To facilitate experimentation and agility, a business enables developers to link current IAM policies to existing IAM roles. The security operations team, on the other hand, is worried that the developers may attach the current administrator policy, allowing them to bypass any other security rules.
What approach should a solutions architect use in dealing with this issue?
- A. Create an Amazon SNS topic to send an alert every time a developer creates a new policy.
- B. Use service control policies to disable IAM activity across all account in the organizational unit.
- C. Prevent the developers from attaching any policies and assign all IAM duties to the security operations team.
- D. Set an IAM permissions boundary on the developer IAM role that explicitly denies attaching the administrator policy.
한글로 번역
실험과 민첩성을 촉진하기 위해 비즈니스에서는 개발자가 현재 IAM 정책을 기존 IAM 역할에 연결할 수 있습니다. 반면 보안 운영 팀은 개발자가 현재 관리자 정책을 첨부하여 다른 보안 규칙을 우회할 수 있다고 우려하고 있습니다.
솔루션 설계자는 이 문제를 처리할 때 어떤 접근 방식을 사용해야 합니까?
- A. 개발자가 새 정책을 생성할 때마다 알림을 보내도록 Amazon SNS 주제를 생성합니다.
- B. 서비스 제어 정책을 사용하여 조직 단위의 모든 계정에서 IAM 활동을 비활성화합니다.
- C. 개발자가 정책을 첨부하지 못하도록 하고 모든 IAM 업무를 보안 운영 팀에 할당합니다.
- D. 관리자 정책 연결을 명시적으로 거부하는 개발자 IAM 역할에 대한 IAM 권한 경계를 설정합니다.
정답:
- D. Set an IAM permissions boundary on the developer IAM role that explicitly denies attaching the administrator policy.
해설:
IAM 엔터티(사용자 또는 역할)에 대한 권한 경계를 AWS지원합니다. 권한 경계는 관리형 정책을 사용하여 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 고급 기능입니다. 엔터티의 권한 경계는 자격 증명 기반 정책 및 관련 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다.
정책 유형에 대한 자세한 정보는 정책 유형 단원을 참조하십시오.
AWS 관리형 정책 또는 고객 관리형 정책을 사용하여 IAM 엔터티(사용자 또는 역할) 경계를 설정할 수 있습니다. 이 정책은 사용자 또는 역할에 대해 최대 권한을 제한합니다.
참조 문서:
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_boundaries.html
IAM 엔터티의 권한 범위 - AWS Identity and Access Management
Zhang의 정책을 통해 자신은 액세스할 수 없는 Amazon S3 리소스에 액세스할 수 있는 사용자를 생성할 수 있습니다. Maria는 이러한 관리 작업을 위임하여 Amazon S3에 대한 액세스 권한이 있는 Zhang을 효
docs.aws.amazon.com
20220906
실험과 민첩성을 촉진하기 위해 비즈니스에서는 개발자가 현재 IAM 정책을 기존 IAM 역할에 연결할 수 있습니다. 반면 보안 운영 팀은 개발자가 현재 관리자 정책을 첨부하여 다른 보안 규칙을 우회할 수 있다고 우려하고 있습니다.
솔루션 설계자는 이 문제를 처리할 때 어떤 접근 방식을 사용해야 합니까?
IAM 정책 관련 보안 운영 팀은 개발자가 연재 관리자 정책을 첨부하여 다른 보안 규칙을 우회할 수 있다고 우려 한다고 한다. 이는 바로 보안에 대한 우려사항이라 볼수 있다.
선택지 D 관리자 정책 연결을 명시적으로 거부하는 개발자 IAM 역할에 대한 IAM 권한 경계를 설정합니다.
IAM 엔터티에 대한 권한 경계를 AWS에서 지원한다. 권한 경계는 관리형 정책을 사용하여 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 고급 기능이다.
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 45 (확인) (0) | 2022.09.06 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 44 (확인) (0) | 2022.09.06 |
| [AWS][SAA][EXAMTOPICS] Question 43 (확인) (0) | 2022.09.06 |
| [AWS][SAA][EXAMTOPICS] Question 42 (확인) (0) | 2022.09.06 |
| [AWS][SAA][EXAMTOPICS] Question 40 (확인) (0) | 2022.09.05 |
| [AWS][SAA][EXAMTOPICS] Question 39 (확인) (0) | 2022.09.05 |
| [AWS][SAA][EXAMTOPICS] Question 38 (확인) (0) | 2022.09.05 |
| [AWS][SAA][EXAMTOPICS][공유] Question 37 (확인) (0) | 2022.09.05 |
댓글