SAA-C03 Q669 · IAM

Question

한 회사가 외부 벤더에게 회사 AWS 계정 사용을 의뢰했습니다. 벤더는 자체 AWS 계정에 호스팅된 자동화 도구를 사용합니다. 벤더는 회사 AWS 계정에 대한 IAM 액세스 권한이 없습니다. 솔루션 아키텍트는 벤더에게 액세스 권한을 부여해야 합니다. 다음 중 어떤 솔루션이 이러한 요구 사항을 가장 안전하게 충족할까요?

Accepted Answer

**문제의 핵심 요구사항 정리:**
1. 외부 벤더가 **자체 AWS 계정**을 보유
2. 벤더는 회사 계정에 IAM 액세스 권한이 없음
3. 벤더의 자동화 도구가 회사 계정 리소스에 접근해야 함
4. **가장 안전한** 방법이어야 함

**정답 A가 충족하는 방식 (단계별):**

① **회사 계정에 IAM Role 생성**: Trust Policy에 벤더의 AWS 계정 ID를 Principal로 지정
② **필요한 권한만 부여**: 해당 Role에 최소 권한 원칙에 따른 IAM 정책 연결
③ **벤더가 sts:AssumeRole 호출**: 벤더의 자동화 도구가 이 Role을 Assume하여 임시 자격 증명(Temporary Credentials) 획득
④ **임시 자격 증명으로 작업 수행**: 시간 제한이 있는 토큰으로 회사 리소스 접근

**왜 가장 안전한가?**
- 장기 자격 증명(비밀번호, Access Key)을 공유하지 않음
- 임시 자격 증명은 자동 만료됨 (기본 1시간, 최대 12시간)
- External ID를 추가하면 'Confused Deputy' 공격도 방지 가능
- 언제든 Trust Policy를 수정하여 즉시 접근 차단 가능

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁