[AWS][SAA][EXAMTOPICS][공유][시험에 출제] Question 54 (확인)

The following policy was developed by an Amazon EC2 administrator and assigned to an IAM group including numerous users:

What impact does this policy have?

• A. Users can terminate an EC2 instance in any AWS Region except us-east-1.
• B. Users can terminate an EC2 instance with the IP address 10.100.100.1 in the us-east-1 Region.
• C. Users can terminate an EC2 instance in the us-east-1 Region when the user's source IP is 10.100.100.254.
• D. Users cannot terminate an EC2 instance in the us-east-1 Region when the user's source IP is 10.100.100.254.

 

한글로 번역

다음 정책은 Amazon EC2 관리자가 개발했으며 수많은 사용자를 포함하는 IAM 그룹에 할당되었습니다.

이 정책은 어떤 영향을 미칩니까?

• A. 사용자는 us-east-1을 제외한 모든 AWS 리전에서 EC2 인스턴스를 종료할 수 있습니다.
• B. 사용자는 us-east-1 리전에서 IP 주소가 10.100.100.1인 EC2 인스턴스를 종료할 수 있습니다.
• C. 사용자는 사용자의 소스 IP가 10.100.100.254일 때 us-east-1 리전에서 EC2 인스턴스를 종료할 수 있습니다.
• D. 사용자의 소스 IP가 10.100.100.254인 경우 사용자는 us-east-1 리전에서 EC2 인스턴스를 종료할 수 없습니다.

 

 

 

정답:

• C. Users can terminate an EC2 instance in the us-east-1 Region when the user's source IP is 10.100.100.254.

 

해설:

1. 거부 정책은 AWS에 따라 항상 허용 정책보다 우선한다.
2. 첫 번째 명령문은 IP 주소 범위에서 오는 ec2 종료 작업을 허용한다.(조건은 IP 범위)
3. 두 번째 명령문은 ec2에 대한 모든 작업을 거부한다(이제 조건은 StringNotEquals, 이는 AWS에 따른 부정 일치를 의미함) 이는 요청이 us-east-1에서 오지 않는 한 ec2에 대한 모든 작업을 거부한다는 것을 의미한다. 즉, us-east-1에서만 작업을 허용한다.(역 일치). 이렇게 하면 옵션 A와 D를 제거할 수 있다.
4. 이제 거부 규칙이 허용 규칙보다 먼저 적용된다는 점을 기억해라
5. 이제 사용자는 IP 범위 10....범위가 무엇이든 간에 us-east-1의 인스턴스를 종료할 수 있다.

20220909

다음 정책은 Amazon EC2 관리자가 개발했으며 수많은 사용자를 포함하는 IAM 그룹에 할당되었습니다.

여기서 적용한 정책을 살펴 보자면, 우선 허용에 대한 정책인데, 액션에 해당하는 항목이 Instance를 Terminate하는 정책이다.
컨디션에 해당하는 항목은 접속 IP가 10.100점대 IP에서 접속했을시이다.
AWS 정책은 거부 정책이 허용 정책보다 우선시 되어 있다.
거부 정책을 살표 보면, EC2에 해당하는 모든 정책은 거부하는데 그 조건은 us-east-1의 리전이 아닐때 해당한다.

그렇다면 정답은 선택지 C "사용자는 사용자의 소스 IP가 10.100.100.254일 때 us-east-1 리전에서 EC2 인스턴스를 종료할 수 있습니다." 10.100점대 IP에서 접속했을때, us-east-1 리전에서만 EC2를 Terminate할수 있는 정책이다.