이번 포스트는 AWS Solutions Architect Professional 자격인증 시험의 특징을 설명합니다.
AWS Solutions Architect Professional 자격 인증 시험은 미리 정의된 출제영역에서 나온 75개 문항을 2시간 50분 동안 풀고, 1000점 만점에 750점 이상의 점수를 획득하는 시험입니다.
AWS Certified Solutions Architect – Professional 자격 인증
https://aws.amazon.com/ko/certification/certified-solutions-architect-professional/
어소시에이트(준전문가)와 프로페셔널(전문가) 자격인증 시험은 말 그대로 전문성의 차이도 있겠으나, 활용하는 서비스와 리소스에 있어서도 차이가 있습니다. 즉, 어소시에이트를 준비할 때는 (출제 범위와 관련성이 낮아서) 신경쓰지 않았던 서비스가 프로페셔널에서는 상식처럼 사용하는 도구가 되기도 합니다.
아래 예시 문제를 한 번 살펴볼까요?
문제 유형 01
최근, 한 소매 회사에서 AWS의 월간 지출이 크게 증가했습니다. 조사 결과, 일부 개발자들이 예기치 않은 지역에서 아마존 RDS 인스턴스를 실수로 시작한 것으로 밝혀졌습니다.
회사는 여러분을 솔루션스 아키텍트 프로페셔널로 고용한 뒤, 개발자의 최소한의 권한 전략을 위한 모범 사례를 수립하고 사내 액세스를 제어하며 Active Directory를 이용하여 AWS 리소스에 접근할 수 있도록 해달라고 요청했습니다.
아울러, 개발자의 생산성에 영향을 주지 않으면서 AWS 관리 콘솔에 대한 액세스 수준을 제한하여 비용을 제어할 수 있는 메커니즘을 수립할 것을 요청했습니다. 또한 이 회사는 개발자가 us-east-1 지역에서만 RDS 인스턴스를 시작할 수 있도록 허용하고자 합니다.
DevOps 팀의 운영 부담을 최소화하면서 회사가 새로운 보안 권한을 달성하도록 지원하는 방법은 무엇입니까?
문제 유형 01의 선택 지문
- SAML 기반 인증과 PowerUserAccess 관리 정책을 지닌 IAM 롤을 연결한다. us-east-1을 제외한 모든 리전에서 RDS에 대한 접근을 거부하는 고객 관리 정책을 부착한다.
- SAML 기반 인증과 AdministrativeAccess 관리 정책을 지닌 IAM 롤을 연결한다. us-east-1을 제외한 모든 리전에서 RDS에 대한 접근을 거부하는 고객 관리 정책을 부착한다.
- 각 개발자를 위한 IAM 유저를 생성하고 이를 PowerUserAccess 관리 정책을 지닌 IAM 그룹에 추가한다. us-east-1을 제외한 모든 리전에서 RDS에 대한 접근을 거부하는 고객 관리 정책을 부착한다.
- SAML 기반 인증과 PowerUserAccess 관리 정책을 지닌 IAM 롤을 연결하고, 모든 개발자가 AWS Service Catalog 이외의 어떤 AWS 서비스에도 접근하지 못하도록 한다. AWS Service Catalog에 us-east-1의 RDS만 포함된 제품(product)을 생성한다.
어소시에이트 문제와 선택지문에 비해 좀 더 길어지고 문제 상황과 관련된 조건이 좀 더 복잡해진 듯 합니다. 어떤 지문이 정답일까요?
위 문제의 키포인트 및 논점은 다음과 같습니다.
- 출제영역 1, 조직 복잡성(OC) 설계에 해당
- PowerUserAccess 관리 정책과 AdministrativeAccess 관리 정책의 차이점
- SAML 기반 인증과 IAM 롤의 연결
- 이번 시나리오에 AWS Service Catalog의 적합성 여부 및 활용 방법
힌트: 정답 여부는 PowerUserAccess 관리 정책과 AdministrativeAccess 관리 정책의 차이점을 이해하고 있느냐, 그리고 이번 문제 상황에서 AWS Service Catalog의 사용 방식의 적합성으로 결정할 수 있습니다.
정답 및 해설
개발자가 지정된 리전에 RDS를 론칭하고 관련 작업을 수행하기에 적합한 관리 정책은 PowerUserAccess입니다. 따라서, 답에서 2번은 제외할 수 있습니다.
PowerUserAccess = AdministrativeAccess – IAM
사내 액세스를 제어하며 Active Directory를 이용하려면 SAML 2.0도 필요합니다. 3번을 제외할 수 있네요.
남은 답안은 1, 4번이고 두 답안의 내용은 비슷하지만, 4번이 권한 제어에 AWS Service Catalog를 사용한다는 차이점이 있습니다. 하지만 4번의 방식처럼 AWS Service Catalog로만 서비스에 접속하도록 하고 다른 모든 권한을 차단하면 정상적인 개발 업무에 지장을 줄 수 있습니다. 또한 이와 같은 사용 제약은 AWS Service Catalog의 사용 목적 또는 방식과 배치됩니다. 4번도 제외합니다.
따라서, 1번만이 정답이 될 수 있습니다.
정답을 맞힌 여러분 축하합니다! 프로페셔널 인정!
AWS Service Catalog
https://aws.amazon.com/ko/servicecatalog/features/
다음 포스트에서 새로운 유형을 소개하겠습니다.
감사합니다.
동준상.넥스트플랫폼
naebon1@gamil.com
