클라우드로의 이전은 거의 한 번도 "전부 다, 한꺼번에"로 일어나지 않는다. 수십 년 묵은 COBOL 배치, 라이선스가 하드웨어에 묶인 레거시, 규제상 데이터센터를 떠날 수 없는 워크로드는 데이터센터(DC)에 남고, 신규 워크로드는 AWS로 간다. 그러면 즉시 한 가지 운영상의 통증이 생긴다. "두 환경에 두 개의 배포 파이프라인, 두 개의 자격 증명 체계, 두 개의 패치 도구, 두 개의 모니터링 스택을 따로 운영하면 팀이 두 배로 일하고 두 배로 실수한다. 어떻게 하나의 운영 모델로 양쪽을 묶을 것인가." 오늘은 5,000대 온프레미스 VM과 200대 EC2가 공존하고, 인바운드 인터넷이 완전히 차단된 보수적 보안 환경의 조직을 놓고, SSM Hybrid Activation·CodeDeploy On-Prem·IAM Roles Anywhere·PrivateLink가 어떻게 이 통증을 푸는지 — 그리고 그 밑에 깔린 네트워크·신원(identity)·암호 이론을 함께 판다.
DOP 시험에서 하이브리드는 "인터넷 차단 환경에서 DC 서버가 AWS API를 호출하려면", "정적 액세스 키 없이 DC 서버에 임시 자격 증명을 주려면", "EC2와 DC 서버를 단일 배포로 묶으려면", "Direct Connect만으로 회선이 암호화되는가" 같은 시나리오로 반복 등장한다. 각 선택지가 SSM·CodeDeploy·Roles Anywhere·PrivateLink·DX 중 무엇을 건드리는지 읽어내면 답이 보인다.