SAA-C03 Q662 · IAM

Question

글로벌 기업이 데이터 상주 요건을 충족하기 위해 여러 AWS 리전에서 운영하고 있습니다. 이 회사는 AWS Organizations 를 사용하여 계정을 관리합니다. 지리적 경계를 넘나드는 의도치 않은 데이터 작업을 방지하기 위해 특정 리전에 대한 IAM 역할 및 액세스를 제한하고자 합니다. 다음 중 이러한 요건을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**문제 요구사항 분석:**
1. 여러 AWS 리전에서 운영 (글로벌)
2. 데이터 상주(Data Residency) 요건 충족
3. **특정 리전에 대한 IAM 역할 및 액세스를 제한**
4. 지리적 경계를 넘는 **의도치 않은 데이터 작업 방지**

**`aws:RequestedRegion` 조건 키가 정답인 이유:**

- `aws:RequestedRegion`은 AWS API 호출이 **어느 리전으로 향하는지**를 판별하는 **글로벌 조건 키**
- 이 조건을 IAM 정책(또는 SCP)에 사용하면 **모든 AWS 서비스**에 대해 리전 수준 접근 제어 가능
- 예시 정책:
```json
{
  "Effect": "Deny",
  "Action": "*",
  "Resource": "*",
  "Condition": {
    "StringNotEquals": {
      "aws:RequestedRegion": ["eu-west-1", "eu-central-1"]
    }
  }
}
```
- 위 정책은 eu-west-1, eu-central-1 이외의 리전에서 모든 작업을 거부
- IAM 정책으로 구성하므로 **역할 및 사용자 수준**에서 리전 제한 적용 가능
- SCP에서도 동일한 조건 키 사용 가능하지만, 문제에서 "IAM 역할 및 액세스를 제한"이라고 했으므로 IAM 정책이 가장 직접적

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁