[AWS][SAA][EXAMTOPICS][C02] Question 111

 

 

For each of its developer accounts, a corporation has configured AWS CloudTrail logs to transport log files to an Amazon S3 bucket. The organization has established a centralized AWS account for the purpose of facilitating administration and auditing. Internal auditors need access to CloudTrail logs, however access to all developer account users must be limited. The solution should be both secure and efficient.

How should a solutions architect address these considerations?

• A. Configure an AWS Lambda function in each developer account to copy the log files to the central account. Create an IAM role in the central account for the auditor. Attach an IAM policy providing read-only permissions to the bucket.
• B. Configure CloudTrail from each developer account to deliver the log files to an S3 bucket in the central account. Create an IAM user in the central account for the auditor. Attach an IAM policy providing full permissions to the bucket.
• C. Configure CloudTrail from each developer account to deliver the log files to an S3 bucket in the central account. Create an IAM role in the central account for the auditor. Attach an IAM policy providing read-only permissions to the bucket.
• D. Configure an AWS Lambda function in the central account to copy the log files from the S3 bucket in each developer account. Create an IAM user in the central account for the auditor. Attach an IAM policy providing full permissions to the bucket.

 

 

한글번역

기업은 각 개발자 계정에 대해 Amazon S3 버킷으로 로그 파일을 전송하도록 AWS CloudTrail 로그를 구성했습니다. 조직은 관리 및 감사를 용이하게 하기 위해 중앙 집중식 AWS 계정을 설정했습니다. 내부 감사자는 CloudTrail 로그에 액세스해야 하지만 모든 개발자 계정 사용자에 대한 액세스는 제한되어야 합니다. 솔루션은 안전하고 효율적이어야 합니다.

솔루션 설계자는 이러한 고려 사항을 어떻게 해결해야 합니까?

• A. 각 개발자 계정에서 AWS Lambda 함수를 구성하여 로그 파일을 중앙 계정에 복사합니다. 감사자의 중앙 계정에서 IAM 역할을 생성합니다. 버킷에 읽기 전용 권한을 제공하는 IAM 정책을 연결합니다.
• B. 각 개발자 계정에서 CloudTrail을 구성하여 로그 파일을 중앙 계정의 S3 버킷으로 전달합니다. 감사자의 중앙 계정에 IAM 사용자를 생성합니다. 버킷에 대한 전체 권한을 제공하는 IAM 정책을 연결합니다.
• C. 각 개발자 계정에서 CloudTrail을 구성하여 로그 파일을 중앙 계정의 S3 버킷으로 전달합니다. 감사자의 중앙 계정에서 IAM 역할을 생성합니다. 버킷에 읽기 전용 권한을 제공하는 IAM 정책을 연결합니다.
• D. 각 개발자 계정의 S3 버킷에서 로그 파일을 복사하도록 중앙 계정에서 AWS Lambda 함수를 구성합니다. 감사자의 중앙 계정에 IAM 사용자를 생성합니다. 버킷에 대한 전체 권한을 제공하는 IAM 정책을 연결합니다.

시나리오를 파악해보자.

각 개발자 계정에 대해 S3 버킷으로 로그 파일을 전송하도록 CloudTrail 로그를 구성했다. 조직은 관리 및 감사를 용이하게 하기 위해 중앙 집중식 AWS 계정을 설정했다. 내부 감사자가 CloudTrail 로그에 액세스해야 하지만 모든 개발자 계정 사용자에 대한 액세스는 제한되어 있어야 한다.

이때 고려할 솔루션은 무엇일까.

우선적으로 IAM 관련 권한 설정이 우선일 것이라 판단된다.

정확하게 두가지 조건을 모두 만족시키려면, 각 개발자 계정에서 CloudTrail을 구성 후 로그파일을 S3 버킷으로 보내야 한다. 이후에 감사자의 중앙 계정 IAM 역할이 필요한데 개발자 계정에 대한 액세스는 제한을 해야하기 때문에, 읽기 전용 정책을 설정하여 개발자 계정에 대한 접근을 제한한다.

해당 조건에 부합하는 선택지는 C가 정답이 된다.