[AWS][SAA][EXAMTOPICS] Question 338

A business utilizes an AWS Lambda function to retrieve and decrypt data from Amazon S3. These files are encrypted using Customer Master Keys for AWS Key Management Service (AWS KMS CMKs). A solutions architect must create a solution that properly sets the needed permissions.

Which action combination does this? (Select two.)

• A. Attach the kms:decrypt permission to the Lambda function's resource policy.
• B. Grant the decrypt permission for the Lambda IAM role in the KMS key's policy.
• C. Grant the decrypt permission for the Lambda resource policy in the KMS key's policy.
• D. Create a new IAM policy with the kms:decrypt permission and attach the policy to the Lambda function.
• E. Create a new IAM role with the kms:decrypt permission and attach the execution role to the Lambda function.

 

한글 번역

기업은 AWS Lambda 함수를 사용하여 Amazon S3에서 데이터를 검색하고 해독합니다. 이러한 파일은 AWS Key Management Service(AWS KMS CMK)용 고객 마스터 키를 사용하여 암호화됩니다. 솔루션 설계자는 필요한 권한을 적절하게 설정하는 솔루션을 만들어야 합니다.

어떤 작업 조합이 이 작업을 수행합니까? (2개를 선택하세요.)

• A. Lambda 함수의 리소스 정책에 kms:decrypt 권한을 연결합니다.
• B. KMS 키의 정책에서 Lambda IAM 역할에 대한 암호 해독 권한을 부여합니다.
• C. KMS 키의 정책에서 Lambda 리소스 정책에 대한 암호 해독 권한을 부여합니다.
• D. kms:decrypt 권한이 있는 새 IAM 정책을 생성하고 정책을 Lambda 함수에 연결합니다.
• E. kms:decrypt 권한이 있는 새 IAM 역할을 생성하고 실행 역할을 Lambda 함수에 연결합니다.

 

 

 

정답

• B. Grant the decrypt permission for the Lambda IAM role in the KMS key's policy.
• E. Create a new IAM role with the kms:decrypt permission and attach the execution role to the Lambda function.

 

해설

AWS Lambda 실행 역할

Lambda 함수의 실행 역할은 AWS 서비스 및 리소스에 액세스할 수 있는 권한을 함수에 부여하는 AWS Identity and Access Management(IAM) 역할입니다. 함수를 생성할 때 이 역할을 제공하고 함수가 호출될 때 Lambda가 역할을 맡습니다. Amazon CloudWatch에 로그를 보내고 AWS X-Ray에 추적 데이터를 업로드할 수 있는 권한이 있는 개발을 위한 실행 역할을 생성할 수 있습니다.

함수의 실행 역할을 보려면

1. 기능 페이지 열기람다 콘솔의.
2. 기능을 선택합니다.
3. 구성 을 선택한 다음 권한 을 선택 합니다 .
4. 리소스 요약 에서 함수가 액세스할 수 있는 서비스 및 리소스를 확인합니다.
5. 드롭다운 목록에서 서비스를 선택하여 해당 서비스와 관련된 권한을 확인합니다.

언제든지 함수의 실행 역할에서 권한을 추가 또는 제거하거나 다른 역할을 사용하도록 함수를 구성할 수 있습니다. 함수가 AWS SDK를 사용하여 호출하는 모든 서비스와 Lambda가 선택적 기능을 활성화하는 데 사용하는 서비스에 대한 권한을 추가합니다.

기능에 권한을 추가할 때 해당 코드 또는 구성도 업데이트하십시오. 그러면 자격 증명이 오래된 실행 중인 함수 인스턴스가 강제로 중지되고 교체됩니다.

 

AWS KMS의 주요 정책

키 정책은 AWS KMS 키에 대한 리소스 정책입니다. 키 정책은 KMS 키에 대한 액세스를 제어하는 ​​기본 방법입니다. 모든 KMS 키에는 정확히 하나의 키 정책이 있어야 합니다. 키 정책의 설명은 KMS 키를 사용할 권한이 있는 사용자와 사용 방법을 결정합니다. IAM 정책 및 권한 부여 를 사용하여 KMS 키에 대한 액세스를 제어할 수도 있지만 모든 KMS 키에는 키 정책이 있어야 합니다.

계정 루트 사용자 또는 키 생성자를 포함한 AWS 보안 주체는 키 정책, IAM 정책 또는 권한 부여에서 명시적으로 허용되고 절대 거부되지 않는 한 KMS 키에 대한 권한이 없습니다.

키 정책에서 명시적으로 허용하지 않는 한 IAM 정책을 사용 하여 KMS 키에 대한 액세스를 허용 할 수 없습니다. 키 정책의 권한이 없으면 권한을 허용하는 IAM 정책이 효과가 없습니다. (IAM 정책을 사용하여 키 정책의 권한 없이 KMS 키에 대한 권한을 거부 할 수 있습니다 .) 기본 키 정책은 IAM 정책을 활성화합니다. 키 정책에서 IAM 정책을 활성화하려면 AWS 계정에 대한 액세스 허용 및 IAM 정책 활성화에 설명된 정책 설명을 추가합니다 .

글로벌인 IAM 정책과 달리 주요 정책은 리전입니다. 키 정책은 동일한 리전의 KMS 키에 대한 액세스만 제어합니다. 다른 리전의 KMS 키에는 영향을 미치지 않습니다.

 

 

참조 문서

https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html

AWS Lambda execution role - AWS Lambda

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html

Key policies in AWS KMS - AWS Key Management Service