SAA-C03 Q328 · Security

Question

한 회사가 IP 허용/차단 목록이 담긴 파일을 S3 버킷에 저장했습니다. 이 파일은 HTTP 엔드포인트를 통해 접근 가능해야 하며, AWS 외부의 방화벽에서 읽어야 합니다. 회사는 방화벽에 등록된 IP 주소로만 접근을 제한하고자 합니다. 해당 계정에는 S3 공용 액세스 차단 기능이 활성화되어 있습니다. 다음 중 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**요구사항 정리:**
1. S3에 저장된 파일을 HTTP 엔드포인트로 접근 가능해야 함
2. AWS 외부 방화벽에서 읽어야 함 (외부 IP 기반 접근)
3. 방화벽에 등록된 특정 IP 주소로만 접근 제한
4. S3 공용 액세스 차단(Block Public Access)이 활성화됨

**핵심 포인트 — S3 Block Public Access와 버킷 정책의 관계:**
- S3 Block Public Access는 **'공용(Public)' 접근**을 차단함
- AWS에서 '공용'의 정의: **모든 사람(Principal: "*")에게 조건 없이 열려 있는 정책**
- 버킷 정책에 `aws:SourceIp` 조건이 포함되면 **특정 IP로 범위가 제한**되므로 AWS는 이를 '공용'이 아닌 것으로 판단함
- 따라서 Block Public Access가 활성화되어 있어도 **IP 조건부 버킷 정책은 차단되지 않음**

**정답이 요구사항을 충족하는 흐름:**
1. 버킷 정책에서 `Principal: "*"` + `Condition: {"IpAddress": {"aws:SourceIp": ["허용IP/CIDR"]}}` 설정
2. 이 정책은 조건부이므로 Block Public Access에 의해 차단되지 않음
3. 외부 방화벽은 S3의 HTTPS 엔드포인트(`https://bucket.s3.amazonaws.com/file`)로 직접 접근 가능
4. 등록된 IP에서만 접근 허용, 나머지는 묵시적 거부(Implicit Deny)

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁