하위 문제 풀이는 개인적 의견일 수 있습니다. AWS 공식 문서를 참조하는 것을 추천 드립니다.
[영문]
A company wants to use a third-party software-as-a-service (SaaS) application. The third-party SaaS application is consumed through several API calls. The third-party SaaS application also runs on AWS inside a VPC.
The company will consume the third-party SaaS application from inside a VPC. The company has internal security policies that mandate the use of private connectivity that does not traverse the internet. No resources that run in the company VPC are allowed to be accessed from outside the company’s VPC. All permissions must conform to the principles of least privilege.
Which solution meets these requirements?
- A. Create an AWS PrivateLink interface VPC endpoint. Connect this endpoint to the endpoint service that the third-party SaaS application provides. Create a security group to limit the access to the endpoint. Associate the security group with the endpoint.
- B. Create an AWS Site-to-Site VPN connection between the third-party SaaS application and the company VPC. Configure network ACLs to limit access across the VPN tunnels.
- C. Create a VPC peering connection between the third-party SaaS application and the company VPUpdate route tables by adding the needed routes for the peering connection.
- D. Create an AWS PrivateLink endpoint service. Ask the third-party SaaS provider to create an interface VPC endpoint for this endpoint service. Grant permissions for the endpoint service to the specific account of the third-party SaaS provider.
[한글] (번역기)
한 회사에서 타사 SaaS(서비스형 소프트웨어) 애플리케이션을 사용하려고 합니다. 타사 SaaS 애플리케이션은 여러 API 호출을 통해 소비됩니다. 또한 타사 SaaS 애플리케이션은 VPC 내부의 AWS에서 실행됩니다.
회사는 VPC 내부에서 타사 SaaS 애플리케이션을 소비합니다. 회사에는 인터넷을 통과하지 않는 비공개 연결을 사용하도록 하는 내부 보안 정책이 있습니다. 회사 VPC에서 실행되는 리소스는 회사 VPC 외부에서 액세스할 수 없습니다. 모든 권한은 최소 권한 원칙을 준수해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇인가요?
A. AWS PrivateLink 인터페이스 VPC 엔드포인트를 생성합니다. 이 엔드포인트를 타사 SaaS 애플리케이션이 제공하는 엔드포인트 서비스에 연결합니다. 엔드포인트에 대한 액세스를 제한하는 보안 그룹을 만듭니다. 보안 그룹을 엔드포인트와 연결합니다.
B. 타사 SaaS 애플리케이션과 회사 VPC 사이에 AWS 사이트 간 VPN 연결을 만듭니다. VPN 터널을 통한 액세스를 제한하도록 네트워크 ACL을 구성합니다.
C. 타사 SaaS 애플리케이션과 회사 VPC 사이에 VPC 피어링 연결을 만듭니다. 피어링 연결에 필요한 경로를 추가하여 경로 테이블을 업데이트합니다.
D. AWS PrivateLink 엔드포인트 서비스를 생성합니다. 타사 SaaS 제공업체에 이 엔드포인트 서비스에 대한 인터페이스 VPC 엔드포인트를 생성하도록 요청합니다. 엔드포인트 서비스에 대한 권한을 타사 SaaS 제공업체의 특정 계정에 부여합니다.
[풀이]
- 회사에서 타사 SaaS 애플리케이션 사용, 타사 SaaS 애플리케이션은 VPC 내부의 AWS에서 실행됨(회사 내부 계정이 아님), 비공개 연결을 하도록 원함, 회사 VPC에서 실행되는 리소스는 회사 VPC 외부에서 액세스 불가, 최소 권한 우너칙 준수
- A의 경우 PrivateLink를 사용하면 AWS 백본망을 이용해서 통신하기 때문에 외부 통신을 하지 않으므로 적절하며, 보안 그룹을 만들어서 특정 타사 SaaS 애플리케이션 만을 이용하도록 구성하면 되기 때문에 제일 적합해 보임
- B의 경우 S2S VPN 연결을 하고 ACL 구성을 하면 서브넷 단위로 통신이 되기 때문에 최소 권한이 아닐거 같음
- C의 경우 VPC 피어링을 하게 되면 VPC 단위로 통신이 되기 때문에 최소 권한이 아님
- D의 경우 엔드포인트 서비스에 대한 권한을 타사 SaaS 특정 계정에 부여한다. 내 엔드포인트 서비스에 대한 권한을 타사 SaaS 계정에 부여하게 되면 상대방의 통신에 대한 허용을 해주는 것이기 때문에 맞지 않다고 본다.
- 답은 A
https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/privatelink-access-saas.html
[출처] : https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/
위 문제에 대한 저작권은 상위 출처 링크에 있으며 해당 게시글로 문제 시 댓글 부탁 드리며 삭제 조치 진행 하겠습니다.
'자격증 > AWS SAP' 카테고리의 다른 글
| [SAP-C02][문제 풀이] #14 EC2 ASG 스케일 인 S3 로그 파일 복사 문제 (0) | 2023.11.09 |
|---|---|
| [SAP-C02][문제 풀이] #13 인스턴스 패치 관리 및 보고서 생성 문제 (1) | 2023.11.09 |
| [SAP-C02][문제 풀이] #11 계정 간 리소스 공유 문제 (0) | 2023.10.25 |
| [SAP-C02][문제 풀이] #10 사용자 지정 오류 페이지 제공 문제 (0) | 2023.10.25 |
| [SAP-C02][문제 풀이] #9 EC2 - ElastiCache - RDS 고 가용성 문제 (0) | 2023.10.25 |
