본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 329

by METAVERSE STORY 2022. 7. 14.
반응형

A business has two AWS accounts: one for production and one for development. There are code modifications ready to be sent to the Production account from the Development account.
Only two senior developers on the development team need access to the Production account during the alpha phase. During the beta phase, more developers may need access to undertake testing.

What recommendations should a solutions architect make?

  • A. Create two policy documents using the AWS Management Console in each account. Assign the policy to developers who need access.
  • B. Create an IAM role in the Development account. Give one IAM role access to the Production account. Allow developers to assume the role.
  • C. Create an IAM role in the Production account with the trust policy that specifies the Development account. Allow developers to assume the role.
  • D. Create an IAM group in the Production account and add it as a principal in the trust policy that specifies the Production account. Add developers to the group.

 

 

한글 번역

기업에는 두 개의 AWS 계정이 있습니다. 하나는 프로덕션용이고 다른 하나는 개발용입니다. 개발 계정에서 프로덕션 계정으로 보낼 준비가 된 코드 수정 사항이 있습니다.
개발 팀의 두 명의 시니어 개발자만 알파 단계에서 프로덕션 계정에 액세스할 수 있습니다. 베타 단계 동안 더 많은 개발자가 테스트를 수행하기 위해 액세스 권한이 필요할 수 있습니다.

솔루션 설계자는 어떤 권장 사항을 제시해야 합니까?

  • A. 각 계정에서 AWS Management 콘솔을 사용하여 두 개의 정책 문서를 생성합니다. 액세스 권한이 필요한 개발자에게 정책을 할당합니다.
  • B. Development 계정에서 IAM 역할을 생성합니다. 하나의 IAM 역할에 프로덕션 계정에 대한 액세스 권한을 부여합니다. 개발자가 역할을 맡도록 허용합니다.
  • C. Development 계정을 지정하는 신뢰 정책을 사용하여 Production 계정에서 IAM 역할을 생성합니다. 개발자가 역할을 맡도록 허용합니다.
  • D. 프로덕션 계정에서 IAM 그룹을 생성하고 이를 프로덕션 계정을 지정하는 신뢰 정책의 보안 주체로 추가합니다. 그룹에 개발자를 추가합니다.

 

 

정답

  • C. Create an IAM role in the Production account with the trust policy that specifies the Development account. Allow developers to assume the role.

 

해설

IAM 자습서: IAM 역할을 사용하여 AWS 계정 전체에 액세스 권한 위임

 

이 튜토리얼에서 프로덕션 계정은 라이브 애플리케이션을 관리합니다. 개발자와 테스터는 Development 계정을 샌드박스로 사용하여 애플리케이션을 자유롭게 테스트합니다. 각 계정에서 Amazon S3 버킷에 애플리케이션 정보를 저장합니다. 개발자  테스터 라는 두 개의 IAM 사용자 그룹이 있는 Development 계정 에서 IAM 사용자를 관리합니다 . 두 사용자 그룹의 사용자는 Development 계정에서 작업하고 해당 계정의 리소스에 액세스할 수 있는 권한이 있습니다. 때때로 개발자는 프로덕션 계정에서 라이브 애플리케이션을 업데이트해야 합니다. 개발자는 이러한 애플리케이션을 라는 Amazon S3 버킷에 저장합니다 .productionapp

이 자습서가 끝나면 다음이 제공됩니다.

  • Development 계정(신뢰할 수 있는 계정)의 사용자 는 Production 계정 에서 특정 역할을 맡을 수 있습니다.
  • 특정 Amazon S3 버킷에 액세스할 수 있는 프로덕션 계정(신뢰하는 계정) 의 역할 .
  • Production 계정  productionapp버킷 .

개발자는 AWS Management 콘솔의 역할을 사용하여 프로덕션 계정 의 productionapp 버킷에 액세스할 수 있습니다. 역할에서 제공한 임시 자격 증명으로 인증된 API 호출을 사용하여 버킷에 액세스할 수도 있습니다. 역할을 사용하려는 테스터의 유사한 시도는 실패합니다.

이 워크플로에는 세 가지 기본 단계가 있습니다.

1단계: 프로덕션 계정에서 역할 생성

먼저 AWS Management 콘솔을 사용하여 프로덕션 계정(ID 번호 999999999999)과 개발 계정(ID 번호 111111111111) 간에 신뢰를 설정합니다 . UpdateApp 이라는 IAM 역할을 생성하여 시작합니다 . 역할을 생성할 때 Development 계정을 신뢰할 수 있는 엔터티로 정의하고 신뢰할 수 있는 사용자가 productionapp 버킷을 업데이트할 수 있도록 허용하는 권한 정책을 지정합니다.

2단계: 역할에 대한 액세스 권한 부여

자습서의 이 단계에서는 IAM 사용자 그룹 정책을 수정하여 UpdateApp역할에 대한 테스터의 액세스를 거부합니다. 테스터는 이 시나리오에서 PowerUser 액세스 권한이 있으므로 역할을 사용하는 기능을 명시적으로 거부 해야 합니다.

3단계: 역할을 전환하여 액세스 테스트

마지막으로 개발자는 역할을 사용 하여 프로덕션 계정 에서 버킷 UpdateApp을 업데이트 합니다. AWS 콘솔, AWS CLI 및 API를 통해 역할에 액세스하는 방법을 볼 수 있습니다.productionapp

 

 

참조 문서

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html

 

IAM tutorial: Delegate access across AWS accounts using IAM roles - AWS Identity and Access Management

IAM tutorial: Delegate access across AWS accounts using IAM roles This tutorial teaches you how to use a role to delegate access to resources in different AWS accounts that you own called Production and Development. You share resources in one account with

docs.aws.amazon.com

 

반응형

댓글