[AWS][SAA][EXAMTOPICS] Question 179

An IAM group is associated with the following IAM policy. This is the group's sole policy.

What are the policy's effective IAM permissions for group members?

• A. Group members are permitted any Amazon EC2 action within the us-east-1 Region. Statements after the Allow permission are not applied.
• B. Group members are denied any Amazon EC2 permissions in the us-east-1 Region unless they are logged in with multi-factor authentication (MFA).
• C. Group members are allowed the ec2:StopInstances and ec2:TerminateInstances permissions for all Regions when logged in with multi-factor authentication (MFA). Group members are permitted any other Amazon EC2 action.
• D. Group members are allowed the ec2:StopInstances and ec2:TerminateInstances permissions for the us-east-1 Region only when logged in with multi-factor authentication (MFA). Group members are permitted any other Amazon EC2 action within the us-east-1 Region.

 

한글 번역

IAM 그룹은 다음 IAM 정책과 연결됩니다. 이것이 그룹의 유일한 정책입니다.

그룹 구성원에 대한 정책의 유효 IAM 권한은 무엇입니까?

• A. 그룹 구성원은 us-east-1 리전 내에서 모든 Amazon EC2 작업이 허용됩니다. Allow 권한 이후의 문장은 적용되지 않습니다.
• B. 그룹 구성원은 MFA(다단계 인증)로 로그인하지 않는 한 us-east-1 리전에서 Amazon EC2 권한이 거부됩니다.
• C. 그룹 구성원은 MFA(다단계 인증)로 로그인할 때 모든 리전에 대해 ec2:StopInstances 및 ec2:TerminateInstances 권한이 허용됩니다. 그룹 구성원은 다른 모든 Amazon EC2 작업이 허용됩니다.
• D. 그룹 구성원은 MFA(다단계 인증)로 로그인한 경우에만 us-east-1 리전에 대한 ec2:StopInstances 및 ec2:TerminateInstances 권한이 허용됩니다. 그룹 구성원은 us-east-1 리전 내에서 다른 모든 Amazon EC2 작업이 허용됩니다.

 

 

 

해설

먼저 IAM Role은 Deny 정책이 Allow 정책보다 우선 적용 된다.

그러므로 먼저 Deny 정책을 살펴보면 Action에 EC2 관련해서 EC2를 멈추고 종료시키는 행위를 금지 시켰다.

그 이후 Condition을 살펴보면 aws MFA를 하지 않는다는 조건이 붙어있다. 

그 다음 Allow 정책을 보면 지역은 us-east-1 로 지정이 되어있고 Action은 ec2에 대한 모든 권한이다. 

그러므로 MFA 인증을 한  경우에만 그룹은 ec2 생성과 종료 권한을 가진다. 그룹 구성원은 us-east-1 리전 내 다른 모든 Amazon EC2 작업이 허용된다.