[DOP-C01] AWS DevOps Engineer Professional : Part 26

 

1. AWS CLI를 사용하여 CloudTrail 추적에 대한 구성 설정을 변경하는 데 사용하는 명령은 무엇입니까?
   
   • modify-trail
   • change-trail
   • update-trail
   • set-trail
   설명:

   update-trail 명령은 추적에 대한 구성 설정을 변경하는 데 사용됩니다. 추적이 생성된 리전에서만 update-trail 명령을 실행할 수 있습니다.
   
   

2. CloudTrail은 로그 파일이 Amazon S3 버킷에 기록될 때마다 알림을 보내므로 매우 활동적인 계정은 많은 수의 알림을 생성할 수 있습니다. 이메일이나 SMS를 사용하여 구독하면 대량의 메시지를 받게 될 수 있습니다. 프로그래밍 방식으로 알림을 처리하려면 다음 중 무엇을 사용해야 합니까?
   
   • Amazon Kinesis Firehose
   • Amazon Simple Queue Service (Amazon SQS)
   • Amazon Simple Email Service (Amazon SES)
   • Amazon Simple Email Service (Amazon SES)
   설명:

   CloudTrail은 로그 파일이 Amazon S3 버킷에 기록될 때마다 알림을 보내므로 매우 활동적인 계정은 많은 수의 알림을 생성할 수 있습니다. 이메일이나 SMS를 사용하여 구독하면 처리할 수 있는 것보다 더 많은 메시지를 받게 될 수 있습니다. AWS에서는 프로그래밍 방식으로 알림을 처리할 수 있는 Amazon Simple Queue Service(Amazon SQS)를 사용하여 구독할 것을 권장합니다.
   
   

3. IAM 정책 내에서 Null 조건 끝에 IfExists 조건을 추가할 수 있습니까?
   • 예, Null 조건의 끝에 IfExists 조건을 추가할 수 있지만 모든 지역에는 추가할 수 없습니다.
   • 예, 조건에 따라 Null 조건 끝에 IfExists 조건을 추가할 수 있습니다.
   • 아니요, Null 조건 끝에 IfExists 조건을 추가할 수 없습니다.
   • 예, Null 조건 끝에 IfExists 조건을 추가할 수 있습니다.
   설명:

   IAM 정책 내에서 IfExists는 Null 조건을 제외한 모든 조건 연산자 끝에 추가할 수 있습니다. 정책 키가 요청 컨텍스트에 있는 경우 조건부 비교가 발생해야 함을 나타내는 데 사용할 수 있습니다. 그렇지 않으면 무시할 수 있습니다.
   
   

4. 여러 리전에서 여러 환경을 호스팅하고 있으며 Amazon Inspector를 사용하여 모든 리전의 AWS 리소스에 대한 정기 보안 평가를 원합니다. Amazon Inspector의 리전 간 운영에 대한 설명으로 옳은 것은 무엇입니까?
   • Amazon Inspector는 지역 제한이 없는 글로벌 서비스입니다. 동일한 평가 대상에 여러 리전의 AWS 리소스를 포함할 수 있습니다.
   • Amazon Inspector는 퍼블릭 엔드포인트 뒤에 있는 AWS 리전 내에서 호스팅됩니다. 모든 리전은 서로 격리되어 있으며 리전 내에서 수행된 모든 평가에 대한 원격 측정 및 결과는 해당 리전에 유지되며 서비스에 의해 다른 Amazon Inspector 위치로 배포되지 않습니다.
   • Amazon Inspector는 지원되는 각 리전에서 호스팅됩니다. 원격 측정 데이터 및 결과는 전체 평가 보고서를 제공하기 위해 지역 간에 공유됩니다.
   • Amazon Inspector는 지원되는 각 리전에서 개별적으로 호스팅됩니다. 각 리전에서 동일한 이름과 태그를 사용하여 평가 대상을 생성해야 하며 Amazon Inspector는 각 리전의 각 평가 대상에 대해 실행됩니다.
   설명:

   현재 Amazon Inspector는 다음 AWS 리전에서만 EC2 인스턴스에 대한 평가 서비스를 지원합니다.
   US West (Oregon)
   US East (N. Virginia)
   EU (Ireland)
   Asia Pacific (Seoul)
   Asia Pacific (Mumbai)
   Asia Pacific (Tokyo)
   Asia Pacific (Sydney)
   Amazon Inspector는 퍼블릭 엔드포인트 뒤에 있는 AWS 리전 내에서 호스팅됩니다. 모든 리전은 서로 격리되어 있으며 리전 내에서 수행된 모든 평가에 대한 원격 측정 및 결과는 해당 리전에 유지되며 서비스에 의해 다른 Amazon Inspector 위치로 배포되지 않습니다.
   
   

5. IAM 정책에서 허용을 재정의하려면 Effect 요소를 ______로 설정합니다.
   
   • Block
   • Stop
   • Stop
   • Allow
   설명:
   기본적으로 자원에 대한 액세스가 거부됩니다. 리소스에 대한 액세스를 허용하려면 Effect 요소를 허용으로 설정해야 합니다. 허용을 재정의하려면(예를 들어 강제적인 허용을 재정의하려면) Effect 요소를 Deny로 설정합니다.
   
   
6. AWS Security Token Service(STS)에 액세스하려면 AWS STS Query API에 직접 호출을 발행할 수 있습니다. 이 API는 ______ 요청을 수락하는 웹 서비스 인터페이스입니다.
   
   • PUT
   • HTTPS
   • POST
   • GET
   설명:
   IAM 및 AWS STS용 쿼리 API를 사용하면 서비스 작업을 호출할 수 있습니다. Query API 요청은 수행할 작업을 나타내는 Action 매개 변수를 포함해야 하는 HTTPS 요청입니다. IAM 및 AWS STS는 모든 작업에 대한 GET 및 POST 요청을 지원합니다. 즉, API는 일부 작업에는 GET을 사용하고 다른 작업에는 POST를 사용할 필요가 없습니다.
   
   
7. 루트 계정은 IAM 그룹을 생성하고 정책을 다음과 같이 정의했습니다.
   
   DOP-C01 AWS DevOps 엔지니어 전문가 파트 26 Q07 015이 정책은 무엇을 합니까?
   • 이 그룹이 해당 그룹에만 추가된 모든 사용자의 암호 정책을 볼 수 있도록 허용
   • IAM의 모든 사용자가 비밀번호를 수정하도록 허용
   • 이 그룹의 IAM 사용자가 암호 정책을 보고 자신의 암호만 수정하도록 허용
   • 이 그룹이 모든 IAM 사용자의 암호 정책을 볼 수 있도록 허용
   설명:

   이 IAM 정책은 사용자가 콘솔, CLI 또는 API를 사용하여 암호를 변경할 수 있도록 하는 ChangePassword 작업에 대한 액세스 권한을 부여합니다. Resource 요소는 그룹에 연결된 정책에 유용한 정책 변수(aws:username)를 사용합니다. aws:username 키는 요청 시 현재 IAM 사용자의 이름으로 확인되므로 각 사용자는 자신의 암호만 변경할 수 있습니다. 이 정책은 이 그룹의 모든 사용자가 모든 IAM 사용자의 암호를 수정할 수 있도록 허용합니다.

8. Amazon Inspector와 CloudTrail의 통합을 위해 List* 및 Describe* API에 대해 어떤 정보가 기록됩니까?
   • 없음. Amazon Inspector는 자동화된 서비스이며 CloudTrail에서 모니터링하지 않습니다.
   • 요청 및 응답 정보가 모두 기록됩니다.
   • 요청 정보만 기록됩니다.
   • 요청 정보는 항상 기록됩니다. 응답 정보는 완료된 평가 실행에 대해서만 기록됩니다.
   설명:

   Amazon Inspector와 CloudTrail 통합의 경우 List* 및 Describe* API에 대해 요청 정보만 기록됩니다.
   
   

9. 사용자가 IAM 사용자에 대한 정책을 정의하고 있습니다. 아래에 언급된 요소 중 IAM 정책에서 찾을 수 있는 요소는 무엇입니까?
   • 효과 없음
   • 지원되는 데이터 유형
   • 주요 자원
   • 버전 관리
   설명:

   사용자는 IAM 정책에 대한 다양한 요소를 정의할 수 있습니다. 요소에는 버전, ID, 문, Sid, 효과, 주체, 주체가 아님, 작업, 작업이 아님, 리소스, 리소스가 아님, 조건 및 지원되는 데이터 유형이 포함됩니다.
   
   

10. Linux 기반 시스템에서 Amazon Inspector 에이전트에 대한 프록시 지원 구성에 대한 설명으로 옳은 것은 무엇입니까?
    • Linux 기반 시스템에서 Amazon Inspector 프록시 지원은 환경에 맞게 편집해야 하는 미리 구성된 파일과 함께 제공되는 에이전트의 프록시 지원 버전을 설치하여 달성됩니다.
    • Amazon Inspector 에이전트는 Linux 기반 시스템에서 프록시 사용을 지원하지 않습니다.
    • Linux 기반 시스템의 Amazon Inspector 프록시 구성은 /etc/init.d/ 아래의 awsagent.env 파일에 포함되어 있습니다.
    • Linux 기반 시스템의 Amazon Inspector 에이전트 프록시 설정은 WinHTTP 프록시를 통해 구성됩니다.
    설명:

    프록시 서버를 사용하는 EC2 인스턴스에 AWS 에이전트를 설치하려면 awsagent.env라는 파일을 생성하고 /etc/init.d/ 디렉터리에 저장합니다. 다음 형식으로 이러한 환경 변수를 포함하도록 awsagent.env를 편집
    합니다.

     

11. 일부 EC2 인스턴스는 프록시를 사용하도록 구성되어 있습니다. 프록시 뒤의 인스턴스를 정기적으로 평가하기 위해 Amazon Inspector를 사용할 수 있습니까?
    • Linux 기반 시스템은 현재 릴리스에서 AWS 에이전트가 지원하지 않는 사용자 지정 구성을 사용하므로 Windows 기반 시스템만 지원됩니다.
    • Linux 기반 시스템만 지원되며 AWS 에이전트는 이러한 시스템에서 HTTPS 프록시를 지원합니다.
    • 아니요, AWS 에이전트는 프록시 환경을 지원하지 않습니다.
    • 예, AWS 에이전트는 Linux 기반 및 Windows 기반 시스템 모두에서 프록시 환경을 지원합니다.
    설명:

    AWS 에이전트는 프록시 환경을 지원합니다. Linux 인스턴스의 경우 Inspector는 HTTPS 프록시를 지원하고 Windows 인스턴스의 경우 WinHTTP 프록시를 지원합니다.
    
    

12. Amazon Inspector 에이전트는 평가 실행 중에 원격 측정 데이터를 수집하고 이 데이터를 분석을 위해 Amazon Inspector 전용 S3 버킷으로 보냅니다. Amazon Inspector에서 원격 측정 데이터에 어떻게 액세스하고 리소스를 보호하는 데 이 데이터를 어떻게 활용할 수 있습니까?
    • 원격 측정 데이터는 S3에 보관되며 KMS에 구성된 사전 평가 테스트 키로 암호화됩니다. 해당 키에 액세스할 수 있는 한 원격 측정 데이터를 다운로드하고 해독할 수 있습니다.
    • 원격 측정 데이터는 계정에 속하지 않은 Amazon Inspector 전용 S3 버킷에 저장되며 Amazon Inspector는 현재 수집된 원격 측정에 대한 API 또는 S3 버킷 액세스 메커니즘을 제공하지 않습니다. 데이터는 지원 요청 지원을 위해 일시적으로만 보관됩니다.
    • 원격 측정 데이터는 계정의 S3 버킷에 저장되므로 해당 버킷에 대한 적절한 권한으로 원격 측정 데이터에 액세스할 수 있습니다.
    • 원격 측정 데이터는 평가 실행 후 즉시 삭제되므로 다른 도구에서 데이터에 액세스하거나 분석할 수 없습니다.
    설명:

    S3에 저장된 원격 측정 데이터는 지원 요청에 대한 지원을 허용하기 위해서만 유지되며 Amazon에서 다른 목적으로 사용하거나 집계하지 않습니다. 30일이 지나면 표준 Amazon Inspector 전용 S3 버킷 수명 주기 정책에 따라 원격 측정 데이터가 영구적으로 삭제됩니다. 현재 Amazon Inspector는 수집된 원격 측정에 대한 API 또는 S3 버킷 액세스 메커니즘을 제공하지 않습니다.
    
    

13. 루트 소유자가 다양한 부서의 IAM 사용자를 생성하려고 합니다. 소유자는 각 부서에 대한 그룹을 만들었지만 여전히 하위 부서 수준을 기반으로 사용자를 설명하려고 합니다. 예: 서로 다른 하위 부서의 두 사용자는 별도로 식별되어야 하며 별도의 권한이 있어야 합니다. 루트 소유자는 이를 어떻게 구성할 수 있습니까?
    • 부서별로 구분된 IAM 사용자 계층 생성
    • 중첩된 그룹 만들기
    • 경로를 사용하여 동일한 그룹의 사용자를 구분합니다.
    • 그룹 내에서 설명할 수 없습니다.
    설명: IAM 그룹 및 사용자 내의 경로 기능을 통해 추가 수준으로 설명할 수 있습니다. 이 경우 사용자의 ARN이 다음과 유사하게 보이도록 사용자는 각 사용자 또는 그룹과 함께 경로를 사용해야 합니다.

    arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/user1
    arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/user2
    
    

14. 사용자가 IAM 사용자에 대한 정책을 정의하고 있습니다. 아래 언급된 옵션 중 정책에 대해 정의된 유효한 버전은 무엇입니까?
    
    • “Version”:”2014-01-01″
    • “Version”:”2011-10-17″
    • “Version”:”2013-10-17″
    • “Version”:”2012-10-17″
    설명:

    IAM 정책을 정의할 때 version 요소는 정책 언어 버전을 지정합니다. 다음 값만 허용됩니다:
    2012-10-17. 이것은 정책 언어의 현재 버전이며 사용자는 모든 정책에 대해 이 버전 번호를 사용해야 합니다.
    2008년 10월 17일. 이것은 정책 언어의 이전 버전이었습니다. 사용자는 기존 정책에서 이 버전을 볼 수 있습니다. 새 정책 또는 업데이트 중인 기존 정책에 대해 이 버전을 사용하지 마십시오.
    버전 요소가 포함되지 않은 경우 기본값은 2008-10-17입니다.
    
    

15. 평가 실행을 시작하는 명령은 무엇입니까?
    • aws inspector start-assessment-run –assessment-template-arn<템플릿-arn>
    • aws inspector start-assessment-run –assessment-run-name examplerun –assessment-target<target-arn>
    • aws inspector start-assessment-run –assessment-run-name examplerun
    • aws inspector start-assessment-run –assessment-run-name examplerun –assessment-duration<초 단위>
    설명:

    
    start-assessment-run 명령에는 –assessment -template
    -arn 이 필요 하고 다른 매개변수는 선택 사항입니다
    .
    <값>]
    [–generate-cli-skeleton <값>]

16. Windows 기반 시스템에서 Amazon Inspector 에이전트에 대한 프록시 지원 구성에 대한 설명으로 옳은 것은 무엇입니까?
    • Amazon Inspector 에이전트는 WinHTTP 프록시를 사용하여 Windows 기반 시스템에서 프록시 사용을 지원합니다.
    • Amazon Inspector 에이전트는 Linux 기반 시스템에서는 프록시 사용을 지원하지만 Windows에서는 지원하지 않습니다.
    • Windows 기반 시스템에서 Amazon Inspector 프록시 지원은 환경에 맞게 편집해야 하는 미리 구성된 파일과 함께 제공되는 에이전트의 프록시 지원 버전을 설치하여 달성됩니다.
    • Amazon Inspector 에이전트는 awsagent.env 구성 파일을 통해 Windows 기반 시스템에서 프록시 사용을 지원합니다.
    설명:

    AWS 에이전트에 대한 프록시 지원은 WinHTTP 프록시를 사용하여 달성됩니다.
    
    

17. AWS 계정당 기본 최대 역할 수는 얼마입니까?
    • 500
    • 250
    • 100
    • 제한이 없습니다.
    설명:

    AWS 계정당 기본 최대 역할 수는 250입니다.
    
    

18. Auto Scaling 그룹에 EC2 인스턴스로 구성된 애플리케이션이 있습니다. 매일 특정 시간대 사이에 웹사이트 트래픽이 증가합니다. 따라서 사용자는 애플리케이션에 대한 응답 시간이 좋지 않다고 불평하고 있습니다. CPU 사용률이 5분 연속 2회 동안 60%를 초과할 때 하나의 새 EC2 인스턴스를 배포하도록 Auto Scaling 그룹을 구성했습니다.
    
    이 문제를 해결하는 가장 비용 효율적인 방법은 무엇입니까?
    
    • 연속 수집 기간 감소
    • Auto Scaling 그룹의 최소 인스턴스 수 늘리기
    • 수집 시간을 10분으로 단축
    • 새 인스턴스를 배포할 임계값 CPU 사용률을 줄입니다.
    설명:

    최소 인스턴스 수를 늘리면 웹 사이트에서 부하가 높지 않아도 실행됩니다. 따라서 필요하지 않아도 비용이 발생합니다. 나머지 옵션은 모두 높은 로드에서 인스턴스 수를 늘리는 데 사용할 수 있는 옵션입니다. 온디맨드 스케일링에 대한 자세한 내용은 아래 링크를 참조하세요.
    
    

19. AutoScaling 그룹의 일부로 실행 중인 프로덕션 인스턴스의 인스턴스 유형을 변경해야 한다고 결정했습니다. 전체 아키텍처는 CloudFormation 템플릿을 사용하여 배포됩니다. 현재 프로덕션에 4개의 인스턴스가 있습니다. 서비스 중단이 있어서는 안 되며 업데이트 중에 2개의 인스턴스가 항상 실행 중인지 확인해야 합니다. 아래 나열된 옵션 중 이를 위해 사용할 수 있는 것은 무엇입니까?
    • AutoScalingRollingUpdate
    • AutoScalingScheduledAction
    • AutoScalingReplacingUpdate
    • AutoScalingIntegrationUpdate
    설명:

    AWS::AutoScaling::AutoScalingGroup 리소스는 UpdatePoIicy 속성을 지원합니다. 이는 Cloud Formation 스택에 대한 업데이트가 발생할 때 Auto Scalinggroup 리소스가 업데이트되는 방식을 정의하는 데 사용됩니다. Auto Scaling 그룹을 업데이트하는 일반적인 접근 방식은 AutoScalingRollingUpdate 정책을 지정하여 수행되는 롤링 업데이트를 수행하는 것입니다. 이것은 동일한 Auto Scaling 그룹을 유지하고 지정된 파라미터에 따라 이전 인스턴스를 새 인스턴스로 바꿉니다. Auto Scaling 업데이트에 대한 자세한 내용은 아래 링크를 참조하세요.
    
    

20. 현재 AWS에는 다음 설정이 있습니다.
    
    1) Elastic Load Balancer
    2) EC2 인스턴스를 시작하는 Auto Scaling 그룹
    3) 코드가 사전 설치된 AMI 특정 수의 사용자에게만 앱 업데이트를 배포하려고 합니다. 비용 효율적인 솔루션을 원합니다. 또한 빠르게 되돌릴 수 있어야 합니다.
    
    아래 솔루션 중 가장 실현 가능한 솔루션은 무엇입니까?
    • 두 번째 ELB와 새로운 시작 구성이 할당된 새로운 Auto Scaling 그룹을 생성합니다. 업데이트된 앱으로 새 AMI를 생성합니다. Route53 Weighted Round Robin 레코드를 사용하여 두 ELB에 도달하는 트래픽의 비율을 조정합니다.
    • 새 앱으로 새 AMI를 생성합니다. 그런 다음 새 EC2 인스턴스를 이전 인스턴스의 절반 비율로 사용합니다.
    • AWS Elastic Beanstalk 및 Elastic Beanstalk 버전으로 재배포합니다. Route 53 Weighted Round Robin 레코드를 사용하여 두 ELB에 도달하는 트래픽의 비율을 조정합니다.
    • 인스턴스의 전체 두 번째 스택을 생성하고, DNS를 새 인스턴스 스택으로 자르고, 롤백이 필요한 경우 DNS를 다시 변경합니다.
    설명:

    Route53의 가중 라우팅 정책을 사용하여 트래픽의 일부를 애플리케이션으로 보낼 수 있습니다. 가장 좋은 방법은 두 번째 CLB를 생성하고 새 자동 확장 그룹을 연결한 다음 Route53을 사용하여 트래픽을 전환하는 것입니다. 새 코드로 EC2 인스턴스를 실행하는 것만으로는 도움이 되지 않기 때문에 옵션 B는 잘못된 것입니다. 옵션 C는 Clastic beanstalk가 개발 환경에 적합하고 환경 URL을 교환할 수 있는 2개의 환경이 있다는 언급이 없기 때문에 잘못된 것입니다. 트래픽을 분할하려면 여전히 Route53이 필요하기 때문에 옵션 D는 잘못되었습니다.