[AWS][SAA][EXAMTOPICS] Question 286

A company's security policy mandates that all AWS API activity in its AWS accounts be tracked and audited on a regular basis. The firm must activate AWS CloudTrail on all existing and future AWS accounts that use AWS Organizations.

Which of the following solutions is the MOST SECURE?

• A. At the organization's root, define and attach a service control policy (SCP) that permits enabling CloudTrail only.
• B. Create IAM groups in the organization's management account as needed. Define and attach an IAM policy to the groups that prevents users from disabling CloudTrail.
• C. Organize accounts into organizational units (OUs). At the organization's root, define and attach a service control policy (SCP) that prevents users from disabling CloudTrail.
• D. Add all existing accounts under the organization's root. Define and attach a service control policy (SCP) to every account that prevents users from disabling CloudTrail.

 

한글 번역

회사의 보안 정책에 따라 AWS 계정의 모든 AWS API 활동을 정기적으로 추적하고 감사해야 합니다. 회사는 AWS Organizations를 사용하는 모든 기존 및 향후 AWS 계정에서 AWS CloudTrail을 활성화해야 합니다.

다음 중 가장 안전한 솔루션은 무엇입니까?

• A. 조직의 루트에서 CloudTrail만 활성화하도록 허용하는 SCP(서비스 제어 정책)를 정의하고 연결합니다.
• B. 필요에 따라 조직의 관리 계정에 IAM 그룹을 생성합니다. 사용자가 CloudTrail을 비활성화하지 못하도록 하는 IAM 정책을 정의하고 그룹에 연결합니다.
• C. 계정을 조직 단위(OU)로 구성합니다. 조직의 루트에서 사용자가 CloudTrail을 비활성화하지 못하도록 하는 SCP(서비스 제어 정책)를 정의하고 연결합니다.
• D. 조직의 루트 아래에 있는 모든 기존 계정을 추가합니다. 사용자가 CloudTrail을 비활성화하지 못하도록 하는 서비스 제어 정책(SCP)을 정의하고 모든 계정에 연결합니다.

 

 

 

정답

• C. Organize accounts into organizational units (OUs). At the organization's root, define and attach a service control policy (SCP) that prevents users from disabling CloudTrail.

 

해설

조직 단위(OU) 관리

조직 단위(OU)를 사용하여 계정을 그룹화하여 단일 단위로 관리할 수 있습니다. 이렇게 하면 계정 관리가 크게 간소화됩니다. 예를 들어 정책 기반 제어를 OU에 연결할 수 있으며 OU 내의 모든 계정은 자동으로 정책을 상속합니다. 단일 조직 내에서 여러 OU를 생성할 수 있으며 다른 OU 내에서 OU를 생성할 수 있습니다. 각 OU는 여러 계정을 포함할 수 있으며 한 OU에서 다른 OU로 계정을 이동할 수 있습니다. 그러나 OU 이름은 상위 OU 또는 루트 내에서 고유해야 합니다.

 

서비스 제어 정책(SCP)

서비스 제어 정책에 대한 상속은 권한이 아래 트리의 모든 부분으로 흐르는 필터처럼 작동합니다. 조직의 역 트리 구조가 루트에서 모든 OU로 연결되고 계정에서 끝나는 분기로 구성되어 있다고 상상해 보십시오. 모든 AWS 권한은 트리의 루트로 흐릅니다. 그런 다음 이러한 권한은 루트, OU 및 계정에 연결된 SCP를 지나서 요청하는 보안 주체(IAM 역할 또는 사용자)에 도달해야 합니다. 각 SCP는 아래 수준으로 전달되는 권한을 필터링할 수 있습니다. 작업이 차단된 경우Deny문을 실행하면 해당 SCP의 영향을 받는 모든 OU 및 계정은 해당 작업에 대한 액세스가 거부됩니다. 낮은 수준의 SCP는 높은 수준의 SCP에 의해 차단된 후에 권한을 추가할 수 없습니다. SCP는 필터링 만 할 수 있습니다. 그들은 권한을 추가하지 않습니다.