A business outsources its marketplace analytics management to a third-party partner. The vendor requires restricted programmatic access to the company's account's resources. All necessary policies have been established to ensure acceptable access.
Which new component provides the vendor the MOST SECURE access to the account?
- A. Create an IAM user.
- B. Implement a service control policy (SCP)
- C. Use a cross-account role with an external ID.
- D. Configure a single sign-on (SSO) identity provider.
한글 번역
기업은 시장 분석 관리를 제3자 파트너에게 아웃소싱합니다. 공급업체는 회사 계정의 리소스에 대한 제한된 프로그래밍 방식 액세스를 요구합니다. 허용 가능한 액세스를 보장하기 위해 필요한 모든 정책이 수립되었습니다.
벤더에게 계정에 대한 가장 안전한 액세스를 제공하는 새로운 구성 요소는 무엇입니까?
- A. IAM 사용자를 생성합니다.
- B. 서비스 제어 정책(SCP) 구현
- C. 외부 ID가 있는 교차 계정 역할을 사용합니다.
- D. SSO(Single Sign-On) ID 공급자를 구성합니다.
정답
- C. Use a cross-account role with an external ID.
해설
AWS 리소스에 대한 액세스 권한을 제3자에게 부여할 때 외부 ID를 사용하는 방법
때때로 제3자에게 AWS 리소스에 대한 액세스 권한을 부여해야 합니다(대리인 액세스). 이 시나리오의 한 가지 중요한 측면은 역할을 맡을 수 있는 사람을 지정하기 위해 IAM 역할 신뢰 정책에서 사용할 수 있는 선택적 정보인 외부 ID 입니다.
외부 ID는 언제 사용해야 하나요?
- 귀하는 AWS 계정 소유자이고 귀하 외에 다른 AWS 계정에 액세스하는 제3자의 역할을 구성했습니다. 귀하의 역할을 맡을 때 포함하는 외부 ID를 제3자에게 요청해야 합니다. 그런 다음 역할의 신뢰 정책에서 해당 외부 ID를 확인합니다. 이렇게 하면 외부 당사자가 귀하를 대신할 때만 귀하의 역할을 맡을 수 있습니다.
- 귀하는 이전 시나리오에서 Example Corp과 같은 다양한 고객을 대신하여 역할을 맡는 위치에 있습니다. 각 고객에게 고유한 외부 ID를 할당하고 역할의 신뢰 정책에 외부 ID를 추가하도록 지시해야 합니다. 그런 다음 역할 수임 요청에 항상 올바른 외부 ID를 포함해야 합니다.AssumeRoleAPI 호출 에서 항상 외부 ID를 지정해야 합니다. 또한 고객이 역할 ARN을 제공할 때 올바른 외부 ID가 있거나 없는 역할을 맡을 수 있는지 테스트하십시오. 올바른 외부 ID 없이 역할을 맡을 수 있는 경우 시스템에 고객의 역할 ARN을 저장하지 마십시오. 고객이 올바른 외부 ID를 요구하도록 역할 신뢰 정책을 업데이트할 때까지 기다리십시오. 이러한 방식으로 고객이 올바른 일을 하도록 도우며, 이는 혼란스러운 대리인 문제로부터 두 고객 모두를 보호하는 데 도움이 됩니다.
- 각 고객에 대한 고유 식별자가 이미 있을 수 있으며 이 고유 ID는 외부 ID로 사용하기에 충분합니다. 외부 ID는 이 목적을 위해 명시적으로 생성하거나 별도로 추적해야 하는 특별한 값이 아닙니다.
참조 문서
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
How to use an external ID when granting access to your AWS resources to a third party - AWS Identity and Access Management
Example Corp can use any string value they want for the ExternalId, as long as it is unique for each customer. It can be a customer account number or even a random string of characters, as long as no two customers have the same value. It is not intended to
docs.aws.amazon.com
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 164 (0) | 2022.06.28 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 163 (0) | 2022.06.28 |
| [AWS][SAA][EXAMTOPICS] Question 162 (0) | 2022.06.28 |
| [AWS][SAA][EXAMTOPICS] Question 161 (0) | 2022.06.28 |
| [AWS][SAA][EXAMTOPICS] Question 159 (0) | 2022.06.28 |
| [AWS][SAA][EXAMTOPICS] Question 158 (0) | 2022.06.28 |
| [AWS][SAA][EXAMTOPICS] Question 157 (0) | 2022.06.28 |
| [AWS][SAA][EXAMTOPICS] Question 156 (0) | 2022.06.28 |
댓글