SAA-C03 Q437 · Security

Question

애플리케이션에서 Amazon SQS 큐와 두 개의 AWS Lambda 함수를 사용합니다. 하나의 Lambda 함수는 큐에 메시지를 푸시하고, 다른 함수는 큐를 폴링하여 대기 중인 메시지를 수신합니다. 솔루션 아키텍트는 두 Lambda 함수만 큐에 쓰거나 읽을 수 있도록 해야 합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**요구사항 정리:**
1. Lambda 함수 A → SQS 큐에 메시지 **쓰기(SendMessage)**
2. Lambda 함수 B → SQS 큐에서 메시지 **읽기(ReceiveMessage, DeleteMessage)**
3. **두 Lambda 함수만** 큐에 접근 가능해야 함

**정답 C가 충족하는 방식:**

① **SQS 큐에 리소스 기반 정책(Queue Policy)** 연결:
- Lambda 함수 주체(실행 역할)에게 읽기/쓰기 액세스 권한을 **명시적으로 부여**
- 리소스 기반 정책은 '누가 이 리소스에 접근할 수 있는가'를 리소스 측에서 제어하는 정책

② **각 Lambda 함수의 실행 역할(Execution Role)에 IAM 정책** 연결:
- 각 함수가 SQS 큐에 대한 읽기/쓰기 액세스를 **허용**하는 IAM 정책 보유
- Lambda가 실제로 SQS API를 호출하려면 실행 역할에 해당 권한이 있어야 함

**핵심 원리 - 양방향 허용:**
AWS에서 크로스 서비스 접근은 **호출자(Identity-based)** 측과 **리소스(Resource-based)** 측 모두에서 허용이 필요하거나, 최소 한쪽에서 허용이 필요합니다. 같은 계정 내에서는 둘 중 하나만 Allow여도 접근 가능하지만, **보안 모범 사례**는 양쪽 모두 명시적으로 설정하는 것입니다.

다만 이 문제의 핵심은 '두 Lambda만 접근 가능'이라는 제약인데, C는 리소스 정책에서 특정 주체만 Allow하고 다른 엔티티에 대한 명시적 Deny가 없어 완벽한 제한은 아닙니다. 그러나 **다른 보기들이 더

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

🔒 보안 관점

🎯 시험 팁