[AWS][SAP] Question 35

 

You are looking to migrate your Development (Dev) and Test environments to AWS. You have decided to use separate AWS accounts to host each environment.
You plan to link each accounts bill to a Master AWS account using Consolidated Billing. To make sure you keep within budget you would like to implement a way for administrators in the Master account to have access to stop, delete and/or terminate resources in both the Dev and Test accounts.
Identify which option will allow you to achieve this goal.

• A. Create IAM users in the Master account with full Admin permissions. Create cross-account roles in the Dev and Test accounts that grant the Master account access to the resources in the account by inheriting permissions from the Master account.
• B. Create IAM users and a cross-account role in the Master account that grants full Admin permissions to the Dev and Test accounts.
• C. Create IAM users in the Master account. Create cross-account roles in the Dev and Test accounts that have full Admin permissions and grant the Master account access.
• D. Link the accounts using Consolidated Billing. This will give IAM users in the Master account access to resources in the Dev and Test accounts

 

 

한글 번역

개발(개발) 및 테스트 환경을 AWS로 마이그레이션하려고 합니다. 각 환경을 호스팅하기 위해 별도의 AWS 계정을 사용하기로 결정했습니다.
통합 결제를 사용하여 각 계정 청구서를 마스터 AWS 계정에 연결할 계획입니다. 예산 범위 내에서 유지하려면 마스터 계정의 관리자가 개발자 및 테스트 계정 모두에서 리소스를 중지, 삭제 및/또는 종료할 수 있는 액세스 권한을 가질 수 있는 방법을 구현하려고 합니다.
이 목표를 달성할 수 있는 옵션을 식별합니다.

• A. 전체 관리자 권한으로 마스터 계정에서 IAM 사용자를 생성합니다. 개발자 및 테스트 계정에서 마스터 계정의 사용 권한을 상속하여 마스터 계정에 계정의 리소스에 대한 액세스 권한을 부여하는 교차 계정 역할을 만듭니다.
• B. 마스터 계정에서 개발 및 테스트 계정에 대한 전체 관리자 권한을 부여하는 IAM 사용자 및 교차 계정 역할을 생성합니다.
• C. 마스터 계정에서 IAM 사용자를 생성합니다. 개발자 및 테스트 계정에서 전체 관리자 권한이 있는 교차 계정 역할을 만들고 마스터 계정에 액세스 권한을 부여합니다.
• D. 통합 결제를 사용하여 계정을 연결합니다. 이렇게 하면 마스터 계정의 IAM 사용자가 개발 및 테스트 계정의 리소스에 액세스할 수 있습니다.

 

 

 

 

정답

• C. Create IAM users in the Master account. Create cross-account roles in the Dev and Test accounts that have full Admin permissions and grant the Master account access.

 

 

해설

 

IAM 역할을 사용한 AWS 계정 간 액세스 권한 위임

소유하고 있는 다른 AWS 계정(Production 및 Development 계정)의 리소스에 역할을 사용하여 액세스 권한을 위임하는 방법에 대해 설명합니다.

한 계정의 리소스는 다른 계정의 사용자와 공유합니다. 이러한 방식으로 교차 계정 액세스를 설정하면 각 계정에 개별 IAM 사용자를 생성할 필요가 없습니다. 또한 사용자는 다른 AWS 계정의 리소스에 액세스하기 위해 한 계정에서 로그아웃하고 다른 계정에 로그인할 필요가 없습니다

 

이 자습서에서는 Production 계정이 라이브 애플리케이션을 관리합니다. 개발자와 테스터는 Development 계정을 자유롭게 애플리케이션을 테스트할 수 있는 샌드박스로 사용합니다. 각 계정에서 Amazon S3 버킷에 애플리케이션 정보를 저장합니다. Developers와 Testers, 두 IAM 사용자 그룹으로 구성된 Development 계정에서 IAM 사용자를 관리합니다. 두 사용자 그룹의 사용자는 개발 계정에서 작업하면서 리소스에 액세스할 수 있는 권한을 갖습니다. 개발자는 종종 Production 계정의 라이브 애플리케이션을 업데이트해야 합니다. 개발자는 이러한 애플리케이션을 productionapp(이)라고 하는 Amazon S3 버킷에 저장합니다.

이 자습서의 마지막에서는 다음 항목을 갖게 됩니다.

• Production 계정의 특정 역할을 맡을 수 있는 Development 계정(신뢰할 수 있는 계정)의 사용자.
• 특정 Amazon S3 버킷에 액세스할 수 있는 Production 계정(신뢰하는 계정)의 역할.
• Production 계정의 productionapp 버킷.

개발자들은 AWS Management Console에서 이 역할을 사용하여 Production 계정의 productionapp 버킷에 액세스할 수 있습니다. 또한 역할을 통해 제공되는 임시 자격 증명으로 API 호출을 인증함으로써 버킷에 액세스하는 것도 가능합니다. 하지만 테스터는 이 역할을 사용하지 못합니다.

이 워크플로우는 세 가지 기본 단계로 이루어집니다.

1단계: Production 계정에서 역할 생성

먼저 AWS Management Console을(를) 사용하여 Production 계정(ID 번호 999999999999)과 Development 계정(ID 번호 111111111111) 사이에 신뢰를 구성합니다. UpdateApp이라는 IAM 역할을 생성하여 시작합니다. 역할을 생성하였으면 Development 계정을 신뢰할 수 있는 엔터티로 정의한 다음 신뢰할 수 있는 계정의 사용자가 productionapp 버킷을 업데이트할 수 있는 권한 정책을 지정합니다.

2단계: 역할에 액세스 권한 부여

이 자습서 단계에서는 테스터들이 UpdateApp 역할에 액세스하지 못하도록 IAM 사용자 그룹 정책을 변경합니다. Testers 그룹은 이 시나리오에서 PowerUser 액세스 권한을 갖기 때문에 역할을 사용하지 못하도록 명시적으로 거부해야 합니다.

3단계: 역할을 전환하여 액세스 테스트

마지막으로, 개발자로서 UpdateApp 역할을 사용하여 Production 계정의 productionapp 버킷을 업데이트합니다. 이제 AWS 콘솔, AWS CLI 및 API를 통해 역할에 액세스할 수 있게 되었습니다.

 

 

참조 문서

튜토리얼: IAM 역할을 사용한 AWS 계정 간 액세스 권한 위임 - AWS Identity and Access Management (amazon.com)

튜토리얼: IAM 역할을 사용한 AWS 계정 간 액세스 권한 위임 - AWS Identity and Access Management