무료 온라인 액세스 Amazon.DOP-C02-KR.v2026-06-01.q207 모의 시험 (Page 12)

DOP-C02-KR 문제 51

회사의 DevOps 팀은 AWS Organizations의 조직에 있는 일련의 AWS 계정을 관리합니다. 회사에는 모든 Amazon EC2 인스턴스가 DevOps 팀이 관리하는 승인된 AMI를 사용하도록 보장하는 솔루션이 필요합니다. 또한 솔루션은 승인되지 않은 AMI의 사용을 수정해야 합니다. 개별 계정 관리자는 승인된 AMI 사용에 대한 제한을 제거할 수 없어야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. AWS CloudFormation StackSets를 사용하여 Amazon EventBridge 규칙을 각 계정에 배포합니다. Amazon EC2에 대한 AWS CloudTrail 이벤트에 반응하고 Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 보내도록 규칙을 구성합니다. DevOps 팀의 SNS 주제 구독

B. AWS CloudFormation StackSets를 사용하여 Approved-amis-by-id AWS Config 관리형 규칙을 각 계정에 배포합니다. 승인된 AMI 목록을 사용하여 규칙을 구성합니다. 비준수 EC2 인스턴스에 대해 AWS-StopEC2Instance AWS 시스템 관리자 자동화 Runbook을 실행하도록 규칙을 구성합니다.

C. Amazon EC2에 대한 AWS CloudTrail 이벤트를 처리하는 AWS Lambda 함수를 생성합니다. Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 보내도록 Lambda 함수를 구성합니다. DevOps 팀의 SNS 주제를 구독하세요. 조직의 각 계정에 Lambda 함수 배포 각 계정에 Amazon EventBridge 규칙 생성 Amazon EC2에 대한 AWS CloudTrail 이벤트에 반응하고 Lambda 함수를 호출하도록 EventBridge 규칙을 구성합니다.

D. 조직 전체에서 AWS Config 활성화 승인된 AMI 목록과 함께 승인된 -amis-by-id AWS Config 관리 규칙을 사용하는 적합성 팩을 생성합니다. 조직 전체에 적합성 팩을 배포합니다. 비준수 EC2 인스턴스에 대해 AWS-StopEC2Instance AWS 시스템 관리자 자동화 Runbook을 실행하도록 규칙을 구성합니다.

DOP-C02-KR 문제 52

회사는 AWS 계정의 모든 기존 및 신규 VPC에 대해 흐름 로그가 계속 구성되어 있는지 확인해야 합니다. 회사는 AWS CloudFormation 스택을 사용하여 VPC를 관리합니다. 회사에는 IAM 사용자가 생성하는 모든 VPC에서 작동하는 솔루션이 필요합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. VPC를 생성하는 CloudFormation 스택에 리소스를 추가합니다.

B. AWS Organizations에서 조직을 생성합니다. 회사의 AWS 계정을 조직에 추가합니다. 사용자가 VPC 흐름 로그를 수정하지 못하도록 SCP를 생성합니다.

C. AWS Config를 켭니다. VPC 흐름 로그가 켜져 있는지 확인하는 AWS Config 규칙을 생성합니다. VPC 흐름 로그를 켜도록 자동 교정을 구성합니다.

D. VPC 흐름 로그에 대한 API 호출 사용을 거부하는 IAM 정책을 생성합니다. 모든 IAM 사용자에게 IAM 정책을 연결합니다.

정답: C

To meet the requirements of ensuring that flow logs remain configured for all existing and new VPCs in the AWS account, the company should use AWS Config and automatic remediation. AWS Config is a service that enables customers to assess, audit, and evaluate the configurations of their AWS resources. AWS Config continuously monitors and records the configuration changes of the AWS resources and evaluates them against desired configurations. Customers can use AWS Config rules to define the desired configuration state of their AWS resources and trigger actions when a resource configuration violates a rule.
One of the AWS Config rules that customers can use is vpc-flow-logs-enabled, which checks whether VPC flow logs are enabled for all VPCs in an AWS account. Customers can also configure automatic remediation for this rule, which means that AWS Config will automatically enable VPC flow logs for any VPCs that do not have them enabled. Customers can specify the destination (CloudWatch Logs or S3) and the traffic type (all, accept, or reject) for the flow logs as remediation parameters. By using AWS Config and automatic remediation, the company can ensure that flow logs remain configured for all existing and new VPCs in its AWS account, regardless of who creates them or how they are created.
The other options are not correct because they do not meet the requirements or follow best practices. Adding the resource to the CloudFormation stack that creates the VPCs is not a sufficient solution because it will only work for VPCs that are created by using the CloudFormation stack. It will not work for VPCs that are created by using other methods, such as the console or the API. Creating an organization in AWS Organizations and creating an SCP to prevent users from modifying VPC flow logs is not a good solution because it will not ensure that flow logs are enabled for all VPCs in the first place. It will only prevent users from disabling or changing flow logs after they are enabled. Creating an IAM policy to deny the use of API calls for VPC flow logs and attaching it to all IAM users is not a valid solution because it will prevent users from enabling or disabling flow logs at all. It will also not work for VPCs that are created by using other methods, such as the console or CloudFormation.
:
1: AWS::EC2::FlowLog - AWS CloudFormation
2: Amazon VPC Flow Logs extends CloudFormation Support to custom format subscriptions, 1-minute aggregation intervals and tagging
3: Logging IP traffic using VPC Flow Logs - Amazon Virtual Private Cloud
4: About AWS Config - AWS Config
5: vpc-flow-logs-enabled - AWS Config
6: Remediate Noncompliant Resources with AWS Config Rules - AWS Config

DOP-C02-KR 문제 53

DevOps 엔지니어가 웹 서비스를 배포하기 위해 AWS CloudFormation 템플릿을 생성하고 있습니다. 웹 서비스는 ALB(Application Load Balancer) 뒤에 있는 프라이빗 서브넷의 Amazon EC2 인스턴스에서 실행됩니다. DevOps 엔지니어는 서비스가 IPv6 주소가 있는 클라이언트의 요청을 수락할 수 있는지 확인해야 합니다.
DevOps 엔지니어는 IPv6 클라이언트가 웹 서비스에 액세스할 수 있도록 CloudFormation 템플릿으로 무엇을 해야 합니까?

A. VPC에 IPv6 CIDR 블록을 추가하고 EC2 인스턴스용 프라이빗 서브넷을 추가합니다. IPv6 네트워크에 대한 라우팅 테이블 항목을 생성하고, IPv6를 지원하는 EC2 인스턴스 유형을 사용하고, 각 EC2 인스턴스에 IPv6 주소를 할당합니다.

B. 각 EC2 인스턴스에 IPv6 탄력적 IP 주소를 할당합니다. 대상 그룹을 생성하고 EC2 인스턴스를 대상으로 추가합니다. ALB의 포트 443에서 수신기를 만들고 대상 그룹을 ALB와 연결합니다.

C. ALB를 NLB(Network Load Balancer)로 교체합니다. IPv6 CIDR 블록을 VPC와 NLB용 서브넷에 추가하고 NLB에 IPv6 탄력적 IP 주소를 할당합니다.

D. IPv6 CIDR 블록을 VPC와 ALB용 서브넷에 추가합니다. 포트 443에서 리스너를 생성하고 ALB에서 듀얼 스택 IP 주소 유형을 지정합니다. 대상 그룹을 생성하고 EC2 인스턴스를 대상으로 추가합니다. 대상 그룹을 ALB와 연결합니다.

DOP-C02-KR 문제 54

DevOps 엔지니어는 기존 AWS 계정 집합에 핵심 보안 제어 집합을 적용해야 합니다. 계정은 AWS Organizations의 조직에 있습니다. 개별 팀은 AdministratorAccess AWS 관리 정책을 사용하여 개별 계정을 관리합니다. 모든 계정에 대해. AWS CloudTrail 및 AWS Config는 사용 가능한 모든 AWS 리전에서 켜져 있어야 합니다. 개별 계정 관리자는 기본 리소스를 편집하거나 삭제할 수 없어야 합니다. 그러나 개별 계정 관리자는 자신의 CloudTrail 추적 및 AWS Config 규칙을 편집하거나 삭제할 수 있어야 합니다.
운영상 가장 효율적인 방식으로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 표준 계정 리소스를 정의하는 AWS CloudFormation 템플릿을 생성합니다. CloudFormation StackSets를 사용하여 조직의 마스터 계정에서 모든 계정에 템플릿을 배포합니다. Update:Delete 작업을 거부하도록 스택 정책을 설정합니다.

B. 표준 계정 리소스를 정의하는 AWS CloudFormation 템플릿을 생성합니다. Cloud Formation StackSets를 사용하여 조직의 마스터 계정에서 모든 계정에 템플릿을 배포합니다. 보안 주체가 조직의 마스터 계정 관리자가 아닌 경우 CloudTrail 리소스 또는 AWS Config 리소스에 대한 업데이트 또는 삭제를 방지하는 SCP를 생성합니다.

C. AWS Config 관리 계정을 지정합니다. AWS CloudFormation StackSets를 사용하여 모든 계정에서 AWS Config 레코더를 생성합니다. AWS Config 관리 계정을 사용하여 조직에 AWS Config 규칙을 배포합니다. 조직의 마스터 계정에서 CloudTrail 조직 추적을 생성합니다. SCP를 사용하여 AWS Config 레코더의 수정 또는 삭제를 거부합니다.

D. AWS Control Tower를 활성화합니다. AWS Control Tower에 기존 계정을 등록합니다. 개별 계정 관리자에게 CloudTrail 및 AWS Config에 대한 액세스 권한을 부여합니다.

DOP-C02-KR 문제 55

한 회사가 AWS CloudFormation을 사용하여 애플리케이션 환경을 배포합니다. 스택 리소스의 수동 수정으로 인해 배포가 실패했습니다. DevOps 엔지니어는 최소한의 노력으로 수동 수정 사항을 감지하고 DevOps 책임자에게 알림을 보내려고 합니다.
어떤 솔루션이 이러한 요구 사항을 충족합니까?

A. SNS 주제를 생성하고 DevOps 담당자에게 이메일을 통해 구독을 요청합니다. CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK를 포함하는 AWS Config 관리형 규칙을 생성합니다. 미준수 리소스에 EventBridge 규칙을 생성하고 SNS를 대상으로 설정합니다.

B. 모든 CloudFormation 리소스에 태그를 지정하고, SDK를 통해 수동 변경 사항을 NON_COMPLIANT로 표시하는 사용자 지정 AWS Config 규칙을 만들고, EventBridge 규칙과 Lambda를 만들어 이메일 알림을 보냅니다.

C. SNS 주제를 생성하고, DevOps 리드를 구독하고, Config 관리 규칙인 CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK를 생성합니다. COMPLIANT 리소스에 EventBridge 규칙을 생성하고, SNS를 대상으로 설정합니다.

D. AWS Config 관리형 규칙인 CLOUDFORMATION_STACK_DRIFT_DETECTION_CHECK를 생성합니다. 미준수 리소스에 대한 EventBridge 규칙과 이메일 알림을 전송하는 Lambda를 생성합니다.

다른 버전: 593Amazon.DOP-C02-KR.v2026-05-20.q183; 491Amazon.DOP-C02-KR.v2026-04-28.q189; 485Amazon.DOP-C02-KR.v2026-04-18.q197; 731Amazon.DOP-C02-KR.v2026-03-28.q143; 491Amazon.DOP-C02-KR.v2026-03-16.q152; 604Amazon.DOP-C02-KR.v2026-03-14.q173; 1832Amazon.DOP-C02-KR.v2025-12-15.q136; 2724Amazon.DOP-C02-KR.v2024-02-10.q78; 1582Amazon.DOP-C02-KR.v2024-02-09.q102; 1113Amazon.DOP-C02-KR.v2024-01-29.q82; 668Amazon.DOP-C02-KR.v2024-01-06.q78; 639Amazon.DOP-C02-KR.v2023-12-25.q63; 840Amazon.DOP-C02-KR.v2023-12-08.q60; 888Amazon.DOP-C02-KR.v2023-12-04.q67; 645Amazon.DOP-C02-KR.v2023-12-02.q57

최근 업로드: 102NLN.NEX.v2026-06-04.q54; 109Microsoft.AZ-500-KR.v2026-06-04.q213; 111Microsoft.DP-600-KR.v2026-06-04.q98; 112Microsoft.AZ-204-KR.v2026-06-04.q237; 137Microsoft.PL-600-KR.v2026-06-04.q112; 194Microsoft.SC-300-KR.v2026-06-03.q151; 154Microsoft.DP-600-KR.v2026-06-03.q70; 874PMI.PMP-KR.v2026-06-01.q1069; 237Microsoft.MS-102-KR.v2026-06-01.q252; 215Amazon.DOP-C02-KR.v2026-06-01.q207