DOP-C02-KR 문제 71
회사는 AWS Lambda 함수에 Amazon S3 이벤트 소스를 구성했습니다. 회사는 새 객체가 생성되거나 기존 객체가 수정될 때 실행하기 위해 Lambda 함수가 필요합니다. 특정 S3 버킷에서 Lambda 함수는 S3 버킷 이름과 생성되거나 수정된 S3 객체의 내용을 읽기 위한 수신 이벤트의 S3 객체 키 Lambda 함수는 내용을 구문 분석하고 구문 분석된 내용을 Amazon DynamoDB 테이블에 저장합니다.
Lambda 함수의 실행 역할에는 S3 버킷에서 읽고 DynamoDB 테이블에 쓸 수 있는 권한이 있습니다. 테스트 중에 DevOps 엔지니어는 객체가 S3 버킷에 추가되거나 기존 객체가 수정될 때 Lambda 함수가 실행되지 않는다는 것을 발견했습니다.
이 문제를 해결하는 솔루션은 무엇입니까?
Lambda 함수의 실행 역할에는 S3 버킷에서 읽고 DynamoDB 테이블에 쓸 수 있는 권한이 있습니다. 테스트 중에 DevOps 엔지니어는 객체가 S3 버킷에 추가되거나 기존 객체가 수정될 때 Lambda 함수가 실행되지 않는다는 것을 발견했습니다.
이 문제를 해결하는 솔루션은 무엇입니까?
DOP-C02-KR 문제 72
회사의 애플리케이션 팀은 애플리케이션에 AWS CodeCommit 리포지토리를 사용합니다. 애플리케이션 팀은 여러 AWS 계정에 리포지토리를 보유하고 있습니다. 모든 계정은 AWS Organizations의 조직에 속합니다.
각 애플리케이션 팀은 외부 IdP로 구성된 AWS IAM Identity Center(AWS Single Sign-On)를 사용하여 개발자 IAM 역할을 맡습니다. 개발자 역할을 통해 애플리케이션 팀은 Git을 사용하여 리포지토리의 코드 작업을 수행할 수 있습니다.
보안 감사를 통해 애플리케이션 팀이 모든 저장소의 기본 분기를 수정할 수 있음이 밝혀졌습니다. DevOps 엔지니어는 애플리케이션 팀이 자신이 관리하는 리포지토리의 기본 분기만 수정할 수 있도록 하는 솔루션을 구현해야 합니다.
이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (3개를 선택하세요.)
각 애플리케이션 팀은 외부 IdP로 구성된 AWS IAM Identity Center(AWS Single Sign-On)를 사용하여 개발자 IAM 역할을 맡습니다. 개발자 역할을 통해 애플리케이션 팀은 Git을 사용하여 리포지토리의 코드 작업을 수행할 수 있습니다.
보안 감사를 통해 애플리케이션 팀이 모든 저장소의 기본 분기를 수정할 수 있음이 밝혀졌습니다. DevOps 엔지니어는 애플리케이션 팀이 자신이 관리하는 리포지토리의 기본 분기만 수정할 수 있도록 하는 솔루션을 구현해야 합니다.
이러한 요구 사항을 충족하는 단계 조합은 무엇입니까? (3개를 선택하세요.)
DOP-C02-KR 문제 73
회사의 DevOps 엔지니어가 Amazon Simple Notification Service(Amazon SNS) 주제의 알림을 처리하기 위해 AWS Lambda 함수를 생성하고 있습니다. Lambda 함수는 알림 메시지를 처리하고 알림 메시지의 내용을 Amazon RDS 다중 AZ DB 인스턴스에 기록합니다.
테스트 중에 데이터베이스 관리자가 실수로 DB 인스턴스를 종료했습니다. 데이터베이스가 다운되는 동안 회사는 그 동안 전달된 SNS 알림 메시지 중 일부를 잃어버렸습니다.
DevOps 엔지니어는 향후 알림 메시지 손실을 방지해야 합니다. 이 요구 사항을 충족하는 솔루션은 무엇입니까? (2개를 선택하세요.)
테스트 중에 데이터베이스 관리자가 실수로 DB 인스턴스를 종료했습니다. 데이터베이스가 다운되는 동안 회사는 그 동안 전달된 SNS 알림 메시지 중 일부를 잃어버렸습니다.
DevOps 엔지니어는 향후 알림 메시지 손실을 방지해야 합니다. 이 요구 사항을 충족하는 솔루션은 무엇입니까? (2개를 선택하세요.)
DOP-C02-KR 문제 74
회사는 빌드 계정에서 AWS CodePipeline 및 AWS CodeBuild를 사용하여 새로운 파이프라인을 구축하고 있습니다. 파이프라인은 두 단계로 구성됩니다. 첫 번째 단계는 AWS Lambda 함수를 빌드하고 패키징하는 CodeBuild 작업입니다. 두 번째 단계는 두 개의 서로 다른 AWS 계정인 개발 환경 계정과 프로덕션 환경 계정에서 작동하는 배포 작업으로 구성됩니다. 배포 단계에서는 Lambda 함수에 필요한 인프라를 배포하기 위해 CodePipeline이 호출하는 AWS Cloud Format 이온 작업을 사용합니다.
DevOps 엔지니어는 CodePipeline 파이프라인을 생성하고 Amazon S3용 AWS Key Management Service(AWS KMS) AWS 관리형 키(aws/s3 키)를 사용하여 빌드 아티팩트를 암호화하도록 파이프라인을 구성합니다. 아티팩트는 S3 버킷에 저장됩니다. 파이프라인이 실행되면 Cloud Formation 작업이 액세스 거부 오류와 함께 실패합니다.
이 오류를 해결하기 위해 DevOps 엔지니어가 수행해야 하는 작업 조합은 무엇입니까? (2개를 선택하세요.)
DevOps 엔지니어는 CodePipeline 파이프라인을 생성하고 Amazon S3용 AWS Key Management Service(AWS KMS) AWS 관리형 키(aws/s3 키)를 사용하여 빌드 아티팩트를 암호화하도록 파이프라인을 구성합니다. 아티팩트는 S3 버킷에 저장됩니다. 파이프라인이 실행되면 Cloud Formation 작업이 액세스 거부 오류와 함께 실패합니다.
이 오류를 해결하기 위해 DevOps 엔지니어가 수행해야 하는 작업 조합은 무엇입니까? (2개를 선택하세요.)
DOP-C02-KR 문제 75
회사에서 단일 AWS 계정의 프로덕션 VPC에 애플리케이션을 배포했습니다. 이 응용 프로그램은 인기가 있으며 사용량이 많습니다. 회사의 보안 팀은 AWS WAF와 같은 추가 보안을 애플리케이션 배포에 추가하려고 합니다. 그러나 애플리케이션의 제품 관리자는 비용을 염려하고 보안 팀이 추가 보안이 필요하다는 것을 증명할 수 없는 한 변경을 승인하기를 원하지 않습니다.
보안 팀은 애플리케이션 요구 중 일부가 거부 목록에 있는 IP 주소를 가진 사용자로부터 올 수 있다고 생각합니다. 보안 팀은 DevOps 엔지니어에게 거부 목록을 제공합니다. 거부 목록에 있는 IP 주소 중 하나라도 애플리케이션에 액세스하는 경우 보안 팀은 보안 팀이 애플리케이션에 추가 보안이 필요함을 문서화할 수 있도록 거의 실시간으로 자동화된 알림을 받기를 원합니다. DevOps 엔지니어는 프로덕션 VPC에 대한 VPC 흐름 로그를 생성합니다.
이러한 요구 사항을 가장 비용 효율적으로 충족하기 위해 DevOps 엔지니어가 수행해야 하는 추가 단계는 무엇입니까?
보안 팀은 애플리케이션 요구 중 일부가 거부 목록에 있는 IP 주소를 가진 사용자로부터 올 수 있다고 생각합니다. 보안 팀은 DevOps 엔지니어에게 거부 목록을 제공합니다. 거부 목록에 있는 IP 주소 중 하나라도 애플리케이션에 액세스하는 경우 보안 팀은 보안 팀이 애플리케이션에 추가 보안이 필요함을 문서화할 수 있도록 거의 실시간으로 자동화된 알림을 받기를 원합니다. DevOps 엔지니어는 프로덕션 VPC에 대한 VPC 흐름 로그를 생성합니다.
이러한 요구 사항을 가장 비용 효율적으로 충족하기 위해 DevOps 엔지니어가 수행해야 하는 추가 단계는 무엇입니까?