EventBridge 이벤트 처리 실패 시, DLQ(SQS Dead-letter Queue) 로 보관.
DLQ 메시지를 통해 세부 오류 원인 파악 가능.
운영 오버헤드를 최소화하는 최적의 방식
📘 오답노트 - Q215
❓ 문제 요약
회사의 AWS Lambda 함수에 성능 문제가 발생.
Lambda 함수는 CPU 집약적 작업을 수행 중.
증상: 실행 속도가 충분히 빠르지 않고, 시스템 병목 현상 발생.
해결책은?
✅ 정답
C. Lambda 함수의 메모리 양을 늘린다.
AWS Lambda에서는 메모리 크기를 늘리면 CPU와 네트워크 대역폭도 비례해서 증가.
CPU 집약적 작업일 경우, 메모리 설정을 높여주면 성능이 개선됨.
간단하면서도 즉각적인 성능 최적화 방법.
❌ 오답 해설
A. CPU 시작 옵션에서 하이퍼스레딩 활성화 → Lambda에는 하이퍼스레딩 같은 직접 CPU 옵션 제어 불가.
B. AWS 관리 암호화를 끄기 → 암호화 여부는 보안 관련 설정이며 성능 병목과 관계 없음.
D. 코드 레이어에 필요한 코드 로드 → 레이어는 코드 관리 방식 최적화일 뿐, CPU 사용량 문제 해결 불가.
📊 비교 요약
옵션
설명
적합 여부
A
CPU 하이퍼스레딩 (Lambda에 불가능)
❌
B
관리 암호화 끄기 (보안 관련, 성능 무관)
❌
C
메모리 증설 → CPU 성능도 자동 증가
✅ 정답
D
코드 레이어 사용 (배포 효율성 관련)
❌
🌐 동작 원리 (Mermaid)
```mermaid
flowchart TD
User["🌍 사용자 요청"] --> Lambda["🟦 AWS Lambda 함수"]
Lambda -->|"⚙️ CPU 집약적 작업"| Execution["🖥️ 실행 환경"]
Execution -->|"📈 메모리 증가 시"| CPU["🔧 더 많은 vCPU 및 🌐 네트워크 대역폭"]
CPU --> Faster["⚡ 빠른 실행 속도 + 🚀 성능 개선"]
```
회사는 기존 Amazon Route 53 프라이빗 호스팅 영역을 새로 생성한 VPC에 적용하려고 함.
목표: VPC 내부에서 사용자 정의 리소스 이름을 확인 가능하게 만드는 것.
✅ 정답
A. Route 53 프라이빗 호스팅 영역을 VPC와 연결한다.
프라이빗 호스팅 영역은 해당 VPC 내부에서만 DNS 쿼리를 처리 가능.
따라서, 단순히 새 VPC를 생성하는 것만으로는 동작하지 않고 → 반드시 호스팅 영역을 VPC와 연결(Associate) 해야 함.
❌ 오답 해설
B. Resolver에 대한 보안 그룹 규칙 생성 → Route 53 Resolver는 프라이빗 호스팅 영역 사용과 직접적 관련 없음.
C. VPC ACL 확인 → ACL은 네트워크 트래픽 제어용이며, DNS 이름 확인 기능을 제공하지 않음.
D. 라우팅 테이블 경로 확인 → 경로(Route)는 IP 트래픽 전달 제어이지, DNS 이름 확인과 무관.
📊 비교 요약
옵션
설명
적합 여부
A
프라이빗 호스팅 영역을 VPC에 연결 (DNS 질의 허용)
✅ 정답
B
Resolver 보안 그룹 규칙 (관련 없음)
❌
C
네트워크 ACL 설정 (DNS 이름 확인과 무관)
❌
D
라우팅 테이블 경로 확인 (IP 기반 트래픽 관련, DNS 아님)
❌
🌐 동작 흐름 (Mermaid)
```mermaid
flowchart TD
CreateVPC["🆕 새 VPC 생성"] --> Associate["🔗 Route 53 Private Hosted Zone 연결"]
Associate --> DNSQuery["🔍 VPC 내부 DNS 쿼리 가능"]
DNSQuery --> Success["✅ 사용자 정의 리소스 이름 확인 성공 🎉"]
```
📊 결과 설명
🆕 새 VPC 생성 → 🔗 Route 53 Private Hosted Zone 연결
연결 후 🔍 VPC 내부에서 DNS 쿼리 가능
최종적으로 ✅ 사용자 정의 리소스 이름 확인 성공 🎉
🎯 핵심 정리
Route 53 프라이빗 호스팅 영역은 반드시 VPC와 연결해야 DNS 질의 처리 가능.
네트워크 ACL / 라우팅 테이블 / 보안 그룹은 네트워크 계층 트래픽 제어용이지, DNS와 직접적인 관계 없음.
👉 이 문제는 Q200, Q363 같이 VPC + Route 53 DNS Resolver 관련 문제와 묶어두면, “DNS 이름 확인을 위해서는 → 프라이빗 호스팅 영역 연결 or Resolver 엔드포인트 구성 필요” 라는 패턴으로 정리하기 좋습니다.
📘 오답노트 - Q434
❓ 문제 요약
회사는 MariaDB 다중 AZ 배포의 Amazon RDS 사용 중.
계획된 유지 관리 이벤트(예: 패치, 장애 조치) 시 몇 분 동안 DB 장애가 발생하여 애플리케이션 사용 불가.
목표: 애플리케이션의 자동 중지 시간을 최소화.
✅ 정답
D. 데이터베이스와 연결된 RDS 프록시를 생성한다.
RDS Proxy는 DB와 애플리케이션 사이에서 연결 풀을 관리.
장애 조치(Failover) 발생 시, 애플리케이션 연결을 유지하고 새로운 DB 인스턴스로 빠르게 전환 가능.
따라서 자동 중지 시간(다운타임) 단축에 최적.
❌ 오답 해설
A. 여러 라이터 인스턴스 MariaDB RDS 생성 → MariaDB는 기본적으로 단일 라이터 구조. Aurora와 달리 Multi-Master를 지원하지 않음.
B. 유휴 연결 풀링 설정 → 단순 풀링은 DB 연결 유지에는 도움이 되지만, 장애 조치 시 연결 자동 전환 불가.
C. ElastiCache 캐시 구성 → 읽기 성능 개선에는 유효하지만, DB 장애 조치 시 중지 시간을 줄이는 데는 직접적인 도움 없음.
📊 비교 요약
옵션
설명
적합 여부
A
MariaDB에 Multi-Master RDS 생성 (Aurora만 해당, 불가)
❌
B
유휴 연결 풀링 (Failover 처리 불가)
❌
C
ElastiCache로 캐싱 (성능 개선, 다운타임 해결 아님)
❌
D
RDS Proxy 사용 (Failover 시 연결 유지, 다운타임 최소화)
✅ 정답
🌐 동작 흐름 (Mermaid)
```mermaid
flowchart TD
App["💻 애플리케이션"] --> Proxy["🔗 RDS Proxy: 연결 풀 관리"]
Proxy --> DB1["🗄️ DB 인스턴스 A"]
Proxy --> DB2["🗄️ DB 인스턴스 B: Failover"]
DB1 -.->|"⚠️ Failover 발생"| DB2
Proxy --> AppResponse["✅ 연결 유지, 다운타임 최소화 🎉"]
```
📊 결과 설명
💻 애플리케이션 → 🔗 RDS Proxy 를 통해 DB 연결 관리
RDS Proxy는 🗄️ DB 인스턴스 A (기본)와 🗄️ DB 인스턴스 B (Failover용) 을 연결
⚠️ Failover 발생 시 A → B 로 전환
최종적으로 ✅ 연결 유지, 다운타임 최소화 🎉
🎯 핵심 정리
RDS Proxy는 장애 조치 시 연결 풀을 관리하여 애플리케이션 다운타임을 최소화한다.
ElastiCache는 읽기 성능 향상 목적이지, 장애 조치 복구와는 별개.
MariaDB 다중 AZ 환경에서 자동 중지 시간 최소화 문제 → RDS Proxy가 정답.
📘 오답노트 - Q453
❓ 문제 요약
회사는 AWS 계정 지출을 추적해야 함.
실제 비용이나 예상 비용이 특정 임계값 초과 시 알림을 받아야 함.
조건: 운영 오버헤드가 가장 적은 솔루션 필요.
✅ 정답
D. AWS 예산(Budgets)에서 반복 비용 예산을 작성하고, 실제/예상 비용에 대한 알림을 구성한다.
👉 Q344 핵심 포인트는 멀티 리전 사용자 지연 시간 문제 = Route 53 Latency-based Routing이라는 점입니다.
📘 오답노트 - Q345
❓ 문제 요약
회사는 동일한 리전에 50개의 Amazon S3 버킷을 보유.
Amazon EC2 인스턴스가 프라이빗 연결을 통해 S3 버킷과 안전하게 통신해야 함.
조건: 추가 비용이 없는 솔루션 필요.
✅ 정답
C. 모든 S3 버킷에 대해 하나의 게이트웨이 VPC 엔드포인트 생성 후 라우팅 테이블에 추가
S3용 VPC Gateway Endpoint는 무료로 제공됨.
단일 엔드포인트로 리전 내 모든 S3 버킷에 접근 가능.
라우팅 테이블에 엔드포인트를 추가하면 EC2 → S3 트래픽이 프라이빗 네트워크 내부에서 안전하게 이동.
❌ 오답 해설
A. 각 S3 버킷마다 개별 VPC Gateway Endpoint 생성 → 엔드포인트는 S3 전체 서비스 단위로 동작. 버킷별 생성 불필요 + 관리 복잡도 증가.
B. 각 S3 버킷마다 Interface Endpoint 생성 → S3는 Interface Endpoint 대신 Gateway Endpoint가 권장됨. 또한 Interface Endpoint는 비용 발생.
D. 모든 버킷에 대해 단일 Interface Endpoint 생성 → 가능하나 비용 발생. 문제 조건(“추가 비용 없음”) 위배.
📊 비교 표
옵션
설명
비용
적합 여부
A
S3 버킷별 Gateway Endpoint 생성
무료
❌ 불필요/비효율
B
S3 버킷별 Interface Endpoint 생성
유료
❌ 비용 문제
C
단일 Gateway Endpoint 생성 후 라우팅 테이블 추가
무료
✅ 정답
D
단일 Interface Endpoint 생성
유료
❌ 비용 문제
🌐 VPC Endpoint 구조 (Mermaid)
```mermaid
graph TD
EC2["💻 Amazon EC2 인스턴스"] --> VPC_GW["🔗 VPC Gateway Endpoint"]
VPC_GW --> S3["📦 Amazon S3: 리전 내 모든 버킷"]
VPC_GW -.-> Note["🔒 트래픽은 인터넷을 거치지 않고 VPC 내부에서 안전하게 전송됨"]
```
📊 결과 설명
💻 EC2 인스턴스 → 🔗 VPC Gateway Endpoint → 📦 Amazon S3
데이터 전송 시 🔒 인터넷을 거치지 않고 VPC 내부에서 안전하게 처리됨
점선 화살표로 보안 관련 부가 설명 강조
🎯 핵심 개념 정리
VPC Endpoint 종류
Gateway Endpoint: S3, DynamoDB 전용 / 무료 / 라우팅 테이블 기반.
Interface Endpoint: ENI(Elastic Network Interface) 방식 / 대부분의 AWS 서비스 / 비용 발생.
문제 조건 "추가 비용 없음" = Gateway Endpoint 선택이 정답.
👉 Q345 핵심 포인트는 S3와 DynamoDB는 Gateway VPC Endpoint라는 점을 기억하는 것입니다.
📘 오답노트 - Q355
❓ 문제 요약
회사는 다수의 Amazon EC2 인스턴스에서 애플리케이션 실행 중.
요구사항: EC2 인스턴스 상태 변경(Event) 발생 시 운영팀에게 알림 제공.
조건: 가장 운영 효율적인 방법 선택.
✅ 정답
B. EC2 인스턴스 상태 변경을 캡처하는 Amazon EventBridge 규칙 생성 후 SNS 주제를 대상으로 설정
Amazon EventBridge는 AWS 리소스 이벤트(예: EC2 상태 변경)를 자동으로 캡처.
이벤트를 Amazon SNS 주제로 전달하면 운영팀에 이메일/메시지 알림 전송 가능.
서버리스 + 자동화로 별도의 스크립트나 관리 부담 없음.
❌ 오답 해설
A. 스크립트 + SNS → 수동적인 방식이며 EC2 전체에 스크립트를 설치해야 하므로 운영 오버헤드 증가.
C. EventBridge + SNS + Lambda → 동작은 가능하나, 단순 알림만 필요할 때 Lambda는 불필요한 복잡성.
D. AWS Config + Lambda + SNS → Config는 리소스 규정 준수/구성 변경 감시용. 단순 EC2 상태 변경 알림에는 과도한 솔루션.
CloudFront + S3: 전 세계 엣지 로케이션에서 정적 콘텐츠 캐싱 제공 → 로딩 시간 단축.
Auto Scaling + ALB + EC2: 동적 콘텐츠 트래픽 급증 시 자동 확장으로 안정적 성능 보장.
웹 성능 개선 시 정적 콘텐츠는 CDN, 동적 콘텐츠는 Auto Scaling이 핵심.
📘 오답노트 - Q162
❓ 문제 요약
회사는 Oracle DB 인스턴스용 Amazon RDS를 사용 중.
다른 AWS 리전에 정기적인 백업을 제공하려고 함.
목표: 가장 운영상 효율적인 백업 솔루션 찾기.
✅ 정답
A. DB 인스턴스를 수정하고 지역 간 자동 백업 활성화
Amazon RDS는 자동 백업(Auto Backup) 기능 제공.
지역 간 복제를 지원하여 별도의 수동 작업 없이 다른 리전에 정기적 백업 자동 전송 가능.
관리 오버헤드 최소화, 운영 효율성 극대화.
❌ 오답 해설
B. 다른 리전에 RDS 읽기 전용 복제본 생성 후 스냅샷 → 읽기 전용 복제본은 고가용성과 장애 조치 목적이지, 정기적 백업 솔루션으로는 비효율적.
C. AWS DMS(AWS Database Migration Service) 사용 → DMS는 데이터 마이그레이션/변환 목적이지, 단순 주기적 백업에는 불필요하게 복잡하고 비용 비효율적.
D. 암호화 해제 후 스냅샷 복사 → 보안 취약점을 초래하며, 암호화를 해제하는 것은 올바른 솔루션이 아님.
📊 흐름도 (Mermaid 다이어그램)
```mermaid
flowchart TD
RDS["🗄️ Amazon RDS: Oracle DB"] --> AutoB["⚙️ 자동 백업 활성화"]
AutoB --> Backup["💾 백업 스냅샷 저장"]
Backup --> CrossRegion["🌍 다른 AWS 리전으로 자동 복제"]
CrossRegion --> Admin["👨💻 관리자: 복구 시 활용"]
```
📊 결과 설명
🗄️ Amazon RDS (Oracle DB) 에서 → ⚙️ 자동 백업 활성화 → 💾 백업 스냅샷 저장 → 🌍 다른 리전으로 자동 복제 → 👨💻 관리자가 복구 시 활용
한눈에 백업 → 복제 → 복구 흐름을 직관적으로 이해할 수 있음.
🎯 핵심 개념 정리
RDS의 자동 백업 + 교차 리전 복제(Cross-Region Backup) 기능이 가장 효율적.
운영자가 직접 스냅샷 찍고 복사하는 방식(D)은 비효율적이고 보안 문제 유발.
읽기 전용 복제본(B)이나 DMS(C)는 백업 목적에는 맞지 않음.
📘 오답노트 - Q165
❓ 문제 요약
SysOps 관리자가 AWS Lambda 함수 실행을 자동화해야 함.
매일 업무 종료 시, Amazon S3 버킷에 저장된 데이터를 기반으로 보고서 생성 필요.
요구 사항: 가장 운영 효율적인 방법.
✅ 정답
B. 일정과 Lambda 함수를 대상으로 하는 Amazon EventBridge 규칙 생성
EventBridge(구 CloudWatch Events)를 사용하면 **일정 기반(cron/매일 특정 시간)**으로 Lambda를 자동 실행 가능.
운영자가 직접 개입하지 않아도 매일 업무 종료 시 보고서 생성 가능.
서버리스 방식이므로 비용 효율적이며 관리 오버헤드 최소화.
❌ 오답 해설
A. S3 이벤트 패턴 기반 Lambda 실행 → 이는 객체 업로드/변경 시 실행되는 트리거로, "매일 업무 종료 시"라는 일정 기반 조건에 맞지 않음.
C. S3 객체 변경 이벤트 시 Lambda 실행 → 마찬가지로, "객체 변경" 이벤트 기반이므로 일정 실행 요구 조건과 맞지 않음.
D. cron 작업을 통한 EC2 기반 Lambda 실행 → EC2에 cron 스케줄러를 두는 방식은 관리 오버헤드와 비용이 크며, **서버리스 자동화(EventBridge)**보다 비효율적.
📊 흐름도 (Mermaid 다이어그램)
```mermaid
flowchart TD
Schedule["⏰ EventBridge 스케줄: 매일 18시"] --> Lambda["🟦 AWS Lambda: 함수 실행"]
Lambda --> S3["📦 Amazon S3: 데이터 처리"]
S3 --> Report["📊 보고서 생성"]
```
📊 결과 설명
⏰ EventBridge 스케줄: 매일 18시에 이벤트 발생
🟦 Lambda 함수: 자동 실행되어 데이터 처리 로직 수행
📦 S3: 처리된 데이터를 저장 및 관리
📊 보고서 생성: 최종 산출물
🎯 핵심 개념 정리
S3 이벤트 트리거(A, C) = 객체 생성/변경 시 실행 (❌ 일정 기반 아님)
EC2 cron(D) = 불필요한 리소스 관리 + 비용 증가 (❌ 서버리스 철학 위배)
EventBridge 일정(B) = Lambda를 매일 정해진 시간에 실행 가능 (✅ 정답)
👉 Q165의 핵심은 스케줄 기반 자동화는 EventBridge라는 점이에요.
📘 오답노트 - Q170
❓ 문제 요약
회사는 단일 Amazon EC2 인스턴스에서 MySQL 데이터베이스를 실행 중.
SysOps 관리자는 다중 테넌트 워크로드를 처리할 수 있는 고가용성 DB 솔루션을 요청받음.
요구사항: 확장성 + 고가용성을 제공하는 DB로 이전해야 함.
✅ 정답
C. 데이터베이스를 Amazon Aurora 다중 마스터 DB 클러스터로 마이그레이션
Amazon Aurora 다중 마스터 클러스터는 쓰기 및 읽기 모두 고가용성을 제공.
단일 인스턴스 장애 시에도 다른 마스터 노드가 즉시 처리 가능.
다중 테넌트 워크로드 환경에서도 확장성과 가용성을 충족.
❌ 오답 해설
A. MySQL용 두 번째 EC2 인스턴스 생성 → EC2에서 직접 MySQL을 운영하는 것은 수동 관리가 필요하고, 내결함성 보장이 부족함.
B. Aurora DB 클러스터로 마이그레이션 (단일 마스터 + 리더) → 고가용성은 제공되지만, 여전히 쓰기 작업은 단일 마스터에 집중됨 → 다중 테넌트 환경에서 성능 한계.
D. MySQL DB 인스턴스용 Amazon RDS로 마이그레이션 → 관리형 RDS MySQL은 편리하지만, Aurora 다중 마스터 대비 확장성과 내결함성 부족.
📊 흐름도 (Mermaid 다이어그램)
```mermaid
flowchart TD
EC2["💻 기존 EC2: MySQL 단일 인스턴스"] -->|"🛠️ 마이그레이션"| Aurora["🌟 Amazon Aurora: 다중 마스터 클러스터"]
Aurora --> Master1["📝 마스터 노드 1: 쓰기 가능"]
Aurora --> Master2["📝 마스터 노드 2: 쓰기 가능"]
Aurora --> Reader1["📖 읽기 전용 노드 1"]
Aurora --> Reader2["📖 읽기 전용 노드 2"]
```
📊 결과 설명
💻 기존 EC2 (MySQL 단일 인스턴스) → 🛠️ 마이그레이션 → 🌟 Amazon Aurora 다중 마스터 클러스터
Aurora 클러스터 구성:
📝 마스터 노드 1 & 2 (쓰기 가능)
📖 읽기 전용 노드 1 & 2
🎯 핵심 개념 정리
EC2 MySQL (A) = 직접 관리 필요 + 고가용성 부족 (❌)
Aurora 단일 마스터 (B) = 쓰기 단일 지점 → 다중 테넌트 비효율적 (❌)
RDS MySQL (D) = 관리 편의성은 있지만 Aurora 다중 마스터 대비 한계 (❌)
Aurora 다중 마스터 (C) = 쓰기/읽기 모두 고가용성 + 자동 장애 조치 (✅ 정답)
👉 Q170의 핵심은 다중 테넌트 + 고가용성 조건 = Aurora 다중 마스터라는 점이에요.
📘 오답노트 - Q173
❓ 문제 요약
여러 지역에서 발생할 수 있는 무단 AWS Management Console 로그인을 자동으로 모니터링해야 함.
요구사항: AWS 계정 보안 이벤트 감지 및 모니터링 자동화.
✅ 정답
D. Amazon GuardDuty를 구성하여 Unauthorized Access: IAMUser/ConsoleLoginSuccess.B finding을 모니터링
Amazon GuardDuty는 AWS 계정에 대한 악의적 활동 및 무단 접근을 자동 감지.
“IAMUser/ConsoleLoginSuccess.B” 같은 이벤트는 무단 콘솔 로그인 성공을 의미.
요구사항에 가장 적합.
❌ 오답 해설
A. Amazon Cognito → 애플리케이션 사용자 인증 서비스(소셜 로그인/앱 인증 등). AWS 콘솔 로그인 감지와 무관.
B. Amazon Inspector → EC2 및 컨테이너 워크로드 취약점/보안 검사 서비스. 로그인 이벤트 모니터링 기능 없음.
C. AWS Config → 리소스 구성 변경 추적 서비스. IAM 정책 검증 가능하나, 실시간 로그인 감지 불가능.
B. Aurora 글로벌 데이터베이스 옵션 사용 → DR 리전 Aurora 클러스터 구성 → Aurora Global Database는 리전 간 데이터 복제를 지원하며, 짧은 RPO 달성 가능
D. ALB 및 Auto Scaling 그룹을 사용하여 DR 리전 구성 → 최소 용량/최대 용량을 1로 설정해 대기 비용을 줄이면서도 빠른 Failover 가능 → 필요 시 Auto Scaling으로 신속히 확장 → RTO 충족
❌ 오답 해설
A. DR 리전으로 Aurora 백업 내보내기 → 백업 기반 복구는 느려서 RTO 15분 요구 충족 불가
C. ALB 및 Auto Scaling 그룹만 DR 구성 → DB 복구 방안 없음 → RPO 충족 불가
E. CloudFormation으로 새 ALB/Auto Scaling 그룹 시작 → 배포 시간이 오래 걸려 RTO 15분 충족 불가
📊 해설
RTO (Recovery Time Objective) ≤ 15분 → 서비스 빠른 전환 필요 → DR 리전 Pre-provisioned 최소 자원
RPO (Recovery Point Objective) ≤ 15분 → 데이터 손실 최소화 필요 → Aurora Global Database 복제 활용
📈 다이어그램 (Mermaid)
```mermaid
flowchart TD
Aurora["Aurora Primary: Region A"] --> GlobalDB["Global Database 복제"]
GlobalDB --> AuroraDR["Aurora Cluster: Region B"]
ALB1["ALB: Region A"] --> EC2A["EC2 Auto Scaling: Region A"]
ALB2["ALB: Region B - DR"] --> EC2B["EC2 Auto Scaling: Region B, Min=1"]
AuroraDR --> App["Failover 시 App 연결"]
```
📌 핵심 키워드
Aurora Global Database → 리전 간 데이터 동기화로 낮은 RPO
ALB + Auto Scaling 최소 용량 설정(1) → 저비용 대기, 빠른 확장으로 RTO 충족
단순 백업/재배포 방식은 시간 초과로 부적절
📘 오답노트 - Q275
✅ 문제 요약
회사는 ALB 뒤 Amazon EC2 인스턴스 집합에 웹사이트를 배포.
소셜 IdP(예: Google, Facebook 등) 를 통해 사용자 인증 필요.
요구사항: AWS 기본 서비스만 사용.
✅ 정답
A, D
A. 소셜 IdP를 Amazon Cognito 사용자 풀 구성 → Cognito는 Facebook, Google 같은 소셜 IdP와 연동 가능. → 사용자 인증을 쉽게 구현 가능.
D. 인증 규칙을 추가하도록 ALB 리스너 구성 → ALB는 Cognito와 직접 통합 가능. → ALB에서 인증/인가 처리를 수행해 EC2 인스턴스에 전달.
❌ 오답 해설
B. OIDC 엔드포인트 직접 구성 → AWS 기본 서비스 요구 조건과 맞지 않음. → ALB + Cognito 조합이 기본 서비스 기반 해법.
C. Lambda 권한 부여자 생성 → Lambda Authorizer는 API Gateway와 함께 사용. → ALB 인증 시 적용되지 않음.
E. Lambda@Edge로 ALB 인증 구현 → CloudFront 기반 인증 방식, ALB 환경과 맞지 않음.
📊 해설
ALB는 Amazon Cognito와 기본 통합 지원.
외부 IdP (소셜 로그인)는 Cognito 사용자 풀에 연결 → ALB 리스너 규칙으로 인증 처리.
{
"InstanceType": "m5.large", // 인스턴스 종류 (중간 크기 서버)
"SpotPrice": "0.05", // 시간당 내가 낼 최대 가격 ($0.05)
"InstanceCount": 3, // 실행할 서버 개수 (3대)
"Action": "request" // 스팟 인스턴스 요청
}
🔎 한 줄씩 설명
"InstanceType": "m5.large" → 필요한 서버 크기 선택
"SpotPrice": "0.05" → "나는 5센트까지만 낼래!"
"InstanceCount": 3 → 서버 3대 동시에 실행
"Action": "request" → 스팟 인스턴스 요청 시작
👉 즉, "세일 서버 3대 주세요! 단, 5센트 이상이면 안 사요~" 라는 뜻이에요.
💼 현업에서 어떻게 쓰일까?
연구소
빅데이터 분석 작업을 병렬 처리 → 10시간 걸릴 걸 2시간 만에 끝냄
게임 회사
긴급하지 않은 테스트 서버는 스팟 인스턴스로 실행 → 비용 70% 절약
금융사
RDS(데이터베이스) 지표 모니터링 → 성능 부족 시 빠른 업그레이드
스타트업
AWS Budgets로 비용 초과 시 알람 → 클라우드 요금 폭탄 방지
e커머스
큰 이미지 파일 업로드 시 S3 멀티파트 업로드 사용 → 업로드 실패 줄이고 성능 개선
🧾 정리
AWS에서는 비용 절약과 성능 향상을 동시에 할 수 있어요.
👉 핵심 방법:
필요할 때만 쓰기
병렬 처리로 빨리 끝내기
스팟 인스턴스로 절약
작업에 맞는 인스턴스 선택
시험 문제에서도 항상 **“비용 + 성능 둘 다 고려된 답”**이 정답일 확률이 높습니다 ✅
{
"Comment": "Route 53 A 레코드 예시", // 레코드 설명
"Changes": [
{
"Action": "CREATE", // 레코드 생성 동작
"ResourceRecordSet": {
"Name": "example.com", // 도메인 이름
"Type": "A", // A 레코드 (IPv4 주소 매핑)
"TTL": 300, // TTL (캐싱 시간, 초 단위)
"ResourceRecords": [
{ "Value": "192.0.2.44" } // 연결할 IP 주소
]
}
}
]
}
🔎 라인별 설명
"Comment" → 레코드에 대한 설명 문구
"Action": "CREATE" → 새로운 레코드 생성
"Name": "example.com" → 연결할 도메인 이름
"Type": "A" → A 레코드 (IPv4 매핑)
"TTL": 300 → DNS 캐싱 유지 시간 5분
"ResourceRecords" → 연결할 실제 IP 주소 목록
👉 현업에서는 Alias 레코드를 활용해 CloudFront 배포 또는 S3 버킷과 연결하는 경우가 많습니다.
💼 현업 적용 사례
스타트업: S3 정적 웹사이트 + CloudFront → 전 세계 빠른 콘텐츠 제공
금융사: VPC 엔드포인트를 사용해 S3와 프라이빗 연결 → 인터넷을 거치지 않음
게임사: WAF + Shield Advanced → DDoS 공격 방어
e커머스: Route 53 지연시간 기반 라우팅 → 사용자에게 가장 가까운 리전으로 트래픽 분산
엔터프라이즈: VPC Flow Logs + GuardDuty → 네트워크 이상 징후 실시간 탐지
👉VPN= 비밀 터널 🛤️ 👉VPC Peering= 옆 단지랑 다리 놓기 🌉 👉Session Manager= 열쇠 없어도 관리실에서 초대해서 들어가기 🚪
2. DNS와 콘텐츠 전송
Route 53= 인터넷 전화번호부 ☎️ → 도메인 이름(예:www.example.com)을 진짜 집 주소(IP)랑 연결해 줌
CloudFront= 택배 물류창고 🚚 → 가까운 창고에서 물건(콘텐츠)을 빨리 보내줌
S3= 택배 물품 창고 📦 (사진, 동영상, 문서 저장)
3. 네트워크 보호 & 문제 해결
AWS WAF= 집 앞 CCTV + 경비 아저씨 👮 (나쁜 봇, 해커 차단)
AWS Shield= 대규모 경찰 지원 🚔 (큰 공격, DDoS 방어)
VPC Flow Logs= 블랙박스 🎥 (누가 드나들었는지 기록)
ELB Logs= 공동 현관 출입 기록 📋
CloudFront Logs= 택배 배송 기록 📝
📝 Route 53 레코드 예시 (DNS 등록)
{
"Comment": "Route 53 A 레코드 예시", // 설명: 도메인 연결 기록
"Changes": [
{
"Action": "CREATE", // 동작: 새로 만들기
"ResourceRecordSet": {
"Name": "example.com", // 도메인 이름
"Type": "A", // A레코드 (IP와 연결)
"TTL": 300, // 캐싱 시간 (5분)
"ResourceRecords": [
{ "Value": "192.0.2.44" } // 진짜 서버 IP 주소
]
}
}
]
}
💼 현업에서 어떻게 쓰일까?
회사 내부 직원만 데이터베이스 접근
VPC + VPN 으로만 접속 가능 → 외부 해커 차단
게임 회사
CloudFront로 전 세계 게이머에게 빠르게 업데이트 배포
은행
Route 53 장애조치 라우팅(Failover) → 서버가 멈추면 자동으로 다른 서버로 연결
온라인 쇼핑몰
WAF로 SQL Injection 같은 공격 차단
Shield Advanced로 대형 DDoS 공격 방어
IT 운영팀
VPC Flow Logs와 ELB Logs 확인 → 누가 잘못된 접속을 시도했는지 추적
🧾 정리
VPC = 네트워크의 기본 집
Route 53 = 인터넷 전화번호부
CloudFront = 빠른 택배 배달
WAF/Shield = 보안 지킴이
로그들 = 블랙박스 (문제 생기면 추적 가능)
👉 시험에서도, 실무에서도 항상 “보안과 안정성”이 더 좋은 답을 고르면 정답일 확률이 높습니다 ✅
> 이 도메인은 시험 점수의 **16%**를 차지하며, AWS 보안과 규정 준수 정책을 이해하고 구현하는 능력을 평가합니다. > 핵심은 **비밀 유지(Secrets)** 와 **보안 유지(Security)** 입니다.
---
🔑 주요 학습 주제
1. 보안 정책 및 규정 준수 정책 구현
- **IAM 관리**
사용자(User), 그룹(Group), 역할(Role)의 차이 이해
암호 정책(Password Policy), MFA 적용
IAM 정책 JSON 해석 능력
IAM Access Analyzer, Policy Simulator 활용
- **감사 & 모니터링**
AWS CloudTrail: 모든 API 호출 기록
AWS Trusted Advisor: 보안 권장 사항 확인
다중 계정 전략: AWS Organizations, Control Tower
리전 선택 시 규정 준수 고려 (GDPR, PCI DSS 등)
---
2. 데이터 및 인프라 보호 전략
- **데이터 보호 & 분류**
민감 데이터 vs 공개 데이터 구분
보관 위치 및 암호화 의무화
- **암호화 & 키 관리**
S3 암호화 옵션 (SSE-S3, SSE-KMS, SSE-C)
AWS KMS, CloudHSM 키 관리
전송 중 데이터 암호화 (VPN, TLS, ACM 인증서)
- **비밀 관리 & 보안 서비스**
AWS Secrets Manager → DB 비밀번호, API 키 저장
SSM Parameter Store → 설정값 안전 관리
AWS Config, GuardDuty, Security Hub, Inspector, Macie → 보안 상태 점검
---
{
"Version": "2012-10-17", // 정책 버전 (항상 이 날짜 형식 고정)
"Statement": [ // 권한을 정의하는 블록
{
"Effect": "Allow", // 허용(Allow) 또는 거부(Deny)
"Action": "s3:*", // S3 서비스에서 모든 동작 허용
"Resource": "*" // 모든 S3 리소스에 적용
}
]
}
🔎 라인별 설명
"Version": "2012-10-17" → AWS 정책 문서 표준 버전
"Statement" → 실제 권한 정의하는 배열
"Effect": "Allow" → 동작을 허용한다는 의미
"Action": "s3:*" → S3에서 가능한 모든 API 호출 허용 (GetObject, PutObject 등)
"Resource": "*" → 모든 S3 버킷 및 객체에 적용
👉 실제 현업에서는 Resource 를 "arn:aws:s3:::my-bucket/*" 같이 특정 리소스로 제한하는 것이 보안 모범 사례입니다.
💼 현업 적용 사례
IAM & MFA
사내 직원 계정에 MFA를 필수 적용하여 계정 탈취 위험 방지
CloudTrail & GuardDuty
모든 API 호출을 기록 → 비정상 로그인 시도 탐지 가능
데이터 암호화
고객의 금융/의료 데이터는 반드시 KMS를 사용하여 암호화
GDPR 등 규정에 따라 특정 리전(EU) 내 데이터 저장
Secrets Manager
RDS 데이터베이스 비밀번호를 직접 코드에 넣지 않고 Secrets Manager에 저장 → 앱이 동적으로 불러와 사용
flowchart TD
A["보안 & 규정 준수 고려"] --> B["IAM 관리"]
A --> C["변경 관리 & 자동화"]
A --> D["감사 & 추적"]
B --> B1["최소 권한 원칙"]
B --> B2["MFA 적용"]
B --> B3["Role / Federation 활용"]
C --> C1["자동화 도구를 통한 리소스 제어"]
C --> C2["프로덕션 계정 직접 액세스 최소화"]
D --> D1["CloudTrail 로그"]
D --> D2["CloudWatch 알람"]
D --> D3["규정 준수 상태 점검"]
📝 예시 IAM 정책 JSON
{ "Version": "2012-10-17", // 정책 버전 (고정된 표준) "Statement": [ { "Effect": "Allow", // 허용 규칙 "Action": [ // 허용할 액션 목록 "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "arn:aws:ec2:ap-northeast-2:123456789012:instance/*" // 특정 계정의 모든 EC2 인스턴스 } ] }
```
👉 실무 포인트
Production 환경에서는 ec2:TerminateInstances 권한은 절대 직접 부여 금지
Terraform, CloudFormation 같은 IaC 도구를 통해 관리하는 것이 안전
💼 현업 적용 사례
금융회사: 고객 데이터 저장 시 반드시 KMS 키로 암호화
게임사: 운영자가 실수로 서버를 종료하지 않도록 EC2 종료 권한은 자동화 도구에만 부여
의료기관: CloudTrail + GuardDuty로 의심스러운 API 호출 탐지
스타트업: Secrets Manager로 DB 비밀번호 관리 → 코드에 하드코딩 금지
📌 시험 대비 팁
“두 옵션 중 하나가 보안성이 더 높다” → 보안 강화된 옵션 선택
IAM, CloudTrail, CloudWatch, Config, GuardDuty, Security Hub 등 보안 서비스의 목적과 차이점 숙지
Least Privilege 는 항상 답안에서 핵심 키워드
✅ 결론: 보안 및 규정 준수는 AWS 인프라의 기초 체력 시험뿐 아니라 실무에서도 IAM, 감사, 암호화는 반드시 숙지해야 하는 핵심입니다.
🚀 배포, 프로비저닝 및 자동화 (Deployment, Provisioning & Automation)
1. 도메인 개요
비중: 시험 점수의 약 18%
핵심 테마
클라우드 리소스의 프로비저닝 및 유지 관리
반복 가능한 프로세스 자동화
2. 주요 학습 주제
(1) 리소스 프로비저닝 및 유지 관리
EC2 AMI: AMI 생성·관리 (Image Builder 활용 포함)
CloudFormation: IaC(Infrastructure as Code)로 스택 생성·관리, 문제 해결
리전·계정 간 리소스 관리
Resource Access Manager (RAM)
CloudFormation StackSets
IAM Cross-Account Role
배포 전략
Blue-Green
Rolling Update
Canary Deployment
서비스 할당량(Service Quotas)
자원 제한 이유 (안정성·보안)
제한 상향 요청 방법
오류 대응
VPC/서브넷 크기 설정
CloudFormation 템플릿 오류
OpsWorks 에러 처리
(2) 수동 또는 반복 가능한 프로세스 자동화
자동화 도구
CloudFormation (IaC)
AWS OpsWorks (Chef, Puppet)
Elastic Beanstalk (애플리케이션 배포 자동화)
AWS Systems Manager (패치 관리, Run Command, Automation Runbooks)
이벤트 기반 자동화
Amazon EventBridge → 일정·이벤트 기반 작업 트리거
AWS Config → 규정 위반 시 자동 조치
자동화 시나리오
정기 패치 관리
인스턴스 자동 시작·중지
리소스 정책 자동 수정
3. 시험에서 나올 수 있는 예시 포인트
AMI 생성·배포 프로세스에 대한 질문
CloudFormation 스택 오류 원인 분석
서비스 할당량 초과 → 해결 방법? (Quotas 변경 요청)
Blue-Green/Canary 배포 전략 비교
Systems Manager Automation으로 패치 관리 자동화
EventBridge 규칙으로 특정 이벤트 발생 시 Lambda 실행
4. 실무 적용 인사이트
운영자가 직접 리소스를 생성·변경하는 대신 IaC 및 자동화로 표준화된 환경 제공
반복 작업 최소화 → 인적 오류 감소
배포 전략(Blue-Green 등)을 통해 무중단 배포 가능
서비스 할당량 관리로 장애 예방
자동화 도구 조합 (CloudFormation + Systems Manager + EventBridge)으로 운영 효율성 극대화
✅ 핵심 요약 배포, 프로비저닝 및 자동화는 AWS 인프라를 표준화·자동화하여 운영 효율성을 극대화하는 영역입니다. 시험에서는 AMI, CloudFormation, 배포 전략, 자동화 서비스(EventBridge, Systems Manager, Config) 관련 문제가 자주 출제되며, 실무에서는 반복 작업 자동화 + 무중단 배포 전략이 가장 중요한 포인트입니다.
🚀 배포, 프로비저닝 및 자동화에 대한 이해
1. 개념 정리
배포(Deployment) 애플리케이션과 인프라를 특정 환경(개발, 테스트, 운영)에 올려 실행하는 과정 → 예: Blue-Green, Rolling, Canary 배포 전략
프로비저닝(Provisioning) 클라우드 자원(EC2, VPC, DB 등)을 생성·구성하여 애플리케이션이 실행될 기반을 마련하는 것 → 예: EC2 인스턴스 생성, VPC 서브넷 설정
자동화(Automation) 반복되는 작업(패치, 업데이트, 백업 등)을 스크립트·도구로 자동 실행하는 것 → 예: Systems Manager Run Command, EventBridge 스케줄링
2. CloudFormation의 핵심 이점
인프라를 코드(IaC) 로 관리
JSON/YAML 템플릿으로 전체 아키텍처 정의
버전 관리 및 검토 가능 → GitOps 적용
표준화와 재사용성
동일한 아키텍처를 여러 리전·계정에 손쉽게 배포
업데이트 및 복구 용이
스택 업데이트, 롤백 기능 → 장애 시 빠른 복원
자동화된 배포 파이프라인과 연계
CodePipeline + CloudFormation → CI/CD 자동화
3. Systems Manager와 운영 자동화
Run Command: 여러 EC2 인스턴스에 동시에 명령 실행
Patch Manager: 자동 패치 적용 및 관리
Automation Runbook: 미리 정의된 운영 절차 자동 실행
State Manager: 서버 설정 자동 유지
👉 장점: 수십·수백 대 서버 운영 시 인적 오류 최소화, 반복 작업 자동화
4. 자동화 사례
자동 패치 관리: 새벽 시간대에 OS 업데이트 예약
트래픽 비활성 시간 업데이트: 피크 시간대 피해서 배포
로그 집계 및 보관: 월 1회 자동 실행
자동 시작·중지: 비용 최적화를 위해 업무 시간 외 인스턴스 종료
5. 정리
CloudFormation → 인프라 표준화 & 코드 기반 관리
Systems Manager → 대규모 서버 운영 효율화
자동화 → 인적 오류 줄이고, 비용·운영 효율성 향상
💡 핵심 요약 배포·프로비저닝·자동화를 이해하면 AWS를 더 쉽고 안전하게 운영할 수 있고, 시험에서도 CloudFormation, Systems Manager, 배포 전략, 자동화 도구(EventBridge, Config)가 자주 출제됩니다.
