본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 64 (확인)

by METAVERSE STORY 2022. 9. 13.
반응형

An Amazon EC2 instance-based application requires access to an Amazon DynamoDB database. The EC2 instance and DynamoDB table are both managed by the same AWS account. Permissions must be configured by a solutions architect.

Which approach will provide the EC2 instance least privilege access to the DynamoDB table?

  • A. Create an IAM role with the appropriate policy to allow access to the DynamoDB table. Create an instance profile to assign this IAM role to the EC2 instance.
  • B. Create an IAM role with the appropriate policy to allow access to the DynamoDB table. Add the EC2 instance to the trust relationship policy document to allow it to assume the role.
  • C. Create an IAM user with the appropriate policy to allow access to the DynamoDB table. Store the credentials in an Amazon S3 bucket and read them from within the application code directly.
  • D. Create an IAM user with the appropriate policy to allow access to the DynamoDB table. Ensure that the application stores the IAM credentials securely on local storage and uses them to make the DynamoDB calls.

 

한글번역

Amazon EC2 인스턴스 기반 애플리케이션은 Amazon DynamoDB 데이터베이스에 대한 액세스 권한이 필요합니다. EC2 인스턴스와 DynamoDB 테이블은 모두 동일한 AWS 계정으로 관리됩니다. 권한은 솔루션 설계자가 구성해야 합니다.

DynamoDB 테이블에 대한 EC2 인스턴스 최소 권한 액세스를 제공하는 접근 방식은 무엇입니까?

  • A. DynamoDB 테이블에 대한 액세스를 허용하는 적절한 정책으로 IAM 역할을 생성합니다. 이 IAM 역할을 EC2 인스턴스에 할당하려면 인스턴스 프로파일을 생성하십시오.
  • B. DynamoDB 테이블에 대한 액세스를 허용하는 적절한 정책으로 IAM 역할을 생성합니다. 역할을 맡을 수 있도록 EC2 인스턴스를 신뢰 관계 정책 문서에 추가합니다.
  • C. DynamoDB 테이블에 대한 액세스를 허용하는 적절한 정책으로 IAM 사용자를 생성합니다. 자격 증명을 Amazon S3 버킷에 저장하고 애플리케이션 코드 내에서 직접 읽습니다.
  • D. DynamoDB 테이블에 대한 액세스를 허용하는 적절한 정책으로 IAM 사용자를 생성합니다. 애플리케이션이 IAM 자격 증명을 로컬 스토리지에 안전하게 저장하고 이를 사용하여 DynamoDB를 호출하는지 확인합니다.

 

 

정답

  • A. Create an IAM role with the appropriate policy to allow access to the DynamoDB table. Create an instance profile to assign this IAM role to the EC2 instance.

해설

인스턴스 프로파일

Amazon EC2에서는 인스턴스 프로파일을 IAM 역할의 컨테이너로 사용합니다. IAM 콘솔을 사용하여 IAM 역할을 생성하면 인스턴스 프로파일이 자동으로 생성되고 해당 역할과 동일한 이름이 지정됩니다. Amazon EC2 콘솔을 사용하여 IAM 역할로 인스턴스를 시작하거나 인스턴스에 IAM 역할을 연결하는 경우 인스턴스 프로파일 이름 목록을 기반으로 역할을 선택합니다.

AWS CLI, API 또는 AWS SDK를 사용하여 역할을 생성하면 역할과 인스턴스 프로파일이 별개의 작업으로 생성되며 이름은 각각 다를 수 있습니다. AWS CLI, API 또는 AWS SDK를 사용하여 IAM 역할로 인스턴스를 시작하거나 인스턴스에 IAM 역할을 연결하는 경우 인스턴스 프로파일 이름을 지정합니다.

인스턴스 프로파일은 하나의 IAM 역할만 포함할 수 있습니다. 이 한도는 늘릴 수 없습니다.

 

역할은 사용자, Amazon 서비스 및 EC2 인스턴스와 같이 "나는 누구인가?"를 정의하는 다른 보안 주체가 "수임"하도록 설계되었습니다.

반면에 인스턴스 프로파일은 "나는 누구인가?"를 정의합니다. IAM 사용자가 사람을 나타내는 것처럼 인스턴스 프로파일은 EC2 인스턴스를 나타냅니다 . EC2 인스턴스 프로파일이 가진 유일한 권한은 역할을 맡을 수 있는 권한입니다.

따라서 EC2 인스턴스는 EC2 인스턴스 프로파일에서 실행되어 인스턴스가 "누구"인지 정의합니다. 그런 다음 IAM 역할을 "수임"하여 궁극적으로 실질적인 권한을 부여합니다.

AWS Management 콘솔을 사용하여 EC2에 대한 IAM 역할을 생성하면 EC2 인스턴스 프로파일과 IAM 역할이 모두 생성됩니다.

 

참조 문서

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

 

Amazon EC2의 IAM 역할 - Amazon Elastic Compute Cloud

IAM 역할과 함께 인스턴스 메타데이터를 사용하는 서비스를 사용하는 경우 서비스에서 사용자 대신 HTTP 호출을 수행할 때 자격 증명이 노출되지 않도록 주의하세요. 자격 증명이 노출될 수 있는

docs.aws.amazon.com

 

https://medium.com/devops-dudes/the-difference-between-an-aws-role-and-an-instance-profile-ae81abd700d#:~:text=Roles%20are%20designed%20to%20be,instance%20profile%20represents%20EC2%20instances.

 

The difference between an AWS role and an instance profile

Breaking down AWS IAM

medium.com

20220913

Amazon EC2 인스턴스 기반 애플리케이션은 Amazon DynamoDB 데이터베이스에 대한 액세스 권한이 필요합니다. EC2 인스턴스와 DynamoDB 테이블은 모두 동일한 AWS 계정으로 관리됩니다. 권한은 솔루션 설계자가 구성해야 합니다.

DynamoDB 테이블에 대한 EC2 인스턴스 최소 권한 액세스를 제공하는 접근 방식은 무엇입니까?

DynamoDB 데이터베이스에 대한 액세스 권한이 필요하다고 한다. 최소 권한 액세스를 제공하는 접근 방식은, 
선택지 A"DynamoDB 테이블에 대한 액세스를 허용하는 적절한 정책으로 IAM 역할을 생성합니다. 이 IAM 역할을 EC2 인스턴스에 할당하려면 인스턴스 프로파일을 생성하십시오."

Amazon EC2에서는 인스턴스 프로파일을 IAM 역할의 컨테이너로 사용한다. IAM 콘솔을 사용하여 IAM 역할을 생성하면 인스턴스 프로파일이 자동으로 생성되고 해당 역할과 동일한 이름이 지정된다.
Amazon EC2 콘솔을 사용하여 IAM 역할로 인스턴스를 시작하거나 인스턴스에 IAM 역할을 연결하는 경우 인스턴스 프로파일 이름 목록을 기반으로 역할을 선택한다.

역할은 사용자, Amazon 서비스 및 EC2 인스턴스와 같이 "나는 누구인가?"를 정의하는 다른 보안 주체가 "수임"하도록 설계되었다.

반면에 인스턴스 프로파일은 "나는 누구인가?"를 정의한다. IAM 사용자가 사람을 나타내는 것처럼 인스턴스 프로파일은 EC2 인스턴스를 나타낸다 . EC2 인스턴스 프로파일이 가진 유일한 권한은 역할을 맡을 수 있는 권한이다.

따라서 EC2 인스턴스는 EC2 인스턴스 프로파일에서 실행되어 인스턴스가 "누구"인지 정의한다. 그런 다음 IAM 역할을 "수임"하여 궁극적으로 실질적인 권한을 부여한다.

AWS Management 콘솔을 사용하여 EC2에 대한 IAM 역할을 생성하면 EC2 인스턴스 프로파일과 IAM 역할이 모두 생성된다.

 

반응형

댓글