AWS Organizations enables a business to manage many AWS accounts for various departments. The management account has an Amazon S3 bucket where project reports are stored. The corporation wishes to restrict access to this S3 bucket to people with AWS Organizations accounts.
Which method satisfies these criteria with the FEASTEST operational overhead?
- A. Add the aws:PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.
- B. Create an organizational unit (OU) for each department. Add the aws:PrincipalOrgPaths global condition key to the S3 bucket policy.
- C. Use AWS CloudTrail to monitor the CreateAccount, InviteAccountToOrganization, LeaveOrganization, and RemoveAccountFromOrganization events. Update the S3 bucket policy accordingly.
- D. Tag each user that needs access to the S3 bucket. Add the aws:PrincipalTag global condition key to the S3 bucket policy.
한글 번역
AWS Organizations를 사용하면 기업에서 다양한 부서의 많은 AWS 계정을 관리할 수 있습니다. 관리 계정에는 프로젝트 보고서가 저장되는 Amazon S3 버킷이 있습니다. 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations 계정이 있는 사람들로 제한하려고 합니다.
FEASTEST 운영 오버헤드로 이러한 기준을 충족하는 방법은 무엇입니까?
- A. S3 버킷 정책에 조직 ID에 대한 참조와 함께 aws:PrincipalOrgID 전역 조건 키를 추가합니다.
- B. 각 부서에 대한 조직 단위(OU)를 만듭니다. aws:PrincipalOrgPaths 전역 조건 키를 S3 버킷 정책에 추가합니다.
- C. AWS CloudTrail을 사용하여 CreateAccount, InviteAccountToOrganization, LeaveOrganization 및 RemoveAccountFromOrganization 이벤트를 모니터링합니다. 그에 따라 S3 버킷 정책을 업데이트합니다.
- D. S3 버킷에 액세스해야 하는 각 사용자에 태그를 지정합니다. aws:PrincipalTag 전역 조건 키를 S3 버킷 정책에 추가합니다.
정답
- A. Add the aws:PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.
해설
이제 AWS Identity and Access Management(IAM)를 사용하면 IAM 보안 주체(사용자 및 역할) 의 AWS 조직 을 사용하여 AWS 리소스에 대한 액세스를 더 쉽게 제어할 수 있습니다 . 일부 서비스의 경우 리소스 기반 정책 을 사용하여 권한을 부여하여 리소스에 액세스할 수 있는 계정 및 보안 주체와 해당 리소스에 대해 수행할 수 있는 작업을 지정합니다. 이제 이러한 정책에서 새 조건 키 aws:PrincipalOrgID 를 사용 하여 리소스 에 액세스하는 모든 보안 주체가 조직의 계정(마스터 계정 포함)에서 오도록 요구할 수 있습니다. 예를 들어 Amazon S3 버킷 정책 이 있다고 가정해 보겠습니다.조직 내 AWS 계정의 보안 주체에 대해서만 액세스를 제한하려고 합니다. 이를 위해 aws:PrincipalOrgID 조건을 정의 하고 버킷 정책에서 값을 조직 ID 로 설정할 수 있습니다. 조직 ID는 S3 버킷에 대한 액세스 제어를 설정하는 것입니다. 또한 이 조건을 사용하면 정책 업데이트 없이 이 조직에 새 계정을 추가할 때 정책 권한이 적용됩니다.
이 게시물에서는 새 조건에 대한 세부 정보를 살펴보고 S3를 사용하여 조직의 보안 주체에게만 액세스를 제한하는 방법을 보여줍니다.
조건 개념
새 조건을 소개하기 전에 IAM 정책 의 조건 요소 를 검토하겠습니다. 조건은 정책이 권한을 부여하거나 거부하는 특별한 상황을 지정하는 데 사용할 수 있는 선택적 IAM 정책 요소입니다. 조건에는 조건 키 , 연산자 및 조건 값이 포함됩니다. 조건에는 서비스별 조건과 전역 조건 의 두 가지 유형이 있습니다 . 서비스별 조건은 AWS 서비스의 특정 작업에 따라 다릅니다. 예를 들어 조건 키 ec2:InstanceType 은 특정 EC2 작업을 지원합니다. 전역 조건 은 모든 AWS 서비스에서 모든 작업을 지원합니다.
IAM 정책의 조건 요소를 검토했으므로 이제 새 조건을 소개하겠습니다.
AWS:PrincipalOrgID 조건 키
이 조건 키를 사용 하여 리소스 기반 정책 의 Principal 요소에 필터를 적용할 수 있습니다. 이 조건과 함께 StringLike 와 같은 모든 문자열 연산자를 사용 하고 해당 값으로 에 대한 AWS 조직 ID를 지정할 수 있습니다.
| 조건 키 | 설명 | 연산자 | 값 |
| aws:PrincipalOrgID | 자원에 액세스하는 보안 주체가 조직의 계정에 속하는지 확인합니다. | 모든 문자열 연산자 | 모든 AWS 조직 ID |
예: 내 조직의 보안 주체에게만 액세스 제한
민감한 재무 정보가 포함된 S3 버킷 2018-Financial-Data에 대한 직접 액세스 권한을 조직의 특정 IAM 보안 주체 에게 부여하려는 예를 생각해 보겠습니다 . AWS 조직에 계정 ID가 여러 개인 계정이 두 개 있는데 이 계정의 일부 IAM 사용자만 이 재무 보고서에 액세스해야 합니다.
이 액세스 권한을 부여하기 위해 아래와 같이 내 S3 버킷 에 대한 리소스 기반 정책을 작성합니다. 이 정책에서는 액세스 권한을 부여하려는 개인을 나열합니다. 이 예에서는 그렇게 하는 동안 실수로 잘못된 계정 ID를 지정했다고 가정해 보겠습니다. 이는 내 조직의 계정에 없는 Steve라는 사용자가 이제 내 재무 보고서에 액세스할 수 있음을 의미합니다. 주 계정이 내 조직에 있도록 요구하려면 전역 조건 키 aws:PrincipalOrgID 를 사용하여 정책에 조건을 추가합니다.. 이 조건에서는 내 조직 계정의 보안 주체만 S3 버킷에 액세스할 수 있어야 합니다. 이는 Steve가 정책의 주체 중 하나이지만 그가 속한 계정이 내 조직에 속해 있지 않기 때문에 재무 보고서에 액세스할 수 없음을 의미합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetObject",
"Effect": "Allow",
"Principal": {
"AWS":[
"arn:aws:iam::094697565664:user/Casey",
"arn:aws:iam::094697565664:user/David",
"arn:aws:iam::094697565664:user/Tom",
"arn:aws:iam::094697565664:user/Michael",
"arn:aws:iam::094697565664:user/Brenda",
"arn:aws:iam::094697565664:user/Lisa",
"arn:aws:iam::094697565664:user/Norman",
"arn:aws:iam::094697565646:user/Steve",
"arn:aws:iam::087695765465:user/Douglas",
"arn:aws:iam::087695765465:user/Michelle"
]
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::2018-Financial-Data/*",
"Condition": {"StringEquals":
{"aws:PrincipalOrgID": [ "o-yyyyyyyyyy" ]}
}
}
]
}
위의 정책에서 명령문의 principal 요소를 사용하여 액세스 권한을 부여하는 보안 주체를 지정합니다. 다음으로 s3:GetObject 를 작업으로 추가하고 2018-Financial-Data/* 를 리소스로 추가 하여 내 S3 버킷에 대한 읽기 액세스 권한을 부여합니다. 마지막으로 새 조건 키 aws:PrincipalOrgID 를 추가하고 명령문의 조건 요소에 내 조직 ID를 지정하여 내 조직 계정의 보안 주체만 이 버킷에 액세스할 수 있도록 합니다.
요약
이제 리소스 기반 정책에서 aws:PrincipalOrgID 조건 키를 사용하여 AWS 조직의 계정에서 IAM 보안 주체에 대한 액세스를 더 쉽게 제한할 수 있습니다. aws:PrincipalOrgID 를 사용하는 이 전역 조건 키 및 정책 예제에 대한 자세한 내용은 IAM 설명서 를 참조 하십시오.
이 게시물에 대한 의견이 있으면 아래 의견 섹션에 제출하십시오. 이 솔루션에 대한 질문이나 제안 사항이 있는 경우 IAM 포럼 에서 새 스레드를 시작 하거나 AWS 지원에 문의 하십시오 .
더 많은 AWS 보안 뉴스를 원하십니까? Twitter에서 팔로우 하세요 .
'[AWS] > AWS SAA EXAMTOPICS' 카테고리의 다른 글
| [AWS][SAA][EXAMTOPICS] Question 315 (0) | 2022.07.13 |
|---|---|
| [AWS][SAA][EXAMTOPICS] Question 314 (0) | 2022.07.12 |
| [AWS][SAA][EXAMTOPICS] Question 313 (0) | 2022.07.12 |
| [AWS][SAA][EXAMTOPICS] Question 312 (0) | 2022.07.12 |
| [AWS][SAA][EXAMTOPICS] Question 310 (0) | 2022.07.12 |
| [AWS][SAA][EXAMTOPICS] Question 309 (0) | 2022.07.12 |
| [AWS][SAA][EXAMTOPICS] Question 308 (0) | 2022.07.12 |
| [AWS][SAA][EXAMTOPICS] Question 307 (0) | 2022.07.11 |
댓글