AWS Sysops exam
AWS Certified Sysops Adminstrator - Associate (SOA-C02)
위 자격증을 공부하며 알게되는 내용들을 포스팅합니다.
Q1. AWS Organization을 사용하여 여러 AWS 계정을 관리, 모든 사용자가 Amazon S3 버킷을 엑세스 하려고 할때 읽기 권한이 필요하고, S3의 버킷데이터는 회사 외부의 누구도 엑세스 할 수 없어야 한다.
권한을 구성하고, Sysops 관리자가 S3 버킷에 정책을 추가하려고 할때 어떤 매개변수를 제공해야 하는가?
A. *(와일드카드)를 principal로 지정하고 PrincipalOrgId를 조건으로 지정하십시오.
B. 모든 계좌 번호를 본인으로 지정합니다.
C. PrincipalOrgId를 보안 주체로 지정합니다.
D. 조직의 마스터 계정을 주체로 지정합니다.
AWS 정책요소 Principal 보안주체
-
리소스에 대한 엑세스가 허용되거나 거부되는 보안 주체를 지정
-
모든보안주체
Amazon S3 버킷 정책과 같은 리소스 기반 정책의 경우 와일드카드(*)는 모든 사용자의 퍼블릭 엑세스를 지정한다.
"Principal" : "*"
"Principal" : { "AWS" : "*" }
리소스 기반 정책에서
"Principal" { "AWS" : "*" }
를Allow
과 함께 사용하면 모든 사용자가 AWS에 로그인 하지 않아도 누구나 허용 할 수 있다.질문에서 모든 사용자가 읽을 수 있어야 하고, S3 버킷데이터는 회사 외부 사용자는 엑세스 할 수 없어야 하므로 조건을 추가해야한다.
- AWS: PrincipalOrgID 조건 키
조건키 설명 Operator(s) Value aws:PrincipalOrgID 지원에 액세스 하는 보안 주체가 계정에 속하는지 확인 모든 문자열 연산자 모든 AWS 조직 ID
위 조건을 통해 내 조직의 보안 주체에게만 엑스세를 부여한다.
자세한 예제는 AWS: PrincipalOrgID 조건 키 에서 볼 수 있습니다.
Ans. *(와일드카드)를 principal로 지정하고, PrincipalOrgld를 조건으로 지정한다.
Q2. AWS 클라우드에서 기업은 온라인 쇼핑 플랫폼을 유지 관리합니다. HTTPS 보안은 Elastic Load Balancer(ELB)에서 TLS 인증서를 사용하여 게이트웨이에서 제공됩니다.
최근에 TLS 인증서 만료로 인해 사이트가 중단되었습니다. 향후 이러한 문제를 방지하기 위해 SysOps 관리자는 인증서를 자동으로 갱신하는 시스템을 구현해야 합니다.
이러한 요구 사항을 충족하는 가장 최적의 옵션은 무엇입니까?
A. AWS Certificate Manager(ACM)를 사용하여 공인 인증서를 요청합니다. ACM의 인증서를 ELB와 연결합니다. 18개월마다 인증서를 갱신하도록 예약된 AWS Lambda 함수를 작성합니다.
B. AWS Certificate Manager(ACM)를 사용하여 공인 인증서를 요청합니다. ACM의 인증서를 ELB와 연결합니다. ACM은 인증서 갱신을 자동으로 관리합니다.
C. 타사 인증 기관(CA)에 인증서를 등록합니다. 이 인증서를 AWS Certificate Manager(ACM)로 가져옵니다. ACM의 인증서를 ELB와 연결합니다. ACM은 인증서 갱신을 자동으로 관리합니다.
D. 타사 인증 기관(CA)에 인증서를 등록합니다. CA에서 직접 인증서를 가져오도록 ELB를 구성합니다. 인증서가 만료일로부터 3개월 이내일 때 갱신되도록 ELB에서 인증서 갱신 주기를 설정합니다.
ACM ( AWS Certificate Manager)
: AWS 서비스와 내부 리소스에 사용할 공인 및 사설 SSL/TLS(Secure Sockets Layer/전송 계층 보안)인증서를 프로비저닝, 관리 및 배포를 지원한다.
전송(Transport)계층이란, TCP/IP 4계층 중 3계층을 뜻하고, 통신 노드 간의 연결을 제어하고, 신뢰성 있는 데이터 전송을 담당한다.
L1 | L2 | L3 | L4 |
---|---|---|---|
Network(네트워크 계층) | Internet(인터넷 계층) | Transport Layer(전송 계층) | Application(응용 계층) |
ACM에서 사용할 수 있는 인증서 유형
공인 인증서 – ACM은 ACM 통합 서비스(Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway 등)에 사용되는 공인 인증서의 갱신 및 배포를 관리합니다.
가져온 인증서 – Amazon CloudFront, Elastic Load Balancing 또는 Amazon API Gateway에서 타사 인증서를 사용하려면, AWS Management Console, AWS CLI 또는 ACM API를 사용하여 해당 인증서를 ACM으로 가져와야 할 수 있습니다. ACM은 가져온 인증서에 대한 갱신 프로세스를 관리하지 않습니다. 따라서 가져온 인증서의 만료 날짜를 모니터링하여 만료되기 이전에 갱신하는 것은 고객의 책임입니다. AWS 관리 콘솔을 사용하면 가져온 인증서의 만료 날짜를 모니터링하고 만료되는 인증서를 대체할 새로운 서드 파티 인증서를 가져올 수 있습니다.
타사 인증서를 가져온 경우에는 자동 갱신을 할 수 없으므로 C,D는 틀린설명 이다.
Ans. B. AWS Certificate Manager(ACM)를 사용하여 공인 인증서를 요청합니다. ACM의 인증서를 ELB와 연결합니다. ACM은 인증서 갱신을 자동으로 관리합니다.
Author And Source
이 문제에 관하여(AWS Sysops exam), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@ghkdehdtn30/AWS-Sysops-exam저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)