SAA-C03 Q132 · IAM

Question

회사는 Amazon EC2 인스턴스를 사용하여 내부 시스템을 호스팅합니다. 배포 작업의 일부로 관리자는 AWS CLI 를 사용하여 EC2 인스턴스를 종료하려고 합니다. 그러나 관리자는 403(액세스 거부) 오류 메시지를 받습니다. 관리자는 다음 IAM 정책이 연결된 IAM 역할을 사용하고 있습니다. 실패한 요청의 원인은 무엇입니까?

Accepted Answer

이 문제의 IAM 정책에는 **Condition** 블록에 `aws:SourceIp` 조건이 포함되어 있습니다.

**단계별 분석:**
1. 정책의 Effect는 `Allow`이고, Action에는 `ec2:TerminateInstances`가 포함되어 있음
2. 그러나 Condition 블록에 `IpAddress` 조건이 있어, **요청이 특정 IP 범위(192.0.2.0/24 또는 203.0.113.0/24)에서만** 허용됨
3. 관리자의 실제 요청 IP가 이 CIDR 블록에 포함되지 않으면, Condition이 충족되지 않음
4. Condition이 충족되지 않으면 → Allow 문이 **적용되지 않음** → 묵시적 거부(Implicit Deny) → **403 Access Denied**

핵심: IAM 정책에서 Condition이 충족되지 않으면, 해당 Statement 전체가 무시됩니다. Action과 Resource가 올바르더라도 Condition 미충족 시 권한이 부여되지 않습니다.

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁