본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 336

by METAVERSE STORY 2022. 7. 15.
반응형

A business keeps sensitive user data in an Amazon S3 bucket. The organization wishes to safeguard access to this bucket from the application layer, which is comprised of Amazon EC2 instances operating inside a VPC.

Which actions should a solutions architect use in conjunction to achieve this? (Select two.)

  • A. Configure a VPC gateway endpoint for Amazon S3 within the VPC.
  • B. Create a bucket policy to make the objects in the S3 bucket public.
  • C. Create a bucket policy that limits access to only the application tier running in the VPC.
  • D. Create an IAM user with an S3 access policy and copy the IAM credentials to the EC2 instance.
  • E. Create a NAT instance and have the EC2 instances use the NAT instance to access the S3 bucket.

 

한글 번역

기업은 민감한 사용자 데이터를 Amazon S3 버킷에 보관합니다. 조직은 VPC 내부에서 작동하는 Amazon EC2 인스턴스로 구성된 애플리케이션 계층에서 이 버킷에 대한 액세스를 보호하려고 합니다.

솔루션 설계자는 이를 달성하기 위해 어떤 조치를 함께 사용해야 합니까? (2개를 선택하세요.)

  • A. VPC 내에서 Amazon S3용 VPC 게이트웨이 엔드포인트를 구성합니다.
  • B. S3 버킷의 객체를 퍼블릭으로 만들기 위한 버킷 정책을 생성합니다.
  • C. VPC에서 실행되는 애플리케이션 계층으로만 액세스를 제한하는 버킷 정책을 생성합니다.
  • D. S3 액세스 정책으로 IAM 사용자를 생성하고 IAM 자격 증명을 EC2 인스턴스에 복사합니다.
  • E. NAT 인스턴스를 생성하고 EC2 인스턴스가 NAT 인스턴스를 사용하여 S3 버킷에 액세스하도록 합니다.

 

 

 

 

 

정답

  • A. Configure a VPC gateway endpoint for Amazon S3 within the VPC.
  • C. Create a bucket policy that limits access to only the application tier running in the VPC.

 

해설

인증을 사용하지 않고 Amazon S3 버킷에 비공개로 연결하도록 Amazon VPC를 구성하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2021년 12월 20일

Amazon Virtual Private Cloud(Amazon VPC)에서 Amazon Simple Storage Service(Amazon S3) 버킷으로 프라이빗 연결을 만들고 싶습니다. 그러나 AWS Identity and Access Management(IAM) 자격 증명과 같은 인증을 사용하고 싶지 않습니다. 이 유형의 프라이빗 연결은 어떻게 만들 수 있습니까?

간략한 설명

Amazon Virtual Private Cloud(Amazon VPC)에서 버킷에 액세스하는 경우 인증하지 않고 비공개로 S3 버킷에 액세스할 수 있습니다. 하지만 사용된 VPC 엔드포인트가 Amazon S3를 가리키는지 확인해야 합니다.

다음 단계에 따라 S3 버킷에 대한 VPC 엔드포인트 액세스를 설정합니다.

1.    Amazon S3에 대한 VPC 엔드포인트를 생성합니다.

2.    VPC 엔드포인트에서 액세스를 허용하는 버킷 정책을 추가합니다.

​해결 방법

시작하기 전에 버킷에 액세스할 VPC를 생성해야 합니다.

Amazon S3에 대한 VPC 엔드포인트 생성

1.    Amazon VPC 콘솔을 엽니다.

2.    탐색 모음에서 리전 선택기를 사용하여 AWS 리전을 VPC와 동일한 리전으로 설정합니다.

3.    탐색 창에서 엔드포인트를 선택합니다.

4.    엔드포인트 생성을 선택합니다.

5.    서비스 범주에서 ‘AWS 서비스’가 선택되었는지 확인합니다.

6.    서비스 이름에서 ‘s3’ 서비스 이름 및 ‘게이트웨이’ 유형을 선택합니다. 예를 들어, 미국 동부(버지니아 북부)의 서비스 이름은 com.amazonaws.us-east-1.s3입니다.

7.    VPC의 경우, VPC를 선택합니다.

8.    라우팅 테이블 구성에서 엔드포인트에 액세스하도록 허용하려는 연결된 서브넷을 기반으로 라우팅 테이블을 선택합니다.

9.    정책에서 전체 액세스가 선택되었는지 확인합니다.

10.    엔드포인트 생성을 선택합니다.

11.    VPC 엔드포인트 ID를 적어둡니다. 이후 단계를 수행하려면 이 엔드포인트 ID가 필요합니다.

VPC 엔드포인트에서 액세스를 허용하는 버킷 정책 추가

생성한 VPC 엔드포인트에서 요청이 수신된 경우 사용자가 S3 버킷에 액세스할 수 있는 조건을 포함하도록 버킷 정책을 업데이트합니다.

사용자가 객체(s3:GetObject)를 다운로드할 수 있도록 다음과 유사한 버킷 정책을 사용합니다.

{
   "Version": "2012-10-17",
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"],
       "Condition": {
         "StringEquals": {
           "aws:sourceVpce": "vpce-1a2b3c4d"
         }
       }
     }
   ]
}

aws:sourceVpce 값의 경우, 이전에 생성한 엔드포인트의 VPC 엔드포인트 ID를 입력해야 합니다.

중요: 이 정책은 VPC 엔드포인트로부터 액세스를 허용하지만, 엔드포인트 외부의 액세스를 모두 거부하지는 않습니다. 동일한 계정의 사용자가 인증되면 이 정책은 계속해서 사용자가 VPC 외부에서도 버킷에 액세스하도록 허용합니다. 보다 제한적인 버킷 정책이 필요한 경우 엔드포인트 외부의 모든 요청에 대한 액세스를 명시적으로 거부하는 정책을 사용합니다.

 

참조 문서

https://aws.amazon.com/ko/premiumsupport/knowledge-center/s3-private-connection-no-authentication/

 

반응형

댓글