🤔 문제
한 기업이 온프레미스의 Windows 파일 서버에서 기밀 정보를 포함한 중요한 문서를 직원들에게 공유하고 있습니다. 하지만 비즈니스 성장에 따라 스토리지 용량이 부족해지면서, 스토리지 확장성이 높고 직원들이 언제 어디서나 안전하게 문서에 접근할 수 있는 클라우드 솔루션으로의 전환을 검토하고 있습니다. 이 회사는 현재 온프레미스의 Active Directory(AD) 서버로 사용자 관리를 하고 있으며, 새로운 솔루션에서도 인증된 사용자만이 이러한 문서에 접근할 수 있도록 하고 싶습니다. 운영 오버헤드를 최소화하면서 이 요구 사항을 충족할 수 있는 최적의 방법은 무엇입니까?
- AWS Directory Service를 사용하여 온프레미스 AD와 동일한 설정으로 AWS 상에 AD를 구축하고, 직원들이 사용할 사용자를 관리합니다. 구축된 AD 서버와 연동된 Amazon FSx for Windows File Server를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다.
- Amazon S3를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. S3의 버킷 정책을 정의하여 S3 버킷에 대한 액세스 제어를 수행합니다. 직원들이 외부에서 접근할 경우 서명된 URL을 발행합니다.
- Amazon EFS를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. 직원용 IAM 사용자와 그룹을 생성하여 액세스 제어를 수행합니다. AWS Site-to-Site VPN을 구성하여 직원들이 외부에서 접근할 경우 VPN 연결을 사용합니다.
- 온프레미스 AD와 연동된 Amazon FSx for Windows File Server를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. AWS Client VPN을 구성하여 직원들이 외부에서 접근할 경우 VPN 연결을 사용합니다.
정답
정답. 4번.
온프레미스 AD와 연동된 Amazon FSx for Windows File Server를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. AWS Client VPN을 구성하여 직원들이 외부에서 접근할 경우 VPN 연결을 사용합니다.
해당 문제에서는 요구 사항/키워드는 아래와 같다.
- 온프레미스의 Windows 파일 서버에서 확장성이 높은 클라우드 솔루션으로 이전할 것
- 직원들이 언제 어디서든 안전하게 접근할 수 있어야 함
- 기존의 AD에서 사용자 관리를 유지하고, 새로운 솔루션에서도 동일한 접근 제어를 수행할 것
- 운영 오버헤드를 최소화할 것
[Amazon FSx for Windows File Server]
Amazon FSx for Windows File Server는 SMB 프로토콜을 사용하여 Windows Server(OS)에서 구축된 파일 시스템을 제공하는 완전 관리형 파일 스토리지 서비스이다.
FSx For Windows File Server는 온프레미스의 Active Directory(AD) 서버와 연동할 수 있다.
이를 통해 기존의 AD에서 사용자와 접근 권한 관리를 유지하면서 AWS 상에서도 동일한 접근을 구현할 수 있다.
(SMB 프로토콜: 주로 Windows 컴퓨터 간에 파일 공유 및 프린터 공유에 사용되는 프로토콜)
[AWS Client VPN]
AWS Client VPN은 컴퓨터 등의 단말기와 VPC의 Client VPN 엔드포인트를 인터넷 VPN으로 연결하는 서비스이다. OpenVPN이라는 VPN 소프트웨어를 사용하며, Windows, macOS뿐만 아니라 iOS 및 Android도 지원한다.
Client VPN은 별도의 장비 도입 없이 간편하게 보안 통신으로 AWS에 접근할 수 있다.
오답
1번. AWS Directory Service를 사용하여 온프레미스 AD와 동일한 설정으로 AWS 상에 AD를 구축하고, 직원들이 사용할 사용자를 관리합니다. 구축된 AD 서버와 연동된 Amazon FSx for Windows File Server를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. (가장 헷갈렸던 선택지)
AWS Directory Service는 Microsoft의 AD를 AWS에서 제공하는 관리형 서비스이지만, AWS 상에 AD를 새로 구축하는 데는 많은 노력이 필요하다. FSx For Windows File Server를 사용하면 기존 온프레미스 AD 서버와 연동할 수 있으며, 환경 구축 및 운영 부담을 줄일 수 있다.
2번. Amazon S3를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. S3 버킷 정책을 정의하여 S3 버킷에 대한 접근 제어를 수행합니다. 직원들이 외부에서 접근할 경우 서명된 URL을 발행합니다.
Amazon S3는 객체 스토리지로서, 공유 문서의 스토리지로는 사용할 수 있지만, 온프레미스 AD와의 연동을 지원하지 않는다. 또한 서명된 URL을 사용하여 특정 객체에 대한 일시적인 접근 권한을 부여할 수 있지만, 필요할 때마다 발행해야 하므로 직원들이 언제든지 접근할 수 있도록 하는 요구 사항을 충족하지 않는다.
3번. Amazon EFS를 구성하고, 온프레미스 파일 서버에서 데이터를 이전합니다. 직원용 IAM 사용자와 그룹을 생성하여 접근 제어를 수행합니다. AWS Site-to-Site VPN을 구성하여 직원들이 외부에서 접근할 경우 VPN 연결을 사용합니다.
Amazon EFS는 NFS(Network File System) 프로토콜을 지원하는 파일 스토리지 서비스로, 주로 Linux를 포함한 UNIX 계열 서버에서 사용된다. Windows 파일 서버에서 이전하는 경우 FSx for Windows File Server를 사용하는 것이 더 적절하다. 또한 접근 제어는 서버 측(OS 레벨)에서 적절히 설정해야 하며, IAM 사용자나 IAM 그룹을 사용해 수행할 수 없다.
결론
온프레미스의 AD를 활용할 경우 FSx For Windows File Server를 사용하는게 더 쉽다.
AWS Directory Service는 AD를 지원하는 서비스지만 AWS 위에 새로 AD를 다시 구축해야되기 때문에 비효율적이다.
'클라우드(AWS) > SAA-C03' 카테고리의 다른 글
| [AWS SAA-C03] 오답 풀이 #011 (CloudFront와 Global Accelerator의 차이 정리) (0) | 2024.08.17 |
|---|---|
| [AWS SAA-C03] 오답 풀이 #010 (AWS Config와 CloudTrail의 차이점) (0) | 2024.08.17 |
| [AWS] DynamoDB Capacity Unit (용량 모드)와 RCU/WCU란? 쉽게 정리 (feat. Provisioned 모드) (0) | 2024.08.13 |
| [AWS] VPC의 Private IP 주소, Public IP 주소, Elastic IP 주소에 대한 정리 (0) | 2024.08.09 |
| [AWS SAA-C03] 오답 풀이 #007 (S3 Presigned URL: 미리 서명된 URL) (0) | 2024.08.07 |
