SOA-C03에서 CloudWatch, CloudTrail, AWS Config가 선택지에 같이 나오면 헷갈리기 쉽습니다. 세 서비스 모두 “운영”, “로그”, “감사”, “컴플라이언스”와 연결되기 때문입니다.
하지만 시험 문제에서는 보통 한 가지 질문을 합니다.
- 지금 상태나 성능을 보고 싶은가?
- 누가 어떤 API를 호출했는지 알고 싶은가?
- 리소스 설정이 규칙을 만족하는지 평가하고 싶은가?
이 세 질문을 분리하면 선택지가 훨씬 선명해집니다. 아래 문제들은 실제 시험 원문이 아니라 SOA-C03 범위에 맞춰 만든 자체 제작 연습문제입니다.
먼저 결론: 세 서비스의 역할
| 서비스 | 먼저 떠올릴 질문 |
|---|---|
| Amazon CloudWatch | 지표, 로그, 알람, 대시보드, 애플리케이션/리소스 관측이 필요한가? |
| AWS CloudTrail | 누가, 언제, 어떤 API를 호출했는지 감사해야 하는가? |
| AWS Config | 리소스 설정 변경 이력과 규칙 준수 여부를 평가해야 하는가? |
CloudWatch는 관측과 알람에 강합니다. CloudTrail은 계정 활동과 API 호출 이력을 추적합니다. AWS Config는 리소스 구성 변경과 compliance 평가에 초점이 있습니다.
문제 1. CPU 사용률이 높으면 운영팀에 알림을 보내야 한다
운영팀은 EC2 인스턴스의 CPU 사용률이 일정 기준을 넘으면 알림을 받고 싶습니다. 이후 대시보드에서 시간대별 지표도 확인하려고 합니다.
가장 적절한 서비스는 무엇일까요?
- A. Amazon CloudWatch
- B. AWS CloudTrail
- C. AWS Config
- D. AWS Artifact
정답: A
해설: CPU 사용률 같은 metric, alarm, dashboard는 CloudWatch의 전형적인 단서입니다. CloudTrail은 API 호출 이력을 기록하는 서비스이고, AWS Config는 리소스 설정과 compliance 평가에 가깝습니다. “임계값”, “알람”, “지표”, “대시보드”가 나오면 CloudWatch를 먼저 봅니다.
시험에서 볼 단서: metric, alarm, dashboard, CPUUtilization, logs, operational visibility
문제 2. 누가 보안 그룹 인바운드 규칙을 열었는지 찾아야 한다
어느 날 특정 security group에 0.0.0.0/0 inbound rule이 추가되었습니다. 보안팀은 어떤 IAM principal이 어떤 시간에 해당 API를 호출했는지 확인하려고 합니다.
가장 적절한 서비스는 무엇일까요?
- A. AWS CloudTrail
- B. Amazon CloudWatch
- C. AWS Config
- D. AWS Trusted Advisor
정답: A
해설: “누가”, “언제”, “어떤 API를 호출했는가”는 CloudTrail입니다. CloudTrail 이벤트는 AWS Management Console, AWS CLI, SDK 등을 통한 계정 활동을 추적하는 데 사용됩니다. CloudWatch Logs에 로그를 모을 수는 있지만, API 호출 감사의 원천 단서는 CloudTrail입니다.
시험에서 볼 단서: API call, user activity, IAM principal, source IP, event history, audit
문제 3. S3 버킷이 public read로 바뀌면 자동으로 탐지하고 싶다
보안팀은 S3 버킷이 public read를 허용하는 설정으로 변경될 때 이를 탐지하고, 조직 정책에 맞지 않는 리소스를 식별하려고 합니다.
가장 적절한 서비스는 무엇일까요?
- A. AWS Config
- B. Amazon CloudWatch
- C. AWS CloudTrail
- D. Amazon Inspector
정답: A
해설: 리소스의 설정 상태가 원하는 규칙을 만족하는지 평가하려면 AWS Config를 봅니다. AWS Config rules는 리소스 구성을 평가하고 compliant/noncompliant 상태를 판단하는 데 사용됩니다. CloudTrail은 누가 변경했는지 추적하는 데 좋고, Config는 현재/과거 설정과 규칙 준수 여부를 보는 데 좋습니다.
시험에서 볼 단서: configuration, compliance, Config rule, resource timeline, noncompliant, remediation
문제 4. Lambda 에러 로그를 검색하고 알람을 만들고 싶다
운영팀은 Lambda 함수의 에러 로그를 모아서 검색하고, 특정 에러 패턴이 증가하면 알람을 받고 싶습니다.
가장 적절한 서비스는 무엇일까요?
- A. Amazon CloudWatch Logs와 CloudWatch Alarms
- B. AWS CloudTrail만 사용
- C. AWS Config만 사용
- D. AWS Organizations만 사용
정답: A
해설: 애플리케이션 로그 수집, 검색, metric filter, alarm은 CloudWatch 쪽 단서입니다. CloudTrail은 Lambda 함수를 누가 업데이트했는지 같은 API 호출 감사에는 적합하지만, 애플리케이션 실행 로그를 분석하고 알람을 만드는 주 서비스로 고르는 것은 CloudWatch입니다.
시험에서 볼 단서: application log, metric filter, alarm, error count, Lambda logs
문제 5. 규정 준수 보고를 위해 리소스 변경 이력이 필요하다
감사팀은 특정 EC2 인스턴스의 보안 그룹, 태그, 네트워크 설정이 시간에 따라 어떻게 바뀌었는지 확인해야 합니다. 또한 특정 기준에 맞지 않는 리소스 목록도 보고 싶습니다.
가장 적절한 서비스는 무엇일까요?
- A. AWS Config
- B. AWS CloudTrail
- C. Amazon CloudWatch
- D. AWS X-Ray
정답: A
해설: 리소스 구성의 변경 이력과 규정 준수 평가는 AWS Config입니다. CloudTrail도 변경 API 호출을 보여줄 수 있지만, 리소스의 구성 timeline과 rule evaluation 관점에서는 Config가 더 직접적입니다. X-Ray는 애플리케이션 trace 분석에 가깝습니다.
시험에서 볼 단서: configuration history, configuration snapshot, compliance report, rule evaluation
문제 6. API 호출 이력을 S3에 오래 보관하고 싶다
회사는 계정 내 API 호출 이력을 중앙 S3 버킷에 저장해 보안 분석에 사용하려고 합니다. 여러 Region에서 발생하는 관리 이벤트도 추적해야 합니다.
가장 적절한 서비스는 무엇일까요?
- A. AWS CloudTrail trail
- B. Amazon CloudWatch dashboard
- C. AWS Config rule
- D. AWS Systems Manager State Manager
정답: A
해설: API 호출 이력을 trail로 기록하고 S3로 전달하는 것은 CloudTrail의 핵심 사용 사례입니다. CloudWatch dashboard는 지표를 시각화하는 데 쓰고, Config rule은 리소스 설정 평가에 씁니다.
시험에서 볼 단서: trail, management event, data event, S3 bucket, multi-Region, account activity
함께 쓰는 시나리오를 구분하기
실무에서는 세 서비스를 함께 쓰는 경우가 많습니다. 그래서 시험 선택지에서 더 헷갈립니다.
예를 들어 security group이 public으로 열렸다고 가정해보겠습니다.
- 누가 보안 그룹 규칙을 바꿨는지 확인: CloudTrail
- 보안 그룹이 public inbound를 허용하는지 규칙으로 평가: AWS Config
- 관련 지표나 로그 기반 알람을 운영팀에 전달: CloudWatch
같은 사건이라도 질문이 다르면 답이 달라집니다. 문제를 읽을 때 서비스 이름보다 동사를 먼저 보세요.
| 문제의 동사 | 먼저 볼 서비스 |
|---|---|
| monitor, collect metrics, alarm, dashboard | CloudWatch |
| audit, record API calls, who changed, event history | CloudTrail |
| evaluate configuration, compliance, resource history, remediation | AWS Config |
CloudWatch Logs와 CloudTrail을 혼동하지 않기
가장 흔한 혼동은 “로그”라는 단어입니다. CloudWatch Logs도 로그이고, CloudTrail도 로그처럼 보입니다. 하지만 목적이 다릅니다.
CloudWatch Logs는 애플리케이션, 시스템, 서비스 로그를 모아 관측과 알람에 연결하는 쪽입니다. Lambda 실행 로그, ECS 애플리케이션 로그, EC2 agent 로그 같은 맥락에서 자주 나옵니다.
CloudTrail은 AWS 계정 활동의 이벤트 기록입니다. IAM 사용자가 AuthorizeSecurityGroupIngress를 호출했는지, 누가 S3 bucket policy를 바꿨는지, 어떤 source IP에서 API가 호출됐는지를 추적하는 쪽입니다.
따라서 문제에서 “로그를 본다”만 보고 CloudWatch를 고르지 말고, 그 로그가 애플리케이션 실행 로그인지, AWS API 감사 이벤트인지 구분해야 합니다.
결론
SOA-C03에서 CloudWatch, CloudTrail, AWS Config를 구분하는 방법은 암기보다 질문 분리입니다.
- 지금 리소스와 애플리케이션의 상태를 보고 알림을 보내야 한다: CloudWatch
- 누가 어떤 AWS API를 호출했는지 추적해야 한다: CloudTrail
- 리소스 설정이 정책을 만족하는지 평가해야 한다: AWS Config
세 서비스는 같이 쓰일 수 있습니다. 하지만 시험 문제의 정답은 보통 “이번 요구사항의 주 역할”에 맞춰집니다. 지문에서 동사를 먼저 찾고, 그다음 서비스 이름을 고르세요.
참고한 공식 자료
- AWS Certified CloudOps Engineer - Associate (SOA-C03) Exam Guide: https://docs.aws.amazon.com/aws-certification/latest/examguides/sysops-administrator-associate-03.html
- Amazon CloudWatch documentation: https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/
- AWS CloudTrail documentation: https://docs.aws.amazon.com/cloudtrail/
- AWS Config documentation: https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html