☁️ AWS SAA-C03 시험 대비
📝 시험 개요 (SAA-C03)
자격: AWS Certified Solutions Architect – Associate ·
형식: 객관식 65문항 (채점 50 + 평가 15) ·
시간: 130분 ·
합격: 720/1000 · 유효기간: 3년
5개 시험 도메인 & 배점
| # | 도메인 | 배점 | 핵심 |
|---|---|---|---|
| 1 | 복원력 아키텍처 설계 (Resilient) | 26% | HA · 멀티 AZ · DR |
| 2 | 고성능 아키텍처 설계 (High-Performing) | 24% | 캐싱 · Scaling · 스토리지 선택 |
| 3 | 보안 아키텍처 설계 (Secure) | 30% | IAM · 암호화 · 격리 |
| 4 | 비용 최적화 아키텍처 (Cost-Optimized) | 20% | RI/Spot · S3 Tier · 오토 종료 |
※ SAA-C03에서 "Operational Excellence"는 별도 도메인이 아닌 횡단 주제로 녹아 있다.
🏛️ Well-Architected Framework 6 Pillars
모든 답변은 이 6개 기둥 중 어느 것을 우선하느냐로 귀결된다. 문제 지문에서 "most cost-effective", "minimum downtime", "most secure" 같은 키워드를 찾으면 바로 어떤 기둥을 묻는지 결정된다.
🛡️ Operational Excellence
운영 자동화 · 변경 추적 · 관측성. CloudWatch, CloudTrail, Systems Manager.
🔐 Security
최소 권한 · 암호화 · 트래픽 격리. IAM, KMS, GuardDuty, WAF, Shield.
⚙️ Reliability
장애 복원 · 자동 복구. Multi-AZ, Auto Scaling, Route 53 Health Check.
🚀 Performance Efficiency
올바른 리소스 선택. ElastiCache, CloudFront, 인스턴스 패밀리 매칭.
💰 Cost Optimization
유휴 제거 · 가격 모델 선택. RI/Savings/Spot, S3 Lifecycle, Trusted Advisor.
🌱 Sustainability
리전 선택 · 워크로드 효율. Graviton, 관리형 서비스 선호.
출제 치트: "cost-effective" → Cost · "fault tolerant / highly available" → Reliability · "least privilege" → Security · "improve read performance" → Performance Efficiency.
🛡️ D1. 복원력 아키텍처 설계 26%
멀티 AZ 패턴
- ALB + Auto Scaling Group (2+ AZ) — 스테이트리스 웹 계층 표준 HA
- RDS Multi-AZ — 동기 Standby, 자동 Failover (60~120초). HA 목적 전용, 읽기 분산 아님
- Aurora — 3 AZ × 2 카피 = 6 카피 스토리지 복제, 최대 15 Read Replica
- EFS — 리전 내 모든 AZ에서 공유되는 NFS 파일시스템 (Multi-AZ 기본)
DR 전략 4단계 (RTO/RPO ↓)
| 전략 | RTO | RPO | 비용 | 요지 |
|---|---|---|---|---|
| Backup & Restore | 시간~일 | 시간 | 💰 | S3/Glacier 백업만 보관 |
| Pilot Light | 10분대 | 분 | 💰💰 | DB 복제만 가동, 앱은 off |
| Warm Standby | 분 | 초~분 | 💰💰💰 | 축소 규모로 항상 가동 |
| Multi-Site Active/Active | 0 | 0 | 💰💰💰💰 | Route 53 라우팅, 양쪽 풀가동 |
Q. 단일 AZ EC2 + RDS 구조인데 장애 시 몇 분 안에 복구되어야 한다. 최소 변경으로?
A. RDS를 Multi-AZ로 수정 + EC2를 Auto Scaling(Min=1, 2 AZ)으로 래핑 + ALB 전면.
A. RDS를 Multi-AZ로 수정 + EC2를 Auto Scaling(Min=1, 2 AZ)으로 래핑 + ALB 전면.
Q. 온프레미스 → AWS 정기 백업, RTO 수 시간 허용, 비용 최소?
A. Backup & Restore — AWS Backup + S3 Glacier Flexible Retrieval.
A. Backup & Restore — AWS Backup + S3 Glacier Flexible Retrieval.
🚀 D2. 고성능 아키텍처 설계 24%
캐싱 계층
- CloudFront 글로벌 CDN · 정적/동적 가속 · OAC로 S3 보호
- ElastiCache Redis — 복잡 자료구조, Pub/Sub, 영속 · 세션 스토어
- ElastiCache Memcached — 단순 K/V, 샤딩, 수평 확장
- DAX DynamoDB 전용 마이크로초 캐시
Auto Scaling 3종
| 정책 | 동작 | 언제 |
|---|---|---|
| Target Tracking | 메트릭 목표값(예 CPU 50%) 유지 | 가장 단순, 기본 추천 |
| Step Scaling | 알람 구간별 단계 추가/제거 | 세밀 제어 |
| Scheduled | 시간대별 예측 스케일 | 평일 낮 트래픽 급증 |
스토리지 성능 선택: 고 IOPS DB →
io2 Block Express · 빅데이터 처리량 → st1 · 부팅 → gp3.
Q. DynamoDB 테이블 읽기가 갑자기 100배 튀는 게임 랭킹. 코드 최소 수정?
A. DAX 클러스터 앞단에 배치. 레이턴시 밀리초→마이크로초, SDK 드롭인.
A. DAX 클러스터 앞단에 배치. 레이턴시 밀리초→마이크로초, SDK 드롭인.
🔐 D3. 보안 아키텍처 설계 30%
접근 제어 핵심
- IAM Role + Instance Profile — EC2에 자격 증명을 절대 파일로 심지 말 것 (시험 단골)
- Resource-based Policy — S3 Bucket Policy, SQS, KMS Key Policy · 교차 계정 허용 가능
- Permissions Boundary — IAM 사용자/역할이 받을 수 있는 최대 권한 울타리
- SCP (Service Control Policy) — Organizations 단위 거부 리스트
암호화 — KMS
- SSE-S3 AWS 관리 키 · SSE-KMS KMS CMK (키 사용 감사 필요 시) · SSE-C 고객 제공 키
- 전송 중 암호화: ACM 발급 TLS 인증서를 ALB/CloudFront에 연결 (EC2 종단에서 복호화 부담 제거)
- Secrets Manager — 자동 회전 지원, 파라미터 스토어보다 상위. DB 자격 증명은 Secrets Manager가 정답
네트워크 격리
- Private Subnet + VPC Endpoint (Gateway: S3/DynamoDB, Interface: 그 외) — NAT 없이 AWS API 호출
- AWS PrivateLink — 다른 VPC의 서비스를 퍼블릭 인터넷 없이 소비
- WAF L7 (SQLi/XSS/Rate limit) · Shield Advanced DDoS L3/L4
- GuardDuty 위협 탐지 · Inspector 취약점 스캔 · Macie S3 PII 탐지
Q. 프라이빗 서브넷 Lambda에서 S3에 put — NAT Gateway 비용 없애려면?
A. S3 Gateway Endpoint 추가(라우트 테이블만 수정, 무료).
A. S3 Gateway Endpoint 추가(라우트 테이블만 수정, 무료).
Q. EC2가 매 2시간마다 DB 비밀번호를 자동 회전해야 한다.
A. Secrets Manager + 자동 회전 Lambda. EC2는 IAM Role로 GetSecretValue.
A. Secrets Manager + 자동 회전 Lambda. EC2는 IAM Role로 GetSecretValue.
💰 D4. 비용 최적화 아키텍처 20%
EC2 가격 모델 매칭
| 워크로드 | 선택 | 이유 |
|---|---|---|
| 항상 켜두는 웹서버 기저 부하 | Savings Plans / RI 1~3년 | 최대 72% 할인 |
| 배치/렌더팜/스팟 내성 있음 | Spot Instance | 최대 90% 할인 |
| 단기 변동 트래픽 | On-Demand | 약정 없이 유연 |
| 라이선스 종속 (Windows/Oracle) | Dedicated Host | BYOL |
S3 Lifecycle
{
"Rules": [{
"Status": "Enabled",
"Transitions": [
{ "Days": 30, "StorageClass": "STANDARD_IA" },
{ "Days": 90, "StorageClass": "GLACIER" },
{ "Days": 365, "StorageClass": "DEEP_ARCHIVE" }
],
"Expiration": { "Days": 2555 }
}]
}접근 패턴이 예측 불가면 Intelligent-Tiering — AWS가 자동으로 Tier 이동, 모니터링 수수료만 소액.
비용 시야 도구: Cost Explorer(분석) · Budgets(알림) · Trusted Advisor(권고) · Compute Optimizer(인스턴스 다운사이징).
Q. 주간 배치 8시간만 돈다. 중단 되어도 재시작 OK.
A. Spot + SQS에 체크포인트로 중단 내성.
A. Spot + SQS에 체크포인트로 중단 내성.
🖥️ 컴퓨팅 서비스 선택
| 요건 | 1순위 | 비고 |
|---|---|---|
| 서버 관리 없이 이벤트 처리 < 15분 | Lambda | 유휴 0원 |
| 컨테이너 오케스트레이션, AWS 네이티브 | ECS + Fargate | 서버리스 컨테이너 |
| K8s 생태계 필요 | EKS | 멀티 클라우드 이식 |
| 기존 앱 리프트&시프트 | EC2 | OS까지 제어 |
| 웹앱 풀스택 매니지드 | Elastic Beanstalk | EC2+ALB+ASG 자동 |
| HPC/대용량 병렬 | AWS Batch / ParallelCluster | Spot 통합 |
📦 스토리지 서비스 선택
| 요건 | 정답 | 비고 |
|---|---|---|
| 수백 인스턴스가 동시에 읽고 쓰는 공유 파일 | EFS | NFS, Multi-AZ |
| EC2 전용 블록 디스크 | EBS | 단일 AZ, io2/gp3 |
| Windows 파일 공유 (SMB, AD 통합) | FSx for Windows | |
| HPC / ML 고처리량 파일 시스템 | FSx for Lustre | S3 연동 |
| 정적 웹·앱 객체, 무제한 | S3 | 11 9s |
| 온프레미스↔클라우드 하이브리드 | Storage Gateway | File/Volume/Tape 3모드 |
| 대용량 물리 이전(수십 TB+) | Snowball Edge | PB 급이면 Snowmobile |
EBS vs EFS 출제 감별: "단일 EC2"/"블록"/"부팅 디스크" → EBS · "여러 EC2 공유"/"POSIX"/"NFS" → EFS.
🗄️ 데이터베이스 선택
| 요건 | 정답 | 비고 |
|---|---|---|
| 관계형·ACID·SQL | RDS | MySQL/PG/Oracle/SQL Server |
| RDS보다 5배↑ 성능 + 글로벌 | Aurora | 6카피, 15 Replica |
| Key/Value, 밀리초 미만, 무한 확장 | DynamoDB | 서버리스, 글로벌 테이블 |
| 인메모리 캐시 | ElastiCache | Redis/Memcached |
| 데이터 웨어하우스 · OLAP | Redshift | 컬럼형, PB급 |
| 그래프 (소셜/추천) | Neptune | Gremlin/SPARQL |
| 시계열 (IoT 센서) | Timestream | |
| 원장 (불변 감사) | QLDB | 암호학적 증명 |
| 문서 (MongoDB 호환) | DocumentDB |
Q. 읽기 QPS 수백만, 스키마 유연, 전 세계 단일 밀리초 응답.
A. DynamoDB Global Tables + DAX.
A. DynamoDB Global Tables + DAX.
🌐 네트워크/전송 선택
| 요건 | 정답 | 비고 |
|---|---|---|
| HTTP/HTTPS L7 라우팅, 경로/호스트 기반 | ALB | WAF 연동 |
| TCP/UDP L4, 초저지연, 고정 IP | NLB | 수백만 RPS |
| 글로벌 가속 (Anycast IP) | Global Accelerator | 비 HTTP 전역화 |
| CDN / 정적 사이트 가속 | CloudFront | OAC로 S3 직접 노출 금지 |
| DNS + 트래픽 라우팅 정책 | Route 53 | 가중/지연/지리/장애조치 |
| 다수 VPC 허브&스포크 | Transit Gateway | Peering 폭증 방지 |
| 2개 VPC 단순 연결 | VPC Peering | 비전이적 |
| 온프레미스↔AWS 저지연 전용선 | Direct Connect | 프로비저닝 수주 |
| 온프레미스↔AWS 급히 VPN | Site-to-Site VPN | IPSec |
Route 53 라우팅 정책
| 정책 | 용도 |
|---|---|
| Simple | 단일 리소스 |
| Weighted | Blue/Green, A/B 테스트 (예 90/10) |
| Latency | 사용자에게 가장 낮은 지연 리전 |
| Geolocation | 사용자 위치 기반 (규제·지역 콘텐츠) |
| Geoproximity | 편향치로 경계 이동 |
| Failover | Primary + Secondary (헬스체크 기반) |
| Multivalue Answer | 여러 IP 중 헬시만 랜덤 반환 |
🎯 합격을 가르는 암기 포인트
- NAT Gateway는 Public Subnet에. Private에 두면 아웃바운드 불가.
- Security Group = Stateful, NACL = Stateless. SG는 Allow만, NACL은 Deny 가능.
- S3 Gateway Endpoint는 무료(S3·DynamoDB 2종뿐). 나머지는 Interface Endpoint(유료 시간당+GB).
- RDS Multi-AZ ≠ Read Replica. Multi-AZ는 HA, Replica는 읽기 확장.
- Aurora는 3AZ × 2카피 = 6카피. 스토리지 자동 10GB→128TB.
- EBS는 단일 AZ에 묶임. 다른 AZ로 이동은 스냅샷 경유.
- CloudFront + OAC로 S3 직접 공개 차단 (버킷 정책은 CloudFront만 허용).
- DynamoDB 스트림 + Lambda가 "테이블 변경 → 후처리" 표준 패턴.
- Kinesis Data Streams(순서 보장, 샤드) vs SQS(개별 메시지, FIFO는 300 TPS) vs SNS(팬아웃) 구분.
- SQS Standard는 중복/순서 미보장, SQS FIFO는 보장 + 1회 처리.
- Auto Scaling은 수평 확장만. 수직(사이즈 업)은 수동.
- Savings Plans vs RI: SP는 패밀리·리전 유연, RI는 특정 인스턴스 고정 할인.
- S3 Intelligent-Tiering — 접근 패턴 모를 때 첫 선택지.
- ALB: HTTP Host/Path · NLB: TCP/UDP 고정IP · GWLB: 3rd-party 방화벽.
- Secrets Manager = 자동 회전 · Parameter Store = 무료 설정값.
- CloudTrail = API 감사 · CloudWatch = 메트릭/로그 · Config = 리소스 구성 이력.
- Organizations SCP는 "최대 허용"만 제한. 개별 IAM에 권한을 부여하진 않는다.
- KMS Key Policy가 최상위 — IAM이 있어도 Key Policy에서 막으면 못 씀.
- STS AssumeRole = 교차 계정/임시 자격 증명 패턴의 코어.
- Transit Gateway는 VPC 수가 늘어날수록 경제적 (n:n Peering을 허브로 압축).
출제 관점: "가장 ~한" 수식어가 항상 정답을 좁힌다. most cost-effective, least operational overhead, minimum downtime, highly available, lowest latency — 키워드를 먼저 동그라미 치고 선지에 매칭하라.