구성을 자동화 C) 서버리스 애플리케이션의 배포 자동화 D) 컨테이너 오케스트레이션

정답: B

설명: AWS OpsWorks는 Chef 및 Puppet을 사용하는 관리형 구성 관리 서비스입니다. OpsWorks Stacks는 Chef recipes를 사용하여 서버 구성을 자동화합니다. OpsWorks for Chef Automate와 OpsWorks for Puppet Enterprise는 완전 관리형 서버를 제공합니다.

A) 인스턴스가 Auto Scaling 그룹에서 제거되지 않는다 B) 인스턴스의 스펙이 자동으로 업그레이드된다 C) 스케일 인 이벤트 시 해당 인스턴스가 먼저 종료된다 D) 인스턴스의 헬스 체크를 비활성화한다

정답: A

설명: 스케일 인 보호(Scale-in Protection)를 인스턴스에 적용하면, Auto Scaling 그룹이 스케일 인(인스턴스 수 감소)할 때 해당 인스턴스가 종료되지 않습니다. 중요한 배치 작업을 처리 중인 인스턴스나 특정 상태를 가진 인스턴스를 보호하는 데 유용합니다.

A) AWS 서비스의 비용을 비교하고 최적화한다 B) 조직이 승인한 IT 서비스 포트폴리오를 셀프 서비스 형태로 사용자에게 제공한다 C) 타사 소프트웨어를 AWS 마켓플레이스에서 자동 구매한다 D) 여러 계정의 AWS 서비스 사용량을 통합 대시보드로 모니터링한다

정답: B

설명: AWS Service Catalog는 조직이 IT 팀이 승인한 제품(CloudFormation 템플릿 기반)을 포트폴리오로 구성하고, 최종 사용자(개발팀 등)가 승인된 리소스를 셀프 서비스로 프로비저닝할 수 있게 합니다. 거버넌스를 유지하면서도 사용자 자율성을 부여합니다.

A) 시스템 장애 대응 절차를 문서화한 PDF B) 일련의 자동화 작업을 정의한 SSM 문서 C) EC2 인스턴스의 OS 부팅 스크립트 D) CloudFormation 스택의 매개변수 파일

정답: B

설명: SSM Automation 문서(Runbook)는 YAML 또는 JSON 형식으로 작성된 일련의 자동화 단계를 포함합니다. AMI 생성, 인스턴스 중지/시작, 패치 적용 등의 운영 작업을 자동화하는 데 사용됩니다. AWS 관리형 문서와 사용자 정의 문서를 사용할 수 있습니다.

A) 스택 변경 사항을 GitOps 방식으로 관리한다 B) 스택 업데이트 전에 어떤 리소스가 어떻게 변경될지 미리 확인한다 C) 여러 리전에 동시에 스택 변경을 배포한다 D) 변경 사항을 자동으로 테스트하고 롤백한다

정답: B

설명: 변경 세트(Change Set)를 사용하면 CloudFormation 스택을 실제로 업데이트하기 전에 어떤 리소스가 추가, 수정, 삭제될지 미리 확인할 수 있습니다. 의도하지 않은 리소스 교체나 삭제를 방지하는 데 중요한 안전 메커니즘입니다.

A) 모든 인스턴스를 동시에 종료하고 새 AMI로 재시작한다 B) Systems Manager Patch Manager와 유지 관리 창(Maintenance Window)을 사용하여 단계적으로 패치를 적용한다 C) CloudFormation으로 모든 인스턴스를 새로 배포한다 D) Lambda 함수를 사용하여 각 인스턴스에 SSH로 접속하여 패치를 적용한다

정답: B

설명: Systems Manager Patch Manager는 대규모 EC2 플릿에 패치를 자동으로 적용합니다. 유지 관리 창을 사용하면 비업무 시간에 패치를 수행하고, 패치 비율(Rate Control)로 한 번에 패치할 인스턴스 수를 제한하여 서비스 중단을 최소화할 수 있습니다.

A) IAM 사용자가 접근할 수 있는 AWS 리전을 제한한다 B) IAM 엔터티(사용자, 역할)가 가질 수 있는 최대 권한을 정의한다 C) MFA 없이 접근할 수 있는 서비스를 제한한다 D) 루트 계정의 권한을 일반 사용자와 동일하게 제한한다

정답: B

설명: 권한 경계는 IAM 엔터티에 연결된 관리형 정책으로, 엔터티가 가질 수 있는 최대 권한을 설정합니다. 실제 권한은 권한 경계와 자격 증명 기반 정책의 교집합입니다. 예를 들어 개발자가 새 IAM 역할을 만들 수 있지만, 권한 경계를 초과하는 권한을 부여하지 못하도록 제한할 수 있습니다.

A) EC2 인스턴스의 취약점을 스캔한다 B) S3에 저장된 민감한 데이터(PII 등)를 자동으로 검색하고 보호한다 C) VPC 내 비정상적인 네트워크 트래픽을 탐지한다 D) IAM 정책의 과도한 권한을 자동으로 수정한다

정답: B

설명: Amazon Macie는 기계 학습을 사용하여 S3 버킷에 저장된 민감한 데이터(PII, 신용카드 번호, 의료 정보 등)를 자동으로 검색합니다. S3 버킷 보안 설정(퍼블릭 접근, 암호화 상태 등)도 평가합니다.

A) AWS 루트 계정에만 적용된다 B) 관리 계정을 제외한 모든 멤버 계정에 적용된다 C) 특정 IAM 사용자나 역할에만 적용된다 D) 마켓플레이스 구매에만 적용된다

정답: B

설명: SCP는 AWS Organizations의 루트(Root), OU(조직 단위), 또는 개별 계정에 적용됩니다. 단, 관리 계정(Management Account, 구 마스터 계정)에는 SCP가 적용되지 않습니다. SCP는 허용 목록(Allowlist) 또는 거부 목록(Denylist) 방식으로 사용할 수 있습니다.

A) EC2 인스턴스의 애플리케이션 로그만 분석한다 B) VPC Flow Logs, DNS 로그, CloudTrail 이벤트 로그를 분석한다 C) S3 버킷의 모든 객체를 스캔한다 D) IAM 정책과 사용자 행동 패턴을 분석한다

정답: B

설명: GuardDuty는 VPC Flow Logs, DNS 쿼리 로그, AWS CloudTrail 관리 이벤트 및 S3 데이터 이벤트를 분석하여 위협을 탐지합니다. 기계 학습, 이상 탐지, 위협 인텔리전스를 결합하여 사이버 공격, 크립토마이닝 등의 위협을 식별합니다.

A) 기존 키가 즉시 삭제되고 새 키가 생성된다 B) 매년 새로운 암호화 키 재료(Key Material)가 생성되고, 기존 키로 암호화된 데이터는 자동으로 재암호화된다 C) 매년 새로운 KMS 키가 생성되고, 기존 키는 비활성화된다 D) 새로운 키 재료가 생성되지만, 기존 데이터의 재암호화는 수동으로 진행해야 한다

정답: D

설명: KMS 자동 키 교체를 활성화하면 매년(또는 설정한 기간마다) 새로운 암호화 키 재료가 생성됩니다. 중요한 점은 기존에 암호화된 데이터는 자동으로 재암호화되지 않습니다. KMS가 이전 키 재료를 유지하므로 기존 데이터 복호화는 계속 가능합니다.

A) IAM 사용자의 비밀번호 복잡도 미달 B) 외부 엔터티(다른 계정, 인터넷)와 의도치 않게 공유된 리소스 C) 과도한 권한을 가진 IAM 역할 D) MFA를 사용하지 않는 IAM 사용자

정답: B

설명: IAM Access Analyzer는 S3 버킷, IAM 역할, KMS 키, SQS 큐, Lambda 함수 등이 외부 엔터티(다른 AWS 계정, IAM 사용자, 인터넷)와 공유될 수 있는 정책을 분석하여 의도치 않은 접근을 식별합니다.

A) 보안 규정 준수 감사를 위한 외부 감사자 액세스 제공 B) GuardDuty, Macie, Inspector 등 여러 AWS 보안 서비스의 발견 사항을 중앙에서 집계 C) EC2 인스턴스의 보안 패치를 자동으로 적용 D) VPC 네트워크 트래픽을 실시간으로 차단

정답: B

설명: AWS Security Hub는 GuardDuty, Amazon Inspector, Amazon Macie, AWS Firewall Manager 등 여러 AWS 보안 서비스의 보안 발견 사항을 중앙에서 집계하고 우선순위를 매깁니다. CIS AWS Foundations Benchmark, AWS Foundational Security Best Practices 등의 표준 기반 보안 검사도 수행합니다.

A) S3 버킷의 퍼블릭 공개 설정 B) EC2 인스턴스와 컨테이너 이미지(ECR)의 소프트웨어 취약점 C) IAM 정책의 과도한 권한 D) CloudTrail 로그의 이상 활동

정답: B

설명: Amazon Inspector는 EC2 인스턴스와 Amazon ECR에 저장된 컨테이너 이미지의 소프트웨어 취약점(CVE) 및 의도하지 않은 네트워크 노출을 자동으로 검색합니다. Inspector v2는 SSM 에이전트를 통해 에이전트 없이도 스캔이 가능합니다.

A) CloudHSM은 소프트웨어 기반 암호화이고, KMS는 하드웨어 기반 암호화다 B) CloudHSM은 전용 하드웨어 보안 모듈을 제공하고, KMS는 관리형 서비스로 키를 공유 인프라에서 관리한다 C) CloudHSM은 무료이고, KMS는 유료다 D) CloudHSM은 리전별 서비스이고, KMS는 글로벌 서비스다

정답: B

설명: AWS CloudHSM은 고객 전용 하드웨어 보안 모듈(HSM) 장치에서 암호화 키를 관리합니다. FIPS 140-2 Level 3 인증을 받은 전용 하드웨어를 사용합니다. KMS는 멀티테넌트 관리형 서비스로 더 간편하지만, 엄격한 규정 준수(예: PCI DSS)에서는 CloudHSM이 필요할 수 있습니다.

A) SCP에서는 두 가지가 동일하게 작동한다 B) 명시적 거부는 자격 증명 기반 정책의 허용을 무효화하지만, 명시적 허용 없음은 단순히 SCP에서 허용되지 않은 것이다 C) 명시적 허용 없음은 다른 SCP에서 허용하면 무효화되고, 명시적 거부는 어떤 정책으로도 무효화할 수 없다 D) 명시적 거부는 루트 계정에도 적용되고, 명시적 허용 없음은 멤버 계정에만 적용된다

정답: C

설명: SCP에서 명시적 허용 없음은 단순히 해당 SCP에서 허용되지 않은 것입니다. 부모 OU나 루트에서 허용되면 이를 무효화할 수 있습니다. 반면 명시적 거부(Explicit Deny)는 어떤 다른 정책에서 허용하더라도 절대적으로 우선합니다.

A) 다른 리전 간 VPC 피어링은 불가능하다 B) 피어링된 VPC 간에는 전이적 라우팅(Transitive Routing)이 지원되지 않는다 C) VPC 피어링은 최대 5개의 VPC까지만 연결할 수 있다 D) 피어링된 VPC는 CIDR 범위가 동일해야 한다

정답: B

설명: VPC 피어링은 전이적 라우팅을 지원하지 않습니다. VPC A가 VPC B와 피어링되고, VPC B가 VPC C와 피어링되어도, VPC A에서 VPC C로 직접 통신할 수 없습니다. 여러 VPC 간의 전이적 연결이 필요한 경우 AWS Transit Gateway를 사용해야 합니다.

A) 여러 VPC와 온프레미스 네트워크를 중앙 허브를 통해 연결한다 B) 인터넷 트래픽을 가속화하기 위해 AWS 글로벌 네트워크를 사용한다 C) VPC 내 서브넷 간 라우팅을 자동화한다 D) 퍼블릭 인터넷 없이 AWS 서비스에 프라이빗으로 접근한다

정답: A

설명: AWS Transit Gateway는 VPC와 온프레미스 네트워크를 중앙 허브에 연결하는 네트워크 전송 허브입니다. VPC 피어링의 복잡한 메쉬 구조 대신, 모든 VPC가 Transit Gateway에 연결되어 전이적 라우팅을 지원합니다. 수천 개의 VPC까지 확장 가능합니다.

A) CloudFront 배포의 오리진 서버를 변경할 때 B) S3에 새로운 버전의 파일을 업로드했지만 CloudFront가 아직 이전 버전을 캐시하고 있을 때 C) CloudFront의 가격 클래스(Price Class)를 변경할 때 D) CloudFront 배포에 새로운 사용자 정의 도메인을 추가할 때

정답: B

설명: CloudFront 캐시 무효화는 TTL이 만료되기 전에 캐시에서 특정 파일을 제거합니다. 파일 경로(예: /images/*)를 지정하여 무효화할 수 있습니다. 단, 캐시 키 버전 관리(파일명에 버전 번호 포함)가 더 효율적이고 비용 효율적인 방법입니다.

A) 사용자의 지리적 위치에 따라 가장 가까운 엔드포인트로 라우팅 B) 카나리 배포나 A/B 테스트를 위해 트래픽을 여러 엔드포인트에 분산 C) 주 엔드포인트 장애 시 자동으로 대체 엔드포인트로 전환 D) 가장 응답이 빠른 엔드포인트로 자동 라우팅

정답: B

설명: 가중치 기반 라우팅은 각 레코드에 가중치(0-255)를 설정하여 트래픽 비율을 조절합니다. 예를 들어 새 버전 배포 시 10%의 트래픽만 새 버전으로 보내는 카나리 배포나, A/B 테스트에 활용됩니다. 가중치 0은 해당 레코드로 트래픽을 보내지 않습니다.

A) NAT 게이트웨이는 퍼블릭 서브넷에 위치하고, 인터넷 게이트웨이는 프라이빗 서브넷에 위치한다 B) 인터넷 게이트웨이는 VPC와 인터넷 간 양방향 통신을 제공하고, NAT 게이트웨이는 프라이빗 서브넷에서 인터넷으로의 아웃바운드 연결만 허용한다 C) NAT 게이트웨이는 모든 가용 영역을 커버하고, 인터넷 게이트웨이는 단일 가용 영역에만 적용된다 D) 인터넷 게이트웨이는 EC2에만 사용 가능하고, NAT 게이트웨이는 모든 AWS 서비스에 사용 가능하다

정답: B

설명: 인터넷 게이트웨이는 VPC와 인터넷 간 양방향 통신을 가능하게 합니다(퍼블릭 서브넷의 리소스가 고정 퍼블릭 IP나 EIP를 가져야 함). NAT 게이트웨이는 프라이빗 서브넷의 리소스가 인터넷에 아웃바운드 연결을 할 수 있게 하지만, 인터넷에서의 인바운드 연결은 차단합니다.

A) 퍼블릭 엔드포인트와 프라이빗 엔드포인트 B) 게이트웨이 엔드포인트(S3, DynamoDB)와 인터페이스 엔드포인트(PrivateLink 기반) C) HTTP 엔드포인트와 HTTPS 엔드포인트 D) 리전 엔드포인트와 글로벌 엔드포인트

정답: B

설명: VPC 엔드포인트에는 두 가지 유형이 있습니다. 게이트웨이 엔드포인트는 라우팅 테이블을 통해 S3와 DynamoDB에 접근하며 무료입니다. 인터페이스 엔드포인트(AWS PrivateLink)는 ENI를 통해 다른 AWS 서비스나 파트너 서비스에 접근하며 시간 및 데이터 처리 비용이 발생합니다.

A) 서명된 URL은 HTTPS만 지원하고, 서명된 쿠키는 HTTP와 HTTPS 모두 지원한다 B) 서명된 URL은 단일 파일 접근 제어에 적합하고, 서명된 쿠키는 여러 파일이나 전체 경로 접근 제어에 적합하다 C) 서명된 URL은 오리진 서버에서 생성되고, 서명된 쿠키는 CloudFront에서 자동 생성된다 D) 서명된 URL은 영구적이고, 서명된 쿠키는 세션 기반이다

정답: B

설명: 서명된 URL은 단일 파일(또는 리소스)에 대한 임시 접근 권한을 제공하며, URL 자체에 접근 정보가 포함됩니다. 서명된 쿠키는 여러 파일이나 패턴 매칭으로 다수 파일에 대한 접근을 제어할 때 적합합니다(예: 구독자에게 프리미엄 콘텐츠 전체 접근 허용).

A) CloudFront와 동일한 콘텐츠 캐싱 기능을 제공한다 B) AWS 글로벌 네트워크를 통해 애플리케이션의 TCP/UDP 트래픽 성능을 향상시킨다 C) 리전별 CDN 서비스로 동적 콘텐츠를 캐시한다 D) VPN 연결을 통해 온프레미스 트래픽을 가속화한다

정답: B

설명: AWS Global Accelerator는 애니캐스트 IP를 사용하여 사용자 트래픽을 가장 가까운 AWS 엣지 로케이션으로 라우팅하고, AWS 글로벌 네트워크를 통해 최적 경로로 전달합니다. CloudFront와 달리 캐싱이 없으며, TCP/UDP 기반 애플리케이션에 적합합니다.

A) 보안 그룹은 인스턴스 수준, NACL은 서브넷 수준에서 작동하고, 보안 그룹은 상태 저장(Stateful), NACL은 상태 비저장(Stateless)이다 B) 보안 그룹은 허용 규칙만 지원하고, NACL은 거부 규칙만 지원한다 C) NACL은 인스턴스 수준에서 작동하고, 보안 그룹은 서브넷 수준에서 작동한다 D) 보안 그룹은 최대 10개의 규칙만 지원하고, NACL은 무제한 규칙을 지원한다

정답: A

설명: 보안 그룹은 EC2 인스턴스(ENI) 수준의 상태 저장 방화벽으로, 인바운드 규칙만 있으면 응답 트래픽이 자동 허용됩니다. NACL은 서브넷 수준의 상태 비저장 방화벽으로, 인바운드와 아웃바운드 규칙을 별도로 설정해야 합니다. 보안 그룹은 허용만 가능하고, NACL은 허용과 거부 모두 설정 가능합니다.

A) 지연 시간 기반 라우팅은 사용자의 국가를 기준으로 라우팅하고, 지리적 위치 라우팅은 실제 지연 시간을 측정한다 B) 지연 시간 기반 라우팅은 실제 네트워크 지연 시간이 가장 낮은 리전으로 라우팅하고, 지리적 위치 라우팅은 사용자의 DNS 쿼리 위치를 기준으로 라우팅한다 C) 두 라우팅 방법은 동일하게 작동하지만 설정 방법이 다르다 D) 지연 시간 기반 라우팅은 리전 단위로만 작동하고, 지리적 위치 라우팅은 국가, 대륙, 서브디비전 단위로 작동한다

정답: B

설명: 지연 시간 기반 라우팅은 AWS가 측정한 AWS 리전까지의 실제 네트워크 지연 시간이 가장 낮은 리전으로 요청을 라우팅합니다. 지리적 위치 라우팅은 사용자의 IP 주소 기반 위치(국가, 대륙, 미국 주)에 따라 라우팅합니다. D도 사실이나 핵심 차이점은 B입니다.

A) 실시간 비용 알림 및 자동 비용 절감 조치 B) 과거 비용 분석, 비용 예측, 리소스 사용 패턴 시각화 C) 예약 인스턴스를 자동으로 구매하고 관리한다 D) 여러 AWS 계정의 비용을 자동으로 분배한다

정답: B

설명: Cost Explorer는 과거 12개월의 AWS 비용과 사용량을 시각화하고, 향후 12개월의 비용을 예측합니다. 서비스별, 리전별, 계정별, 태그별로 비용을 분석하고 RI 구매 권고사항도 제공합니다.

A) Savings Plans는 특정 인스턴스 유형에 약정하고, Reserved Instances는 사용 금액에 약정한다 B) Compute Savings Plans는 EC2 인스턴스 유형, 크기, 리전, OS에 관계없이 유연하게 적용되고, EC2 Reserved Instances는 특정 인스턴스 유형과 리전에 약정한다 C) Savings Plans는 1년 약정만 가능하고, Reserved Instances는 3년 약정만 가능하다 D) Savings Plans는 EC2에만 적용되고, Reserved Instances는 모든 AWS 서비스에 적용된다

정답: B

설명: Compute Savings Plans는 EC2, Fargate, Lambda에 걸쳐 인스턴스 유형, 크기, 리전, OS, 테넌시에 관계없이 유연하게 적용되는 시간당 지출 약정입니다. EC2 RI는 특정 인스턴스 유형과 리전에 대한 용량 예약입니다. Savings Plans가 더 유연하지만 RI만큼 최대 할인을 받으려면 EC2 Instance Savings Plans를 사용합니다.

A) 객체를 수동으로 스토리지 클래스에 배치하도록 알림을 보낸다 B) 액세스 패턴을 모니터링하여 자동으로 객체를 가장 비용 효율적인 스토리지 계층으로 이동한다 C) 모든 객체를 Glacier로 자동 이동하여 비용을 최소화한다 D) 자주 액세스되는 객체만 S3 Standard로 유지하고 나머지는 삭제한다

정답: B

설명: S3 Intelligent-Tiering은 객체의 액세스 패턴을 자동으로 모니터링합니다. 30일간 액세스되지 않으면 저빈도 액세스 계층으로, 90일간 액세스되지 않으면 아카이브 인스턴트 액세스 계층으로 자동 이동합니다. 검색 비용 없이 자동 계층 최적화가 이루어집니다.

A) 30초 B) 2분 C) 5분 D) 15분

정답: B

설명: AWS는 스팟 인스턴스 중단 2분 전에 인스턴스 메타데이터와 Amazon EventBridge를 통해 중단 알림을 제공합니다. 애플리케이션이 이 알림을 감지하여 진행 중인 작업을 저장하거나 체크포인트를 설정할 수 있습니다.

A) RDS 인스턴스의 비용을 분석하고 최적화한다 B) 데이터베이스 부하를 시각화하고 성능 문제의 원인을 파악한다 C) RDS 백업을 자동으로 최적화하여 스토리지 비용을 줄인다 D) 데이터베이스 쿼리를 자동으로 최적화한다

정답: B

설명: RDS Performance Insights는 데이터베이스 부하를 시각화하여 성능 문제의 원인이 되는 SQL 쿼리, 애플리케이션, 호스트를 식별합니다. DB 부하(DBLoad)를 측정하고 대기 상태별로 분류하여 병목 현상을 진단합니다.

A) CPU 사용률이 80%를 초과할 때 즉각적으로 스케일 아웃 B) 예측 가능한 트래픽 패턴(예: 매일 오전 9시에 트래픽 증가)에 대해 미리 스케일 아웃 C) 스팟 인스턴스 중단 시 자동으로 온디맨드 인스턴스로 교체 D) 비용이 임계값을 초과할 때 자동으로 스케일 인

정답: B

설명: 예약된 스케일링은 예측 가능한 트래픽 패턴에 대해 특정 시간에 자동으로 용량을 조정합니다. 예를 들어 매일 오전 8시 55분에 최소 인스턴스 수를 증가시키고, 오후 7시에 감소시킬 수 있습니다. 이를 통해 트래픽 급증 전에 미리 준비할 수 있습니다.

A) 비용이 임계값을 초과하면 자동으로 리소스를 종료한다 B) 예산 임계값 초과 시 알림을 보내고, 특정 경우 자동 작업(예: EC2 중지)을 실행할 수 있다 C) 모든 AWS 계정의 비용을 통합 청구로 관리한다 D) RI 구매를 자동화하여 비용을 절감한다

정답: B

설명: AWS Budgets는 비용, 사용량, RI 커버리지, Savings Plans 커버리지에 대한 예산을 설정할 수 있습니다. 임계값 초과 시 SNS 알림이나 이메일 알림을 발송하고, Budgets Actions를 사용하면 특정 IAM 정책을 적용하거나 EC2/RDS 인스턴스를 중지하는 자동 작업을 실행할 수 있습니다.

A) S3 버킷의 총 비용이 임계값을 초과하면 자동 알림 B) 객체를 다른 스토리지 클래스로 전환하거나 지정된 기간 후 삭제 C) 특정 IP에서의 S3 접근을 자동으로 차단 D) S3 버킷 간 데이터를 자동으로 복제

정답: B

설명: S3 수명 주기 정책을 사용하면 객체를 자동으로 다른 스토리지 클래스로 전환(예: 30일 후 S3-IA, 90일 후 Glacier)하거나, 지정된 일수 후 자동 삭제할 수 있습니다. 비완성 멀티파트 업로드도 자동 삭제할 수 있어 스토리지 비용을 최적화합니다.

A) 부서별로 별도의 AWS 계정을 생성한다 B) 비용 할당 태그(Cost Allocation Tags)를 리소스에 적용하고 Cost Explorer에서 분석한다 C) AWS Organizations의 통합 결제를 사용한다 D) CloudWatch 대시보드에서 리소스별 비용을 수동으로 계산한다

정답: B

설명: 비용 할당 태그를 AWS 리소스에 적용(예: Department=Engineering)하면 Cost Explorer에서 태그별로 비용을 분류하고 CSV 보고서를 다운로드할 수 있습니다. 태그를 활성화해야 Cost Explorer에서 사용 가능합니다.

A) 현재 CPU 사용률을 기반으로 즉시 스케일 아웃/인을 결정한다 B) 머신 러닝을 사용하여 과거 트래픽 패턴을 분석하고 미래 수요를 예측하여 사전에 용량을 조정한다 C) 특정 시간대에 고정된 인스턴스 수를 유지한다 D) SQS 큐의 메시지 수를 기반으로 스케일링한다

정답: B

설명: 예측 스케일링은 Amazon의 기계 학습 모델을 사용하여 EC2 Auto Scaling 그룹의 과거 부하 패턴을 분석합니다. 이를 기반으로 향후 트래픽을 예측하고, 수요가 증가하기 전에 미리 인스턴스를 시작합니다. 반응적(Reactive) 스케일링의 지연을 방지합니다.

A) 즉시 인스턴스를 종료하고 새 인스턴스를 시작한다 B) CloudWatch 알람을 설정하고 SNS 알림을 구성한다 C) VPC Flow Logs와 CloudTrail을 분석하여 비정상적인 트래픽의 원인을 파악한다 D) 인스턴스 유형을 더 큰 사양으로 변경한다

정답: C

설명: 급격한 CPU 증가와 네트워크 트래픽 급증은 DDoS 공격, 암호화 마이닝 악성 코드, 또는 애플리케이션 오류일 수 있습니다. VPC Flow Logs로 비정상적인 연결을 확인하고 CloudTrail로 최근 API 호출을 분석하여 원인을 파악한 후 대응해야 합니다.

A) Route 53 자체가 us-east-1에 있어서 함께 장애가 발생했다 B) 상태 확인(Health Check)이 us-east-1 리전 외부에서 수행되지 않도록 설정되어 있다 C) TTL 값이 너무 높아서 DNS 전환이 지연되고 있다 D) 장애 조치 레코드에 적절한 가중치가 설정되지 않았다

정답: C

설명: Route 53 자체는 글로벌 서비스이므로 특정 리전 장애의 영향을 받지 않습니다. 하지만 TTL 값이 높으면(예: 300초) 클라이언트가 캐시된 DNS 응답을 계속 사용하여 장애 조치가 즉시 반영되지 않을 수 있습니다. 장애 조치 레코드의 TTL은 낮게(예: 60초) 설정하는 것이 좋습니다.

A) AWS Health Dashboard에서 서비스 중단 여부를 확인한다 B) CloudFormation 콘솔의 이벤트 탭에서 FAILED 상태의 리소스와 오류 메시지를 확인한다 C) CloudTrail에서 최근 API 호출을 확인한다 D) AWS Support에 케이스를 열어 원인 분석을 요청한다

정답: B

설명: CloudFormation 콘솔의 이벤트(Events) 탭은 스택 리소스의 상태 변경을 시간순으로 보여줍니다. FAILED 상태의 리소스를 찾고 상태 이유(Status Reason)를 확인하면 롤백을 유발한 구체적인 오류 메시지를 확인할 수 있습니다.

A) AWS Support에 연락하여 백엔드에서 복구를 요청한다 B) S3 버전 관리(Versioning)가 활성화되어 있으면 삭제 마커를 제거하여 이전 버전을 복구한다 C) S3 교차 리전 복제본에서 파일을 가져온다 D) CloudTrail 로그에서 삭제된 객체의 내용을 복구한다

정답: B

설명: S3 버전 관리가 활성화된 경우, 객체 삭제 시 실제 삭제가 아닌 삭제 마커(Delete Marker)가 생성됩니다. 삭제 마커를 제거하면 최신 버전의 객체가 복구됩니다. 또는 이전 버전을 현재 버전으로 복원할 수 있습니다. 이를 위해 버전 관리와 MFA Delete를 미리 설정하는 것이 중요합니다.

A) 즉시 모든 개발 환경 인스턴스를 종료한다 B) AWS Cost Explorer와 AWS Trusted Advisor를 사용하여 비용 이상 원인을 분석하고 최적화 기회를 식별한다 C) 모든 온디맨드 인스턴스를 스팟 인스턴스로 교체한다 D) AWS Support에 비용 검토를 요청한다

정답: B

설명: 체계적인 비용 최적화는 먼저 Cost Explorer로 서비스별, 리전별, 태그별 비용 분석을 통해 비용 급증 원인을 파악하고, Trusted Advisor로 유휴 리소스, 미사용 RI, 스토리지 최적화 기회를 식별하는 것부터 시작해야 합니다. 이후 데이터 기반의 최적화 작업을 순차적으로 진행합니다.