[AWS][SAA][EXAMTOPICS] Question 24 (확인)

A legal company must communicate with the public. Hundreds of files must be publicly accessible. Anyone is banned from modifying or deleting the files before to a specified future date.

Which solution satisfies these criteria the SAFEST way possible?

• A. Upload all flies to an Amazon S3 bucket that is configured for static website hosting. Grant read-only IAM permissions to any AWS principals that access the S3 bucket until the designated date.
• B. Create a new Amazon S3 bucket with S3 Versioning enabled. Use S3 Object Lock with a retention period in accordance with the designated date. Configure the S3 bucket for static website hosting. Set an S3 bucket policy to allow read-only access to the objects.
• C. Create a new Amazon S3 bucket with S3 Versioning enabled. Configure an event trigger to run an AWS Lambda function in case of object modification or deletion. Configure the Lambda function to replace the objects with the original versions from a private S3 bucket.
• D. Upload all files to an Amazon S3 bucket that is configured for static website hosting. Select the folder that contains the files. Use S3 Object Lock with a retention period in accordance with the designated date. Grant read-only IAM permissions to any AWS principals that access the S3 bucket.

 

한글로 번역

법률 회사는 대중과 소통해야 합니다. 수백 개의 파일에 공개적으로 액세스할 수 있어야 합니다. 누구든지 지정된 미래 날짜 이전에 파일을 수정하거나 삭제할 수 없습니다.

가능한 가장 안전한 방법으로 이러한 기준을 충족하는 솔루션은 무엇입니까?

• A. 모든 파리를 정적 웹 사이트 호스팅용으로 구성된 Amazon S3 버킷에 업로드합니다. 지정된 날짜까지 S3 버킷에 액세스하는 모든 AWS 보안 주체에게 읽기 전용 IAM 권한을 부여합니다.
• B. S3 버전 관리가 활성화된 새 Amazon S3 버킷을 생성합니다. 지정된 날짜에 따라 보존 기간이 있는 S3 Object Lock을 사용합니다. 정적 웹 사이트 호스팅을 위해 S3 버킷을 구성합니다. 객체에 대한 읽기 전용 액세스를 허용하도록 S3 버킷 정책을 설정합니다.
• C. S3 버전 관리가 활성화된 새 Amazon S3 버킷을 생성합니다. 객체 수정 또는 삭제 시 AWS Lambda 함수를 실행하도록 이벤트 트리거를 구성합니다. 객체를 프라이빗 S3 버킷의 원래 버전으로 교체하도록 Lambda 함수를 구성합니다.
• D. 정적 웹 사이트 호스팅용으로 구성된 Amazon S3 버킷에 모든 파일을 업로드합니다. 파일이 포함된 폴더를 선택합니다. 지정된 날짜에 따라 보존 기간이 있는 S3 Object Lock을 사용합니다. S3 버킷에 액세스하는 모든 AWS 보안 주체에게 읽기 전용 IAM 권한을 부여합니다.

 

 

정답:

• B. Create a new Amazon S3 bucket with S3 Versioning enabled. Use S3 Object Lock with a retention period in accordance with the designated date. Configure the S3 bucket for static website hosting. Set an S3 bucket policy to allow read-only access to the objects.

 

해설:

S3 객체 잠금 사용

S3 객체 잠금을 사용하면 write-once-read-many(WORM) 모델을 사용하여 객체를 저장할 수 있습니다. 객체 잠금은 고정된 시간 동안 또는 무기한으로 객체의 삭제 또는 덮어쓰기를 방지하는 데 도움이 될 수 있습니다. 객체 잠금을 사용하면 WORM 스토리지가 필요한 규제 요구 사항을 충족하거나 객체 변경 및 삭제에 대한 보호 계층을 추가하는 데 도움이 됩니다.

S3 객체 잠금은 SEC 17a-4, CFTC 및 FINRA 규정의 적용을 받는 환경에서 Cohasset Associates에 의해 평가되었습니다. 객체 잠금과 이러한 규정의 관계에 대한 자세한 내용은 Cohasset Associates 규정 준수 평가를 참조하세요.

객체 잠금은 보관 기간 및 법적 보존 등 객체 보관을 관리하는 2가지 방법을 제공합니다.

• 보관 기간 - 객체가 잠겨 있는 동안 고정된 기간을 지정합니다. 이 기간 동안 객체는 WORM으로 보호되며 덮어쓰거나 삭제할 수 없습니다. 자세한 정보는 보관 기간 섹션을 참조하세요.
• 법적 보존 - 보관 기간과 동일한 보호를 제공하지만 만료 날짜는 없습니다. 대신, 명시적으로 제거할 때까지 법적 보존이 유지됩니다. 법적 보존은 보관 기간과 독립적입니다. 자세한 내용은 법적 보존 섹션을 참조하세요.

객체 버전은 보관 기간과 법적 보존 둘 다 또는 둘 중 하나 또는 둘 모두 아닐 수 있습니다. 자세한 내용은 S3 객체 잠금 작동 방식 섹션을 참조하세요.

객체 잠금은 버전이 지정된 버킷에서만 작동하며, 보관 기간과 법적 보유는 개별 객체 버전에 적용됩니다. 객체 버전을 잠그면 Amazon S3는 해당 객체 버전의 메타데이터에 잠금 정보를 저장합니다. 객체에 보관 기간 또는 법적 보존을 설정하면 요청에 지정된 버전만 보호됩니다. 객체의 새로운 버전이 생성되는 것을 차단하지 않습니다.

객체를 기존의 보호된 객체와 동일한 키 이름을 가진 버킷에 넣으면 Amazon S3는 해당 객체의 새 버전을 생성하고 요청된 대로 버킷에 저장한 다음 요청이 성공적으로 완료된 것으로 보고합니다. 기존의 보호된 버전의 객체는 보관 구성에 따라 잠긴 상태로 유지됩니다.

S3 객체 잠금을 사용하려면 다음 기본 단계를 수행합니다.

1. 객체 잠금이 활성화된 새 버킷을 생성합니다.
2. (선택 사항) 버킷에 있는 객체의 기본 보관 기간을 구성합니다.
3. 버킷에 잠그고자 하는 객체를 넣습니다.
4. 보호하려는 객체에 보관 기간, 법적 보존 또는 둘 다 적용합니다.

 

참조 문서

https://docs.aws.amazon.com/ko_kr/AmazonS3/latest/userguide/object-lock.html

S3 객체 잠금 사용 - Amazon Simple Storage Service

 

20220830

법률 회사는 대중과 소통해야 합니다. 수백 개의 파일에 공개적으로 액세스할 수 있어야 합니다. 누구든지 지정된 미래 날짜 이전에 파일을 수정하거나 삭제할 수 없습니다.

지문에서 법률 회사는 대중과 소통해야 한다고 하는데, 이는 퍼블릭하게 접속 할수 있도록 구축해야 한다는 것이다.
그렇다고 쓰기 권한을 줘서 파일을 맘대로 수정할수 없도록 해야 한다.

선택지 A에서 모든 파일을 정적 웹 사이트 호스팅용으로 구성된 Amazon S3 버킷에 업로드합니다. 지정된 날짜까지 S3 버킷에 액세스하는 모든 AWS 보안 주체에게 읽기 전용 IAM 권한을 부여합니다.

A에서는 호스팅용으로 S3를 구성하여 업로드 한다음에, 지정된 날짜까지 버킷에 액세스 하는 모든 AWS 보안 주체에게 읽기 전용 IAM 권한을 부여한다고 하는데, 이는 AWS 계정에 대해서 적용하는것이지 대중에게 액세스 할수는 없다.

C에서는 S3 버전 관리가 활성화된 새 Amazon S3 버킷을 생성합니다. 객체 수정 또는 삭제 시 AWS Lambda 함수를 실행하도록 이벤트 트리거를 구성합니다. 객체를 프라이빗 S3 버킷의 원래 버전으로 교체하도록 Lambda 함수를 구성합니다.

지문에서 누구든지 지정된 미래 날짜 이전에 파일을 수정하거나 삭제할 수 없다고 하는데, 선택지에서는 정해진 날짜가 지난후 삭제나 수정이 가능하다는 내용 없이, 누구나 삭제 하거나 수정을 하면 Lambda 함수를 통해서 S3 버킷의 원래 버전으로 교체 하도록 이벤트 트리거를 구성한다고 하는데, 이는 지문과 맞지 않는 내용이다.

D에서는 정적 웹 사이트 호스팅용으로 구성된 Amazon S3 버킷에 모든 파일을 업로드합니다. 파일이 포함된 폴더를 선택합니다. 지정된 날짜에 따라 보존 기간이 있는 S3 Object Lock을 사용합니다. S3 버킷에 액세스하는 모든 AWS 보안 주체에게 읽기 전용 IAM 권한을 부여합니다.

해당 선택지에서 거론된 S3 Object Lock은 S3 객체 잠금이라고 명명되고 있는데, 객체 잠금은 고정된 시간 동안 또는 무기한으로 객체의 삭제 또는 덮어쓰기를 방지하는 데 도움이 된다. 객체 잠금을 사용하면 WORM 스토리지가 필요한 규제 요구 사항을 충족하거나 객체 변경 및 삭제에 대한 보호 계층을 추가하는 데 도움이 된다.
그렇기 때문에 지문에서 미래 날짜 이전에 파일을 수정하거나 삭제 할수 없는것에 적합하지만, IAM 권한을 설정하는것은 완벽하게 퍼블릭하게 구성하는것이 아니라고 생각된다.

마지막 B 선택지 S3 버전 관리가 활성화된 새 Amazon S3 버킷을 생성합니다. 지정된 날짜에 따라 보존 기간이 있는 S3 Object Lock을 사용합니다. 정적 웹 사이트 호스팅을 위해 S3 버킷을 구성합니다. 객체에 대한 읽기 전용 액세스를 허용하도록 S3 버킷 정책을 설정합니다.

버전 관리를 활성화하고 지정된 날짜까지 보존 기간이 있는 S3 객체 잠금을 설정하여 웹 사이트 호스팅을 하면서 객체에 대한 읽기 전용 액세스를 허용하도록 정책을 설정한다고 하는데, 지문과 일치하는 환경을 구축하는것이기 때문에 정답은 B가 된다.