A company recently launched a variety of new workloads on Amazon EC2 instances in its AWS account. The company needs to create a strategy to access and administer the instances remotely and securely. The company needs to implement a repeatable process that works with native AWS services and follows the AWS Well-Architected Framework.
Which solution will meet these requirements with the LEAST operational overhead?
- A. Use the EC2 serial console to directly access the terminal interface of each instance for administration.
- B. Attach the appropriate IAM role to each existing instance and new instance. Use AWS Systems Manager Session Manager to establish a remote SSH session.
- C. Create an administrative SSH key pair. Load the public key into each EC2 instance. Deploy a bastion host in a public subnet to provide a tunnel for administration of each instance.
- D. Establish an AWS Site-to-Site VPN connection. Instruct administrators to use their local on-premises machines to connect directly to the instances by using SSH keys across the VPN tunnel.
한 회사가 최근 AWS 계정의 Amazon EC2 인스턴스에서 다양한 새 워크로드를 시작했습니다. 회사는 인스턴스를 원격으로 안전하게 액세스하고 관리하기 위한 전략을 수립해야 합니다. 회사는 기본 AWS 서비스와 함께 작동하고 AWS Well-Architected 프레임워크를 따르는 반복 가능한 프로세스를 구현해야 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
- A. 관리를 위해 각 인스턴스의 터미널 인터페이스에 직접 액세스하려면 EC2 직렬 콘솔을 사용하십시오.
- B. 각각의 기존 인스턴스와 새 인스턴스에 적절한 IAM 역할을 연결합니다. AWS Systems Manager Session Manager를 사용하여 원격 SSH 세션을 설정합니다.
- C. 관리 SSH 키 쌍을 만듭니다. 퍼블릭 키를 각 EC2 인스턴스에 로드합니다. 퍼블릭 서브넷에 배스천 호스트를 배포하여 각 인스턴스 관리를 위한 터널을 제공합니다.
- D. AWS Site-to-Site VPN 연결을 설정합니다. 관리자에게 로컬 온프레미스 시스템을 사용하여 VPN 터널에서 SSH 키를 사용하여 인스턴스에 직접 연결하도록 지시합니다.
AWS 계정의 EC2에 대한 새 워크로드를 시작했다. EC2를 원격으로 안전하게 액세스하고 관리하기 위한 전략이 필요하다.
AWS Well-Architected 프레임워크를 따르는 반복 가능한 프로세스 구현 필요하며, 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇일까
우선 프라이빗 서브넷에 있는 EC2에 안전하게 원격으로 액세스할때는, 퍼블릭 서브넷에 Bastion Host를 시작하고 Bastion Host의 보안그룹을 사용중인 PC 네트워크 대역에서만 로그인을 허용한 다음, 해당 Bastion에서 EC2로 접속할수 있도록 RDP 보안그룹을 설정해주면 안정적인 연결이 가능하다.
하지만 다수의 사용자들이 해당 문제에 대한 답변은 B라고 하고 있는데 그 이유를 살펴보자.
AWS 시스템 관리자 세션 관리자
Session Manager는 완전히 관리되는 AWS Systems Manager 기능입니다. Session Manager를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 에지 장치, 온프레미스 서버 및 가상 머신(VM)을 관리할 수 있습니다. 대화형 원클릭 브라우저 기반 셸 또는 AWS Command Line Interface(AWS CLI)를 사용할 수 있습니다. Session Manager는 인바운드 포트를 열거나 배스천 호스트를 유지하거나 SSH 키를 관리할 필요 없이 안전하고 감사 가능한 노드 관리를 제공합니다. 또한 Session Manager를 사용하면 관리 노드에 대한 제어된 액세스, 엄격한 보안 관행, 노드 액세스 세부 정보가 포함된 완전히 감사 가능한 로그가 필요한 회사 정책을 준수하는 동시에 최종 사용자에게 관리 노드에 대한 간단한 원클릭 크로스 플랫폼 액세스를 제공할 수 있습니다.
세션 관리자가 조직에 어떤 이점을 줄 수 있습니까?
Session Manager는 다음과 같은 이점을 제공합니다.
- IAM 정책을 사용하여 관리 노드에 대한 중앙 집중식 액세스 제어
- 관리자는 관리 노드에 대한 액세스 권한을 부여하고 취소할 수 있는 단일 위치를 가집니다. AWS Identity and Access Management(IAM) 정책만 사용하여 조직에서 Session Manager를 사용할 수 있는 개별 사용자 또는 그룹과 이들이 액세스할 수 있는 관리 노드를 제어할 수 있습니다.
- 열려 있는 인바운드 포트가 없으며 배스천 호스트 또는 SSH 키를 관리할 필요가 없습니다.
- 관리 노드에서 인바운드 SSH 포트 및 원격 PowerShell 포트를 열어 두면 엔터티가 관리 노드에서 권한이 없거나 악의적인 명령을 실행할 위험이 크게 증가합니다. Session Manager는 이러한 인바운드 포트를 닫을 수 있도록 하여 SSH 키 및 인증서, 배스천 호스트 및 점프 박스를 관리하지 않아도 되도록 하여 보안 태세를 개선하는 데 도움이 됩니다.
- 콘솔 및 CLI에서 관리 노드에 대한 원클릭 액세스
- AWS Systems Manager 콘솔 또는 Amazon EC2 콘솔을 사용하면 클릭 한 번으로 세션을 시작할 수 있습니다. AWS CLI를 사용하여 단일 명령 또는 일련의 명령을 실행하는 세션을 시작할 수도 있습니다. SSH 키 또는 기타 메커니즘 대신 IAM 정책을 통해 관리 노드에 대한 권한이 제공되기 때문에 연결 시간이 크게 단축됩니다.
- 하이브리드 환경과 클라우드에서 Amazon EC2 인스턴스와 관리 노드 모두에 연결Session Manager를 사용하여 비 EC2 노드에 연결하려면 먼저 고급 인스턴스 티어를 활성화해야 합니다. 고급 인스턴스 티어를 사용하려면 요금이 부과됩니다. 그러나 Session Manager를 사용하여 EC2 인스턴스에 연결할 때 추가 비용은 없습니다.
- 다른 클라우드 공급자가 제공하는 온프레미스 서버, 지원되는 에지 장치 및 가상 머신(VM)을 포함하여 하이브리드 환경에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 비 EC2 노드 모두에 연결할 수 있습니다.
- 포트 포워딩
- 관리 노드 내부의 모든 포트를 클라이언트의 로컬 포트로 리디렉션하십시오. 그런 다음 로컬 포트에 연결하고 노드 내부에서 실행 중인 서버 응용 프로그램에 액세스합니다.
- Windows, Linux 및 macOS에 대한 교차 플랫폼 지원
- Session Manager는 단일 도구에서 Windows, Linux 및 macOS를 지원합니다. 예를 들어 Linux 및 macOS 관리 노드에 SSH 클라이언트를 사용하거나 Windows Server 관리 노드에 RDP 연결을 사용할 필요가 없습니다.
- 세션 활동 로깅 및 감사로깅 및 감사 기능은 다음 AWS 서비스와의 통합을 통해 제공됩니다.
- 조직의 운영 또는 보안 요구 사항을 충족하려면 관리 노드에 대한 연결 기록과 여기에서 실행된 명령을 제공해야 할 수 있습니다. 조직의 사용자가 세션 활동을 시작하거나 종료할 때 알림을 받을 수도 있습니다.
이점에서 열려있는 인바운드 포트가 없으며 Bastion Host 또는 SSH 키를 관리할 필요가 없다고 한다.
Session Manager로 접속시 안전한 연결이 가능하며, Bastion Host 등의 추가 구축 없이 접속이 되기 때문에 운영 오버헤드가 최소가 될것으로 판단되어 정답은 B라고 얘기를 한다.
그렇다 필자도 이것을 보고 생각을하니, 한개의 EC2만 관리하고 있다면 Session Manager로 로그인이 가장 간단하고 안정적인 연결이 맞다고 판단된다. 하지만 EC2를 여러대 관리하는 경우에는 Bastion Host로 원격 접속을 하는것이 맞다고 생각하며 그렇기 때문에 선택지 C에 대해서도 배제할수는 없다고 판단한다.
정답 B "각각의 기존 인스턴스와 새 인스턴스에 적절한 IAM 역할을 연결합니다. AWS Systems Manager Session Manager를 사용하여 원격 SSH 세션을 설정합니다."
https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html
AWS Systems Manager Session Manager - AWS Systems Manager
AWS Systems Manager Session Manager Session Manager is a fully managed AWS Systems Manager capability. With Session Manager, you can manage your Amazon Elastic Compute Cloud (Amazon EC2) instances, edge devices, and on-premises servers and virtual machine
docs.aws.amazon.com
https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/10/
ExamTopics - Biggest Actual IT Exams Database - Validation
Want to unlock features that will help you study for AWS Certified Solutions Architect - Associate SAA-C03 and support ExamTopics? We work hard to maintain the website and the database. By buying Contributor Access for yourself, you'll help us maintain and
www.examtopics.com
'[AWSEXAM] > [AWS] SAA-C03' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS][C03] Question 39 (0) | 2022.11.25 |
|---|---|
| [AWS][SAA][EXAMTOPICS][C03] Question 38 (3) | 2022.11.25 |
| [AWS][SAA][EXAMTOPICS][C03] Question 36 (0) | 2022.11.24 |
| [AWS][SAA][EXAMTOPICS][C03] Question 35 (0) | 2022.11.24 |
| [AWS][SAA][EXAMTOPICS][C03] Question 34 (0) | 2022.11.24 |