AWS-SAA-V18.35 - 3번

[문제 3]

회사는 AWS Organizations 를 사용하여 여러 부서의 여러 AWS 계정을 관리합니다. 관리 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있습니다. 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations 의 조직 내 계정 사용자로만 제한하려고 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

A. 조직 ID 에 대한 환경의 확계 aws PrincipalOrgID 정책 조건 키를 S3 버킷 정책에 추가합니다.

B. 각 부서에 대한 조직 단위(OU)를 만듭니다. aws:PrincipalOrgPaths 정책 조건 키를 S3 버킷 정책에 추가합니다.

C. AWS CloudTrail 을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization 및 RemoveAccountFromOrganization 이벤트를 모니터링합니다. 그에 따라 S3 버킷 정책을 업데이트합니다.

D. S3 버킷에 액세스해야 하는 각 사용자에 태그를 지정합니다. aws:PrincipalTag 정책 조건 키를 S3 버킷 정책에 추가합니다.

[문제 분석]

이 문제는 AWS Organizations를 사용하여 여러 AWS 계정의 S3 버킷 액세스 관리에 대한 최적의 솔루션을 찾는 것입니다. 특히 조직 내 계정 사용자들만의 제한된 접근을 구현하는 방법을 묻고 있습니다.

[각 보기 분석]

A. 조직 ID에 대한 환경의 확계 aws:PrincipalOrgID 정책 조건 키를 S3 버킷 정책에 추가
- 설명: 조직 내의 모든 계정에 대한 접근을 한번에 관리할 수 있는 방법
- 적합성: 가장 효율적이고 관리하기 쉬운 솔루션

B. 각 부서에 대한 조직 단위(OU)를 만들고 aws:PrincipalOrgPaths 정책 조건 키를 추가
- 설명: OU 기반으로 더 세분화된 접근 제어가 가능
- 부적합: 문제 요구사항보다 복잡한 솔루션

C. AWS CloudTrail을 사용하여 계정 활동 모니터링
- 설명: 계정 활동 로깅 및 모니터링에 중점
- 부적합: 접근 제어가 아닌 모니터링 솔루션

D. 각 사용자에 태그를 지정하고 aws:PrincipalTag 정책 조건 키 사용
- 설명: 개별 사용자 수준의 태그 기반 접근 제어
- 부적합: 조직 수준의 관리가 필요한 상황에 비해 너무 세분화된 접근

[정답 분석]

정답은 A입니다. aws:PrincipalOrgID를 사용하면:
- 조직 내 모든 계정에 대한 통합된 접근 제어 가능
- 관리 오버헤드 최소화
- 새로운 계정 추가 시 자동으로 정책 적용

[서비스 및 관련 옵션]

- AWS Organizations: 여러 AWS 계정을 중앙에서 관리
- S3 버킷 정책: 리소스 기반 접근 제어
- IAM 정책 조건 키: 세분화된 접근 제어 구현

[도메인]

도메인 3: 보안 및 규정 준수

- AWS Organizations를 통한 다중 계정 관리
- S3 버킷의 보안 정책 구성
- IAM 정책 조건 키 활용

[시험에서 주로 출제되는 핵심 개념]

- aws:PrincipalOrgID: 조직 수준의 접근 제어
- AWS Organizations의 계정 관리 기능
- S3 버킷 정책과 IAM 정책의 조건 키 활용
- 최소 권한 원칙의 구현 방법