A company uses AWS Organizations to manage multiple AWS accounts for different departments. The management account has an Amazon S3 bucket that contains project reports. The company wants to limit access to this S3 bucket to only users of accounts within the organization in AWS Organizations.
Which solution meets these requirements with the LEAST amount of operational overhead?
- A. Add the aws PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.
- B. Create an organizational unit (OU) for each department. Add the aws:PrincipalOrgPaths global condition key to the S3 bucket policy.
- C. Use AWS CloudTrail to monitor the CreateAccount, InviteAccountToOrganization, LeaveOrganization, and RemoveAccountFromOrganization events. Update the S3 bucket policy accordingly.
- D. Tag each user that needs access to the S3 bucket. Add the aws:PrincipalTag global condition key to the S3 bucket policy.
회사는 AWS Organizations를 사용하여 여러 부서의 여러 AWS 계정을 관리합니다. 마스터 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있습니다. 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations의 조직 내 계정 사용자로만 제한하려고 합니다.
최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
- A. 조직 ID에 대한 참조와 함께 aws PrincipalOrgID 전역 조건 키를 S3 버킷 정책에 추가합니다.
- B. 각 부서에 대한 조직 단위(OU)를 만듭니다. aws:PrincipalOrgPaths 전역 조건 키를 S3 버킷 정책에 추가합니다.
- C. AWS CloudTrail을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization 및 RemoveAccountFromOrganization 이벤트를 모니터링합니다. 그에 따라 S3 버킷 정책을 업데이트합니다.
- D. S3 버킷에 액세스해야 하는 각 사용자에게 태그를 지정합니다. aws:PrincipalTag 전역 조건 키를 S3 버킷 정책에 추가합니다.
AWS Organizations를 사용중이며, 여러 부서의 여러 AWS 계정을 관리한다.
마스터 계정에는 프로젝트 보고서가 포함된 S3 버킷이 있다고 한다. 이 S3 버킷에 대한 액세스를 AWS Organizations의 조직 내 계정 사용자로만 제한하려고 한다고 한다.
우선 AWS PrincipalOrgID가 무엇인가. AWS는 아래와 같이 설명하고 있다.
"IAM 보안 주체의 AWS 조직을 사용하여 AWS 리소스에 대한 액세스를 보다 효과적으로 제어"
이제 AWS Identity and Access Management(IAM)에서 IAM 보안 주체(사용자 및 역할)의 AWS 조직을 사용하여 AWS 리소스에 대한 액세스를 보다 간편하게 제어할수 있다. aws:PrincipalOrgID라는 새로운 조건 키를 권한 정책에 사용하여 조직 내의 계정에 해당하는 IAM 보안 주체(사용자 및 역할)만 리소스에 액세스할 수 있도록 한다.
예를 들어 조직 내 AWS 계정과 관련된 보안 주체만 액세스하도록 Amazon S3 버킷 정책을 적용할 수 있다. 이제 정책의 조건 요서에 aws:PrincipalOrgID 조건을 사용하고 organization ID의 값을 설정할 수 있다.
AWS 계정을 조직 단위(OU)라는 그룹으로 정렬하고 정책을 OU에 적용하거나 계정에 직접 적용할 수 있다. 예를 들어 애플리케이션, 환경, 팀 또는 비즈니스에 적합한 기타 그룹별로 계정을 구성할 수 있다.
이제는 IAM을 사용하면 IAM 보안 주체(사용자 및 역할)의 AWS 조직을 사용하여 AWS 리소스에 대한 액세스를 더 쉽게 제어할 수 있다. 리소스 기반 정책에서 aws:PrincipalOrgID 조건 키를 사용하여 AWS 조직의 계정에서 IAM 보안 주체에 대한 액세스를 보다 쉽게 제한할수 있다.
따라서 정답은 선택지 A가 된다.
https://www.examtopics.com/exams/amazon/aws-certified-solutions-architect-associate-saa-c03/view/
https://aws.amazon.com/ko/about-aws/whats-new/2018/05/principal-org-id/
'[AWSEXAM] > [AWS] SAA-C03' 카테고리의 다른 글
[AWS][SAA][EXAMTOPICS][C03] Question 6 (0) | 2022.11.23 |
---|---|
[AWS][SAA][EXAMTOPICS][C03] Question 5 (0) | 2022.11.23 |
[AWS][SAA][EXAMTOPICS][C03] Question 4 (0) | 2022.11.23 |
[AWS][SAA][EXAMTOPICS][C03] Question 1 (0) | 2022.11.22 |
[AWS] SAA-C03 바뀐점에 대해서 (0) | 2022.11.22 |