AWS SAA-C03 – 50 Soal Story-Based

🧩 Security & Access Control

C · Bobot 4/4: IAM Role untuk EC2 menghindari kredensial statis dan mengikuti best practice AWS untuk akses S3 dari compute.

A · Bobot 3/4: Parameter Store mengamankan penyimpanan kredensial, tetapi masih menggunakan long-term key.

D · Bobot 2/4: Pre-signed URL aman untuk akses objek spesifik, namun menambah kompleksitas dan tidak menyelesaikan isu kredensial internal.

B · Bobot 1/4: Memutar key lebih aman dibanding statis, tapi tetap tidak sebaik menghindari key sama sekali.

C · Bobot 4/4: Customer managed CMK memberi kontrol penuh atas policy, rotasi, dan audit KMS sehingga paling sesuai tuntutan auditor.

B · Bobot 3/4: SSE-KMS AWS managed sudah memberi audit KMS, namun kontrol policy lebih terbatas.

D · Bobot 2/4: Client-side encryption sangat kuat, tetapi menambah kompleksitas pengelolaan kunci di sisi aplikasi.

A · Bobot 1/4: SSE-S3 termudah diaktifkan, tetapi hampir tidak ada kontrol terhadap kunci.

A · Bobot 4/4: Secrets Manager dirancang untuk rahasia dengan rotasi otomatis dan integrasi RDS sehingga paling tepat.

B · Bobot 3/4: Parameter Store aman dan lebih murah, namun rotasi masih perlu diatur manual.

C · Bobot 2/4: Enkripsi env var membantu, tetapi tetap menyimpan rahasia di definisi task.

D · Bobot 1/4: Menyimpan rahasia di EFS menambah kompleksitas dan bukan pola umum untuk secret.

B · Bobot 4/4: Organization Trail di AWS Organizations adalah cara paling terpusat dan konsisten untuk audit seluruh akun.

A · Bobot 3/4: Trail per akun dengan S3 terpusat juga valid, meski pengelolaannya lebih manual.

D · Bobot 2/4: Metric filter di CloudWatch membantu deteksi, tetapi tergantung konfigurasi log CloudTrail.

C · Bobot 1/4: AWS Config melengkapi audit konfigurasi, namun bukan pengganti CloudTrail untuk API call.

A · Bobot 4/4: AWS WAF dengan managed rule langsung menargetkan serangan layer 7 seperti SQLi dan XSS.

C · Bobot 3/4: CloudFront mengurangi beban dan menyerap sebagian besar serangan di edge.

B · Bobot 2/4: Shield Advanced menambah proteksi DDoS, namun berbiaya tinggi dan biasanya untuk aset kritis.

D · Bobot 1/4: Security Group ketat adalah hygiene dasar, tetapi tidak cukup menangani SQLi/dll sendiri.

A · Bobot 4/4: Gateway Endpoint untuk S3 mengirim traffic langsung ke jaringan AWS tanpa biaya NAT dan merupakan pola resmi untuk S3/DynamoDB.

B · Bobot 3/4: Interface Endpoint bisa digunakan, meski biasanya untuk layanan lain; sedikit lebih mahal.

C · Bobot 2/4: NAT Instance mengurangi biaya fixed, tetapi menambah beban operasi dan masih keluar ke Internet.

D · Bobot 1/4: Mengizinkan akses Internet langsung menghilangkan kontrol keamanan dan bukan best practice.

B · Bobot 4/4: Role cross-account dengan trust policy memberi kontrol terpusat dan lebih fleksibel untuk akses lintas akun.

A · Bobot 3/4: Bucket policy cross-account juga efektif, namun cepat kompleks jika banyak konsumer.

D · Bobot 2/4: Replikasi/penyalinan objek cocok jika setiap akun butuh salinan sendiri, tetapi tidak hemat storage.

C · Bobot 1/4: Pre-signed URL baik untuk akses ad-hoc, namun tidak ideal untuk alur analytics yang rutin dan masif.

A · Bobot 4/4: Cognito User Pool menyediakan user directory, flow login dan token JWT yang terintegrasi dengan API Gateway.

C · Bobot 3/4: JWT custom memberi fleksibilitas, namun menambah beban implementasi dan maintenance.

D · Bobot 2/4: SigV4 cocok untuk akses terautentikasi ke API AWS, tapi kurang user-friendly untuk pengguna aplikasi umum.

B · Bobot 1/4: API key berguna untuk metering dan limit, bukan autentikasi user end-to-end.

A · Bobot 4/4: GuardDuty memang dirancang untuk mendeteksi aktivitas mencurigakan berdasarkan CloudTrail, VPC Flow Logs, dan DNS logs.

C · Bobot 3/4: Security Hub mengkonsolidasikan temuan keamanan termasuk dari GuardDuty.

D · Bobot 2/4: SIEM eksternal bisa kuat, tetapi menambah biaya dan integrasi tambahan.

B · Bobot 1/4: Metric filter manual berguna untuk pola spesifik, namun tidak selengkap intel otomatis GuardDuty.

B · Bobot 4/4: Menggunakan Access Analyzer dan CloudTrail untuk right-sizing permission adalah pendekatan sistematis ke least privilege.

A · Bobot 3/4: Mengganti role ke yang lebih spesifik adalah langkah utama, meski sering butuh analisis tambahan.

C · Bobot 2/4: Identity Center memudahkan manajemen identitas dan akses lintas akun.

D · Bobot 1/4: Permission boundary membantu membatasi role baru, tapi tidak langsung mengecilkan akses yang sudah berlebih.

⚙️ Resilience & Performance – Booking Engine

D · Bobot 4/4: ECS Fargate + ALB + Aurora Multi-AZ + Redis memberi kombinasi performa tinggi, auto scaling, dan caching hasil pencarian sehingga sangat cocok untuk booking engine dengan traffic tinggi.

A · Bobot 3/4: Pola klasik EC2 + ASG + RDS Multi-AZ + CloudFront tetap andal dan aman, namun lebih banyak beban pengelolaan server dibanding Fargate.

B · Bobot 2/4: Serverless sangat menarik untuk skala otomatis dan biaya, tetapi cold start dan kompleksitas arsitektur perlu dipertimbangkan untuk beban booking kritikal.

C · Bobot 1/4: Satu EC2 Single-AZ adalah titik kegagalan tunggal dan tidak ideal untuk traffic musim liburan yang tinggi.

A · Bobot 4/4: Redis in-memory cache untuk hasil pencarian mengurangi beban database dan sangat efektif untuk pola baca berulang.

B · Bobot 3/4: Read replica RDS membantu skala baca, namun latensi tetap lebih tinggi dibanding cache in-memory.

C · Bobot 2/4: DynamoDB bisa menyimpan snapshot inventori secara elastis, tetapi menambah kompleksitas sinkronisasi data.

D · Bobot 1/4: Cache API di CloudFront mungkin membantu, namun invalidasi dan variasi parameter pencarian bisa rumit.

D · Bobot 4/4: Idempotency key sangat efektif mencegah double booking pada pemanggilan ulang API, sekaligus melengkapi mekanisme locking di backend.

A · Bobot 3/4: Transaksi ACID di RDS dengan row lock adalah pendekatan klasik untuk konsistensi, tetapi bisa menjadi bottleneck jika tidak dirancang dengan baik.

C · Bobot 2/4: SQS membantu serialisasi proses booking, tetapi latency dan throughput harus diperhitungkan.

B · Bobot 1/4: Conditional write di DynamoDB kuat, namun mengharuskan arsitektur berpindah ke NoSQL dan pola baru.

A · Bobot 4/4: Target tracking scaling merespon trafik aktual secara otomatis dan cocok untuk pola beban yang berubah-ubah.

B · Bobot 3/4: Scheduled scaling berguna ketika pola musiman sudah terprediksi dengan baik.

D · Bobot 2/4: Menggabungkan On-Demand dan Spot dapat menghemat biaya, namun perlu strategi fallback ketika Spot terambil.

C · Bobot 1/4: Vertical scaling membantu sementara, tetapi tidak sefleksibel scaling horizontal.

B · Bobot 4/4: Step Functions memberi orkestrasi yang jelas, retry terkelola, dan pemisahan langkah sehingga cocok untuk flow pembayaran kompleks.

A · Bobot 3/4: SQS memisahkan proses front-end dan pembayaran, namun perlu desain tambahan untuk status dan idempotensi.

D · Bobot 2/4: Memproses asynchronous dan memberi update status ke pengguna adalah pola UX yang baik, namun tetap perlu backend yang andal.

C · Bobot 1/4: Hanya menaikkan timeout tidak menyelesaikan akar masalah dan berisiko menurunkan pengalaman pengguna.

A · Bobot 4/4: WAF rate-based rule secara langsung membatasi request berlebih dan sangat efektif melawan scraping dan brute force.

B · Bobot 3/4: Throttling API Gateway membantu mengontrol konsumsi per klien.

C · Bobot 2/4: CAPTCHA dapat mengurangi bot, namun berpengaruh ke UX dan tidak cocok untuk semua endpoint.

D · Bobot 1/4: Security Group ketat adalah hygiene dasar, tetapi tidak cukup menangani SQLi/dll sendiri.

A · Bobot 4/4: Transit Gateway adalah solusi skalabel untuk menghubungkan banyak VPC dan on-premise, menghindari kompleksitas peering mesh.

B · Bobot 3/4: VPC Peering performanya tinggi, tetapi manajemennya sangat sulit untuk 50 VPC (butuh n*(n-1)/2 koneksi).

C · Bobot 2/4: Direct Connect Gateway utamanya untuk koneksi hybrid ke on-premise, bukan antar VPC murni.

D · Bobot 1/4: VPN menambah overhead manajemen dan latency dibanding solusi native AWS.

A · Bobot 4/4: io2 Block Express adalah volume EBS performa tertinggi, dirancang untuk workload database intensif hingga 256.000 IOPS.

D · Bobot 3/4: Instance Store sangat cepat, namun datanya ephemeral (hilang saat stop/start), berisiko untuk database persisten tanpa replikasi kuat.

B · Bobot 2/4: gp3 bagus dan hemat, tapi max IOPS-nya 16.000, tidak cukup untuk requirement 50.000.

C · Bobot 1/4: HDD (st1) dioptimalkan untuk throughput besar, bukan IOPS random database.

A · Bobot 4/4: RDS Proxy melakukan connection pooling yang efisien, mencegah overload koneksi dari ribuan Lambda container.

D · Bobot 3/4: Reuse koneksi di global scope adalah best practice, tapi tidak cukup menangani spike concurrency tinggi.

B · Bobot 2/4: Scale up RDS menambah limit koneksi, tapi mahal dan mungkin tetap habis jika traffic sangat tinggi.

C · Bobot 1/4: Membatasi concurrency Lambda menyelesaikan error DB, tapi mengorbankan throughput aplikasi.

A · Bobot 4/4: Intelligent-Tiering otomatis memindahkan objek antar tier akses berdasarkan pola penggunaan nyata, ideal untuk akses tak terprediksi.

D · Bobot 3/4: Lifecycle ke Glacier hemat biaya, tapi jika data tiba-tiba butuh diakses cepat, biaya retrieval bisa mahal atau lambat.

B · Bobot 2/4: Standard-IA bagus jika kita YAKIN data jarang diakses. Jika sering diakses, biaya retrieval fee akan membengkak.

C · Bobot 1/4: Glacier Instant Retrieval untuk data arsip yang butuh akses cepat sesekali, bukan untuk data umum yang pola aksesnya unknown.

AWS Certified Solutions Architect – Associate (SAA-C03)

Petunjuk

🧩 Security & Access Control

1) Akses S3 dari aplikasi di EC2

2) Enkripsi data sensitif di S3

3) Menyimpan rahasia database

4) Audit aktivitas di banyak akun AWS

5) Melindungi aplikasi web publik

6) Akses privat ke S3 dari subnet privat

7) Akses cross-account ke bucket S3

8) Autentikasi pengguna ke API

9) Deteksi ancaman dan anomali keamanan

10) Prinsip least privilege untuk IAM

⚙️ Resilience & Performance – Booking Engine

11) Merancang infrastruktur booking engine yang aman dan cepat

12) Mengurangi latensi pencarian kamar & tiket

13) Menghindari double booking saat gangguan

14) Auto scaling saat musim liburan

15) Menghindari timeout saat memproses pembayaran

16) Melindungi API pencarian dari abuse

17) Menghubungkan banyak VPC

18) Performa Disk Database Tinggi

19) Koneksi Database dari Lambda

20) Optimasi Biaya Storage S3