SAA-C03 Q583 · Security

Question

한 회사가 AWS Organizations 를 사용하여 여러 AWS 계정을 관리합니다. 이 회사는 계정 A 의 특정 Amazon SNS 토픽이 계정 B 의 특정 Amazon SQS 큐에 메시지를 게시할 수 있는 안전한 이벤트 기반 아키텍처가 필요합니다. 최소 권한 원칙을 유지하면서 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

문제의 요구사항을 하나씩 분석합니다:

**요구사항 1: 계정 A의 '특정' SNS 토픽 → 계정 B의 '특정' SQS 큐**
- 정답 C는 양방향 모두 특정 리소스로 한정합니다.
- SQS 큐 정책: Condition에 `aws:SourceArn`으로 계정 A의 **특정 SNS 토픽 ARN**만 허용
- SNS 토픽: 구독 대상으로 계정 B의 **특정 SQS 큐 ARN**만 지정

**요구사항 2: 최소 권한 원칙(Least Privilege)**
- SQS 쪽: '모든 큐'가 아니라 해당 큐에만 정책 적용
- SNS 쪽: '모든 큐'가 아니라 특정 큐 ARN에만 게시 권한 부여
- 양쪽 리소스 정책이 서로 특정 ARN으로 범위를 좁혀 최소 권한 충족

**동작 흐름:**
1. 계정 B의 SQS 큐 정책에 `sqs:SendMessage` 권한을 추가하되, Condition으로 계정 A의 특정 SNS 토픽 ARN만 허용
2. 계정 A의 SNS 토픽에 계정 B의 특정 SQS 큐를 구독(subscription)으로 등록
3. SNS 토픽에 메시지가 발행되면, SQS 큐 정책이 해당 토픽의 ARN을 확인하고 메시지 수신 허용

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁