For each of its developer accounts, a corporation has configured AWS CloudTrail logs to transport log files to an Amazon S3 bucket. The organization has established a centralized AWS account for the purpose of facilitating administration and auditing. Internal auditors need access to CloudTrail logs, however access to all developer account users must be limited. The solution should be both secure and efficient.
How should a solutions architect address these considerations?
- A. Configure an AWS Lambda function in each developer account to copy the log files to the central account. Create an IAM role in the central account for the auditor. Attach an IAM policy providing read-only permissions to the bucket.
- B. Configure CloudTrail from each developer account to deliver the log files to an S3 bucket in the central account. Create an IAM user in the central account for the auditor. Attach an IAM policy providing full permissions to the bucket.
- C. Configure CloudTrail from each developer account to deliver the log files to an S3 bucket in the central account. Create an IAM role in the central account for the auditor. Attach an IAM policy providing read-only permissions to the bucket.
- D. Configure an AWS Lambda function in the central account to copy the log files from the S3 bucket in each developer account. Create an IAM user in the central account for the auditor. Attach an IAM policy providing full permissions to the bucket.
한글번역
기업은 각 개발자 계정에 대해 Amazon S3 버킷으로 로그 파일을 전송하도록 AWS CloudTrail 로그를 구성했습니다. 조직은 관리 및 감사를 용이하게 하기 위해 중앙 집중식 AWS 계정을 설정했습니다. 내부 감사자는 CloudTrail 로그에 액세스해야 하지만 모든 개발자 계정 사용자에 대한 액세스는 제한되어야 합니다. 솔루션은 안전하고 효율적이어야 합니다.
솔루션 설계자는 이러한 고려 사항을 어떻게 해결해야 합니까?
- A. 각 개발자 계정에서 AWS Lambda 함수를 구성하여 로그 파일을 중앙 계정에 복사합니다. 감사자의 중앙 계정에서 IAM 역할을 생성합니다. 버킷에 읽기 전용 권한을 제공하는 IAM 정책을 연결합니다.
- B. 각 개발자 계정에서 CloudTrail을 구성하여 로그 파일을 중앙 계정의 S3 버킷으로 전달합니다. 감사자의 중앙 계정에 IAM 사용자를 생성합니다. 버킷에 대한 전체 권한을 제공하는 IAM 정책을 연결합니다.
- C. 각 개발자 계정에서 CloudTrail을 구성하여 로그 파일을 중앙 계정의 S3 버킷으로 전달합니다. 감사자의 중앙 계정에서 IAM 역할을 생성합니다. 버킷에 읽기 전용 권한을 제공하는 IAM 정책을 연결합니다.
- D. 각 개발자 계정의 S3 버킷에서 로그 파일을 복사하도록 중앙 계정에서 AWS Lambda 함수를 구성합니다. 감사자의 중앙 계정에 IAM 사용자를 생성합니다. 버킷에 대한 전체 권한을 제공하는 IAM 정책을 연결합니다.
정답
- C. Configure CloudTrail from each developer account to deliver the log files to an S3 bucket in the central account. Create an IAM role in the central account for the auditor. Attach an IAM policy providing read-only permissions to the bucket.
해설
각 개발자 계정에 대해 Amazon S3 버킷으로 로그 파일을 전송하도록 AWS CloudTrail 로그를 구성
내부 감사자는 CloudTrail 로그에 액세스해야 하지만 모든 개발자 계정 사용자에 대한 액세스는 제한
이 두가지를 만족시키려면 먼저 각 개발자 계정에서 CloudTrail을 구성 후 로그파일을 S3 버킷으로 보내야 한다. 그 이후 감시자의 중앙 계정 IAM역할이 필요한데 개발자 계정 사용자에 대한 액세스에 제한을 줘야하기 때문에 읽기 정용 정책을 설정하여 개발자 계정에 대한 접근 제한을 준다.
참조 문서
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/best-practices.html#grant-least-privilege
IAM의 보안 모범 사례 - AWS Identity and Access Management
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
여러 계정에서 CloudTrail 로그 파일 수신 - AWS CloudTrail
여러 계정에서 CloudTrail 로그 파일 수신 CloudTrail을 통해 여러 AWS 계정에서 로그 파일을 하나의 Amazon S3 버킷으로 전송할 수 있습니다. 예를 들어 계정 ID가 111111111111, 222222222222, 333333333333 및 444444444
docs.aws.amazon.com
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 115 (0) | 2022.06.24 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 114 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 113 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 112 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 110 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 109 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 108 (0) | 2022.06.24 |
| [AWS][SAA][EXAMTOPICS] Question 107 (0) | 2022.06.24 |
댓글