하위 문제 풀이는 개인적 의견일 수 있습니다. AWS 공식 문서를 참조하는 것을 추천 드립니다.
[영문]
A company uses AWS Organizations to manage multiple AWS accounts for different departments. The management account has an Amazon S3 bucket that contains project reports. The company wants to limit access to this S3 bucket to only users of accounts within the organization in AWS Organizations.
Which solution meets these requirements with the LEAST amount of operational overhead?
- A. Add the aws PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.
- B. Create an organizational unit (OU) for each department. Add the aws:PrincipalOrgPaths global condition key to the S3 bucket policy.
- C. Use AWS CloudTrail to monitor the CreateAccount, InviteAccountToOrganization, LeaveOrganization, and RemoveAccountFromOrganization events. Update the S3 bucket policy accordingly.
- D. Tag each user that needs access to the S3 bucket. Add the aws:PrincipalTag global condition key to the S3 bucket policy.
[한글] (번역기)
한 회사에서 AWS 조직을 사용하여 여러 부서의 여러 AWS 계정을 관리합니다. 관리 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있습니다. 이 회사는 이 S3 버킷에 대한 액세스를 AWS 조직에서 조직 내 계정의 사용자로만 제한하려고 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. 조직 ID에 대한 참조가 있는 aws PrincipalOrgID 글로벌 조건 키를 S3 버킷 정책에 추가합니다.
B. 각 부서에 대한 OU(조직 단위)를 만듭니다. S3 버킷 정책에 aws:PrincipalOrgPaths 글로벌 조건 키를 추가합니다.
C. AWS CloudTrail을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization, RemoveAccountFromOrganization 이벤트를 모니터링합니다. 그에 따라 S3 버킷 정책을 업데이트합니다.
D. S3 버킷에 액세스해야 하는 각 사용자에게 태그를 지정합니다. S3 버킷 정책에 aws:PrincipalTag 글로벌 조건 키를 추가합니다.
[풀이]
- S3 버킷에 대한 액세스를 AWS Organization 조직 내의 사용자로 제한해야 됨
- D는 각 사용자에게 태그를 부여하게 되면 관리가 복잡할 듯함.
D 제외 - C는 굳이 이벤트를 모니터링 해야할 필요가 있을지? 어떤 조직에 어떤 사용자가 있는지 알 것 같은데...
C 제외 - A아니면 B 같은데 왠지 Path 기반으로 허용을 해줘야할 필요가 있을 것 같다
- https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_permissions_overview.html
- 위 문서 확인 결과
aws:PrincipalOrgID 를 사용할 경우 해당 조직의 모든 멤버를 나열할 수 있다.
aws:PrincipalOrgPaths 를 사용할 경우 특정 조직 루트, OU 또는 해당 하위 항목의 멤버를 일치 - Path 기반으로 허용을 해줘도 되긴 하지만 한 개의 부서가 아닌 여러 부서로 이미 관리를 하고 있는 중이며, 최소한의 운영 오버헤드가 필요하기 때문에 aws:PrincipalOrgID 를 이용해서 제한하는 것이 올바른 선택
- 정답은
B 제외A 정답
[출처] : https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/
위 문제에 대한 저작권은 상위 출처 링크에 있으며 해당 게시글로 문제 시 댓글 부탁 드리며 삭제 조치 진행 하겠습니다.
'자격증 > AWS SAA' 카테고리의 다른 글
| [SAA-C03][문제 풀이] 온프레미스 데이터 S3 전송 문제 (1) | 2023.10.10 |
|---|---|
| [SAA-C03][문제 풀이] EBS Multi-AZ 문제 (0) | 2023.10.10 |
| [SAA-C03][문제 풀이] EC2 <-> S3 사설 네트워크 연결 문제 (0) | 2023.10.10 |
| [SAA-C03][문제 풀이] 로그 파일 분석 쿼리 문제 (1) | 2023.10.10 |
| [SAA-C03][문제 풀이] S3 속도 관련 문제 (1) | 2023.10.10 |
