SAA-C03 Q534 · Networking

Question

한 회사가 하나의 AWS 계정에서 여러 VPC 를 운영하고 있습니다. 계정 사용자는 Amazon S3 버킷에 임시 액세스 권한이 필요합니다. S3 버킷은 비공개이며 공용 엔드포인트가 없습니다. 각 환경에 대한 액세스는 최소 권한 원칙을 따라야 하며, 영구 액세스 키를 배포해서는 안 됩니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

문제의 핵심 요구사항을 하나씩 분석하면:

1️⃣ **비공개 S3 버킷, 공용 엔드포인트 없음** → 인터넷을 경유하지 않고 VPC 내부에서 S3에 접근해야 함 → **게이트웨이 VPC 엔드포인트**가 정확히 이 역할을 수행

2️⃣ **여러 VPC 운영** → 각 VPC마다 별도의 게이트웨이 VPC 엔드포인트를 생성하면, VPC별로 독립적인 접근 제어 가능

3️⃣ **최소 권한 원칙** → 엔드포인트 정책(Endpoint Policy)을 통해 '어떤 IAM 역할이 어떤 S3 버킷에 접근 가능한지' VPC 단위로 세밀하게 제어 가능

4️⃣ **영구 액세스 키 배포 금지** → IAM 역할(Role)을 사용하면 STS를 통해 임시 자격 증명(Temporary Credentials)을 발급받으므로 영구 키 불필요

**동작 흐름:**
EC2/서비스 → IAM 역할 수임(임시 자격 증명 획득) → 게이트웨이 VPC 엔드포인트 경유 → 엔드포인트 정책이 해당 역할 허용 여부 확인 → S3 버킷 접근

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁