본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 129

by METAVERSE STORY 2022. 6. 27.
반응형

A solutions architect is migrating static content from an Amazon EC2 instance-hosted public website to an Amazon S3 bucket. The static assets will be distributed using an Amazon CloudFront distribution. The EC2 instances' security group limits access to a subset of IP ranges. Access to static material should be regulated in a similar manner.

Which combination of actions will satisfy these criteria? (Select two.)

  • A. Create an origin access identity (OAI) and associate it with the distribution. Change the permissions in the bucket policy so that only the OAI can read the objects.
  • B. Create an AWS WAF web ACL that includes the same IP restrictions that exist in the EC2 security group. Associate this new web ACL with the CloudFront distribution.
  • C. Create a new security group that includes the same IP restrictions that exist in the current EC2 security group. Associate this new security group with the CloudFront distribution.
  • D. Create a new security group that includes the same IP restrictions that exist in the current EC2 security group. Associate this new security group with the S3 bucket hosting the static content.
  • E. Create a new IAM role and associate the role with the distribution. Change the permissions either on the S3 bucket or on the files within the S3 bucket so that only the newly created IAM role has read and download permissions.

 

한글 번역

솔루션 설계자는 Amazon EC2 인스턴스 호스팅 공개 웹 사이트에서 Amazon S3 버킷으로 정적 콘텐츠를 마이그레이션하고 있습니다. 정적 자산은 Amazon CloudFront 배포를 사용하여 배포됩니다. EC2 인스턴스의 보안 그룹은 IP 범위의 하위 집합에 대한 액세스를 제한합니다. 정적 물질에 대한 접근은 유사한 방식으로 규제되어야 합니다.

이러한 기준을 충족하는 작업 조합은 무엇입니까? (2개를 선택하세요.)

  • A. 오리진 액세스 ID(OAI)를 생성하고 이를 배포와 연결합니다. OAI만 객체를 읽을 수 있도록 버킷 정책의 권한을 변경합니다.
  • B. EC2 보안 그룹에 존재하는 것과 동일한 IP 제한을 포함하는 AWS WAF 웹 ACL을 생성합니다. 이 새 웹 ACL을 CloudFront 배포와 연결합니다.
  • C. 현재 EC2 보안 그룹에 존재하는 것과 동일한 IP 제한을 포함하는 새 보안 그룹을 생성합니다. 이 새 보안 그룹을 CloudFront 배포와 연결합니다.
  • D. 현재 EC2 보안 그룹에 존재하는 것과 동일한 IP 제한을 포함하는 새 보안 그룹을 생성합니다. 이 새 보안 그룹을 정적 콘텐츠를 호스팅하는 S3 버킷과 연결합니다.
  • E. 새 IAM 역할을 생성하고 해당 역할을 배포와 연결합니다. 새로 생성된 IAM 역할만 읽기 및 다운로드 권한을 갖도록 S3 버킷 또는 S3 버킷 내의 파일에 대한 권한을 변경합니다.

 

 

 

정답

A,B

 

해설

보안그룹은 인스턴스 단위에서 작동한다. 

그에 반해서 Network ACL은 서브넷 단위에서 작동한다. 그러므로 C와 D는 답변이 될 수 없다.

 

웹 액세스 제어 목록(웹 ACL)

웹 ACL(액세스 제어 목록)을 사용하면 보호된 리소스가 응답하는 모든 HTTP(S) 웹 요청을 세밀하게 제어할 수 있습니다. Amazon CloudFront, Amazon API Gateway, Application Load Balancer 및 AWS AppSync 리소스를 보호할 수 있습니다.

다음과 같은 기준을 사용하여 요청을 허용하거나 차단할 수 있습니다.

  • 요청의 IP 주소 출처
  • 요청의 원산지 국가
  • 요청의 일부에서 문자열 일치 또는 정규식(regex) 일치
  • 요청의 특정 부분 크기
  • 악성 SQL 코드 또는 스크립팅 탐지

이러한 조건의 조합을 테스트할 수도 있습니다. 지정된 조건을 충족할 뿐만 아니라 5분 동안 지정된 요청 수를 초과하는 웹 요청을 차단하거나 계산할 수 있습니다. 논리 연산자를 사용하여 조건을 결합할 수 있습니다. 요청에 대해 CAPTCHA 컨트롤을 실행할 수도 있습니다.

콘텐츠에 대한 액세스 제한

인터넷을 통해 콘텐츠를 배포하는 많은 회사에서는 일부 사용자를 대상으로 하는 문서, 비즈니스 데이터, 미디어 스트림 또는 콘텐츠에 대한 액세스를 제한하려고 합니다. Amazon CloudFront를 사용하여 이 콘텐츠를 안전하게 제공하기 위해 다음 중 하나 이상을 수행할 수 있습니다.

서명된 URL 또는 쿠키 사용

서명된 URL 또는 서명된 쿠키를 사용하여 CloudFront를 통해 이 비공개 콘텐츠를 제공하여 선택한 사용자(예: 요금을 지불한 사용자)를 대상으로 하는 콘텐츠에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 서명된 URL 및 서명된 쿠키로 비공개 콘텐츠 제공 을 참조하십시오 .

Amazon S3 버킷의 콘텐츠에 대한 액세스 제한

예를 들어 CloudFront 서명된 URL 또는 서명된 쿠키를 사용하여 콘텐츠에 대한 액세스를 제한하는 경우 사람들이 파일에 대한 직접 URL을 사용하여 파일을 보는 것도 원하지 않습니다. 대신 보호 기능이 작동하도록 CloudFront URL을 사용해서만 파일에 액세스하도록 하고 싶습니다.

Amazon S3 버킷을 CloudFront 배포의 오리진으로 사용하는 경우 오리진 액세스 ID(OAI)를 설정하여 콘텐츠에 대한 직접 액세스를 관리할 수 있습니다. 오리진 액세스 자격 증명은 Amazon S3 콘텐츠의 전체 또는 일부만 보호할 수 있도록 배포와 연결할 수 있는 특별한 CloudFront 사용자 자격 증명입니다. 이를 구성하는 방법에 대한 자세한 내용은 원본 액세스 ID(OAI)를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한 단원을 참조하십시오 .

Application Load Balancer에서 제공하는 콘텐츠에 대한 액세스 제한

Elastic Load Balancing의 Application Load Balancer와 함께 CloudFront를 오리진으로 사용하는 경우 사용자가 Application Load Balancer에 직접 액세스하지 못하도록 CloudFront를 구성할 수 있습니다. 이를 통해 사용자는 CloudFront를 통해서만 Application Load Balancer에 액세스할 수 있으므로 CloudFront 사용의 이점을 얻을 수 있습니다. 자세한 내용은 Application Load Balancer에 대한 액세스 제한 단원을 참조하십시오 .

AWS WAF 웹 ACL 사용

웹 애플리케이션 방화벽 서비스인 AWS WAF를 사용하여 웹 ACL(액세스 제어 목록)을 생성하여 콘텐츠에 대한 액세스를 제한할 수 있습니다. 요청이 시작된 IP 주소 또는 쿼리 문자열 값과 같이 지정한 조건에 따라 CloudFront는 요청된 콘텐츠 또는 HTTP 403 상태 코드(금지됨)로 요청에 응답합니다. 자세한 내용은 AWS WAF를 사용하여 콘텐츠에 대한 액세스 제어를 참조하십시오 .

지역 제한 사용

지역 차단 이라고도 하는 지리적 제한 을 사용 하여 특정 지리적 위치에 있는 사용자가 CloudFront 배포를 통해 제공하는 콘텐츠에 액세스하지 못하도록 할 수 있습니다. 지리적 제한을 구성할 때 선택할 수 있는 몇 가지 옵션이 있습니다. 자세한 내용은 콘텐츠의 지리적 배포 제한 을 참조하십시오 .

 

참조 문서

https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html

 

Web access control lists (web ACLs) - AWS WAF, AWS Firewall Manager, and AWS Shield Advanced

Web access control lists (web ACLs) A web access control list (web ACL) gives you fine-grained control over all of the HTTP(S) web requests that your protected resource responds to. You can protect Amazon CloudFront, Amazon API Gateway, Application Load Ba

docs.aws.amazon.com

 

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/data-protection-summary.html#data-protection-summary-restrict-access

 

Data protection in Amazon CloudFront - Amazon CloudFront

Data protection in Amazon CloudFront The AWS shared responsibility model applies to data protection in Amazon CloudFront. As described in this model, AWS is responsible for protecting the global infrastructure that runs all of the AWS Cloud. You are respon

docs.aws.amazon.com

 

반응형

댓글