SAA-C03 Q49 · Security

Question

한 회사가 여러 AWS 서비스에 액세스해야 하는 공개 웹 애플리케이션을 개발하고 있습니다. 이 애플리케이션에는 수백 명의 사용자가 있으며, 서비스를 사용하기 전에 먼저 애플리케이션에 로그인해야 합니다. 회사는 웹 애플리케이션에 AWS 리소스에 대한 임시 액세스 권한을 부여하는 안전하고 확장 가능한 방법을 구현해야 합니다. 다음 중 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

문제의 핵심 요구사항을 하나씩 분석하면:

1️⃣ **'임시 액세스 권한'** → AWS STS가 발급하는 임시 자격 증명(Temporary Security Credentials)이 정확히 이 요구를 충족
2️⃣ **'안전한 방법'** → STS 토큰은 만료 시간이 있어 유출되더라도 영구적 피해를 방지. 장기 자격 증명(액세스 키) 대비 훨씬 안전
3️⃣ **'확장 가능한 방법'** → 사용자가 로그인할 때마다 AssumeRole로 동적으로 토큰을 발급받으므로, 사용자 수가 늘어도 IAM 사용자를 개별 생성할 필요 없음
4️⃣ **'수백 명의 사용자가 로그인 후 AWS 서비스에 접근'** → 사용자별로 STS를 통해 역할을 수임(AssumeRole)하면, 동일한 IAM 역할의 권한을 공유하면서도 각자 독립적인 임시 자격 증명을 받음

**동작 흐름:**
- 사용자가 웹 앱에 로그인 → 앱이 AWS STS의 AssumeRole API 호출 → STS가 임시 Access Key + Secret Key + Session Token 반환 → 이 토큰으로 AWS 서비스 호출 → 토큰 만료 시 재발급

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁