본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 29 (확인)

by METAVERSE STORY 2022. 9. 1.
반응형

Amazon S3 buckets are used by an image hosting firm to store its objects. The firm wishes to prevent unintentional public disclosure of the items contained in the S3 buckets. All S3 items in the AWS account as a whole must remain private.

Which solution will satisfy these criteria?

  • A. Use Amazon GuardDuty to monitor S3 bucket policies. Create an automatic remediation action rule that uses an AWS Lambda function to remediate any change that makes the objects public.
  • B. Use AWS Trusted Advisor to find publicly accessible S3 buckets. Configure email notifications in Trusted Advisor when a change is detected. Manually change the S3 bucket policy if it allows public access.
  • C. Use AWS Resource Access Manager to find publicly accessible S3 buckets. Use Amazon Simple Notification Service (Amazon SNS) to invoke an AWS Lambda function when a change is detected. Deploy a Lambda function that programmatically remediates the change.
  • D. Use the S3 Block Public Access feature on the account level. Use AWS Organizations to create a service control policy (SCP) that prevents IAM users from changing the setting. Apply the SCP to the account.

 

한글로 번역

 

Amazon S3 버킷은 이미지 호스팅 회사에서 객체를 저장하는 데 사용합니다. 회사는 S3 버킷에 포함된 항목이 의도하지 않게 공개되는 것을 방지하고자 합니다. AWS 계정의 모든 S3 항목은 전체적으로 비공개로 유지되어야 합니다.

어떤 솔루션이 이러한 기준을 충족할까요?

  • A. Amazon GuardDuty를 사용하여 S3 버킷 정책을 모니터링합니다. AWS Lambda 함수를 사용하여 객체를 공개하는 모든 변경 사항을 수정하는 자동 수정 작업 규칙을 생성합니다.
  • B. AWS Trusted Advisor를 사용하여 공개적으로 액세스 가능한 S3 버킷을 찾습니다. 변경 사항이 감지되면 Trusted Advisor에서 이메일 알림을 구성합니다. 공개 액세스를 허용하는 경우 S3 버킷 정책을 수동으로 변경합니다.
  • C. AWS Resource Access Manager를 사용하여 공개적으로 액세스 가능한 S3 버킷을 찾습니다. 변경이 감지되면 Amazon Simple Notification Service(Amazon SNS)를 사용하여 AWS Lambda 함수를 호출합니다. 프로그래밍 방식으로 변경 사항을 수정하는 Lambda 함수를 배포합니다.
  • D. 계정 수준에서 S3 공개 액세스 차단 기능을 사용합니다. AWS Organizations를 사용하여 IAM 사용자가 설정을 변경하지 못하도록 하는 SCP(서비스 제어 정책)를 생성합니다. SCP를 계정에 적용합니다.

 

 

정답:

  • D. Use the S3 Block Public Access feature on the account level. Use AWS Organizations to create a service control policy (SCP) that prevents IAM users from changing the setting. Apply the SCP to the account.

 

해설:

조직 수준에서 공개 S3 버킷 차단

퍼블릭 S3 사용을 위한 AWS 계정을 지정하고 S3 퍼블릭 액세스 차단 을 활성화하여 다른 모든 S3 버킷이 실수로 퍼블릭이 되는 것을 방지합니다 . 조직 SCP를 사용하여 S3 퍼블릭 액세스 차단 설정을 변경할 수 없는지 확인합니다. S3 퍼블릭 액세스 차단은 계정 수준에서 작동하는 보호 수준과 향후 생성하는 버킷을 포함하여 개별 버킷에서도 작동하는 보호 수준을 제공합니다. ACL 또는 정책에 의해 지정되었는지 여부에 관계없이 기존 공개 액세스를 차단하고 새로 생성된 항목에 공개 액세스가 부여되지 않도록 설정할 수 있습니다. 이렇게 하면 지정된 AWS 계정만 공용 S3 버킷을 가질 수 있고 다른 모든 AWS 계정은 차단할 수 있습니다.

 

참조 문서:

https://aws.amazon.com/ko/blogs/security/top-10-security-best-practices-for-securing-data-in-amazon-s3/

 

Top 10 security best practices for securing data in Amazon S3 | Amazon Web Services

With more than 100 trillion objects in Amazon Simple Storage Service (Amazon S3) and an almost unimaginably broad set of use cases, securing data stored in Amazon S3 is important for every organization. So, we’ve curated the top 10 controls for securing

aws.amazon.com

20220901

Amazon S3 버킷은 이미지 호스팅 회사에서 객체를 저장하는 데 사용합니다. 회사는 S3 버킷에 포함된 항목이 의도하지 않게 공개되는 것을 방지하고자 합니다. AWS 계정의 모든 S3 항목은 전체적으로 비공개로 유지되어야 합니다.

지문은 보안과 관련된 내용으로 생각된다.
그렇기에 선택지 D와 연관성이 크다고 생각된다.
퍼블릭 S3 사용을 위한 AWS 계정을 지정하고 S3 퍼블릭 액세스 차단을 활성화하여 다른 모든 S3 버킷이 실수로 퍼블릭이 되는 것을 방지한다. 조직 SCP를 사용하여 S3 퍼블릭 액세스 차단 설정을 변경할 수 없는지 확인한다.

D 선택지의 계정 수준에서 S3 공개 액세스 차단 기능을 사용합니다. AWS Organizations를 사용하여 IAM 사용자가 설정을 변경하지 못하도록 하는 SCP(서비스 제어 정책)를 생성합니다. SCP를 계정에 적용한다는 내용이 적합하여 정답은 D가 된다.

반응형

댓글