하위 문제 풀이는 개인적 의견일 수 있습니다. AWS 공식 문서를 참조하는 것을 추천 드립니다.
[영문]
A company uses AWS Organizations with a single OU named Production to manage multiple accounts. All accounts are members of the Production OU. Administrators use deny list SCPs in the root of the organization to manage access to restricted services.
The company recently acquired a new business unit and invited the new unit’s existing AWS account to the organization. Once onboarded, the administrators of the new business unit discovered that they are not able to update existing AWS Config rules to meet the company’s policies.
Which option will allow administrators to make changes and continue to enforce the current policies without introducing additional long-term maintenance?
- A. Remove the organization’s root SCPs that limit access to AWS Config. Create AWS Service Catalog products for the company’s standard AWS Config rules and deploy them throughout the organization, including the new account.
- B. Create a temporary OU named Onboarding for the new account. Apply an SCP to the Onboarding OU to allow AWS Config actions. Move the new account to the Production OU when adjustments to AWS Config are complete.
- C. Convert the organization’s root SCPs from deny list SCPs to allow list SCPs to allow the required services only. Temporarily apply an SCP to the organization’s root that allows AWS Config actions for principals only in the new account.
- D. Create a temporary OU named Onboarding for the new account. Apply an SCP to the Onboarding OU to allow AWS Config actions. Move the organization’s root SCP to the Production OU. Move the new account to the Production OU when adjustments to AWS Config are complete.
[한글] (번역기)
회사에서 프로덕션이라는 단일 OU가 있는 AWS 조직을 사용하여 여러 계정을 관리합니다. 모든 계정은 프로덕션 OU의 구성원입니다. 관리자는 조직의 루트에서 거부 목록 SCP를 사용하여 제한된 서비스에 대한 액세스를 관리합니다.
이 회사는 최근에 새로운 사업부를 인수하여 새 사업부의 기존 AWS 계정을 조직에 초대했습니다. 온보딩 후 새 사업부의 관리자는 기존 AWS 구성 규칙을 회사 정책에 맞게 업데이트할 수 없다는 것을 알게 되었습니다.
관리자가 변경을 수행하고 장기적인 유지 관리를 추가로 도입하지 않고도 현재 정책을 계속 적용할 수 있는 옵션은 무엇인가요?
A. AWS Config에 대한 액세스를 제한하는 조직의 루트 SCP를 제거합니다. 회사의 표준 AWS 구성 규칙에 대한 AWS 서비스 카탈로그 제품을 생성하고 새 계정을 포함하여 조직 전체에 배포합니다.
B. 새 계정에 대해 Onboarding이라는 임시 OU를 만듭니다. 온보딩 OU에 SCP를 적용하여 AWS 구성 작업을 허용합니다. AWS 구성에 대한 조정이 완료되면 새 계정을 프로덕션 OU로 이동합니다.
C. 조직의 루트 SCP를 거부 목록 SCP에서 허용 목록 SCP로 변환하여 필요한 서비스만 허용합니다. 조직의 루트에 새 계정의 주체에 대해서만 AWS 구성 작업을 허용하는 SCP를 일시적으로 적용합니다.
D. 새 계정에 대해 온보딩이라는 임시 OU를 생성합니다. AWS 구성 작업을 허용하도록 온보딩 OU에 SCP를 적용합니다. 조직의 루트 SCP를 프로덕션 OU로 이동합니다. AWS 구성에 대한 조정이 완료되면 새 계정을 프로덕션 OU로 이동합니다.
[풀이]
- 프로덕션 단일 OU 구성해서 계정 관리, 루트에서 deny list SCP를 사용하여 제한된 서비스 액세스 관리, 새로운 사업부 인수해서 새 사업부의 기존 AWS 계정 조직에 초대, 새 사업부 관리자는 기존 AWS 규칙을 회사 정책에 맞게 업데이트 불가, 관리자가 변경 수행하고 유지 관리 추가로 안해도 현재 정책을 적용할 수 있는 옵션은 무엇인가?
- Oraganization 루트에서 SCP를 사용해서 제한했기 때문에 SCP를 다시 수정하지 않는 이상 하위 OU는 어떠한 작업도 할 수 없어 보인다.
- A의 경우 Config 를 도입해 Organization 과 통합해 사용할 경우 현재 OU내 구성된 권한에 대한 다중 집계를 하거나 적합성 팩을 사용해서 권한 관리가 가능하나 현재의 케이스에서 사용할 만한 서비스는 아닌듯함
https://aws.amazon.com/ko/config/features/ - B의 경우 임시 OU를 만들어서 임시 OU에 SCP를 적용해서 작업을 허용한다는 내용인데, 루트에서 SCP를 설정 했기 때문에 임시 OU도 동일하게 deny 권한이 적용된다.
https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_manage_policies_scps.html - D의 경우에도 동일하다.
- C는 루트 SCP를 설정해서 필요한 새 어카운트에 한해서 작업을 허용하기 때문에 문제가 없어 보인다.
- 정답은 C라고 생각했는데 D를 착각했다.
- C의 경우 기존 Deny SCP를 Allow 목록으로 전환한다는 말인데 운영 오버헤드가 너무 많이 들 것 같다.
- D의 경우 온보딩 OU에 새 SCP 적용, 조직의 루트 SCP를 프로덕션 OU로 이동, 조정이 완료될 시 새 계정 프로덕션 OU로 이동이다. 가장 적절해보인다.
- 정답은 D
[출처] : https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-professional-sap-c02/view/
위 문제에 대한 저작권은 상위 출처 링크에 있으며 해당 게시글로 문제 시 댓글 부탁 드리며 삭제 조치 진행 하겠습니다.
'자격증 > AWS SAP' 카테고리의 다른 글
| [SAP-C02][문제 풀이] #6 S3 버킷 정책 및 IAM 정책 관련 문제 (0) | 2023.10.23 |
|---|---|
| [SAP-C02][문제 풀이] #5 헤더 제거 및 서버리스 문제 (1) | 2023.10.23 |
| [SAP-C02][문제 풀이] #4 3-Tier 아키텍쳐 마이그레이션 적절 솔루션 문제 (0) | 2023.10.17 |
| [SAP-C02][문제 풀이] #2 DNS <-> 멀티 리전 APIGW Fail Over 문제 (0) | 2023.10.17 |
| [SAP-C02][문제 풀이] #1 멀티 VPC <-> 온프레미스 DNS 연결 문제 (0) | 2023.10.17 |
