SAA-C03 Q67 · Security

Question

한 회사가 AWS 클라우드에서 애플리케이션을 개발하고 있습니다. 이 애플리케이션의 HTTP API 에는 Amazon API Gateway 에 게시된 중요한 정보가 포함되어 있습니다. 이 중요한 정보는 회사 내부 네트워크에 속한 제한된 수의 신뢰할 수 있는 IP 주소에서만 접근할 수 있어야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족할까요?

Accepted Answer

**문제 요구사항 정리:**
1. HTTP API가 Amazon API Gateway에 게시됨
2. 제한된 수의 신뢰할 수 있는 IP 주소에서만 접근 허용
3. 회사 내부 네트워크의 IP만 허용

**정답 B가 충족하는 이유:**
- API Gateway는 **리소스 정책(Resource Policy)**을 지원함
- 리소스 정책은 IAM 정책과 유사한 JSON 기반 정책으로, **누가 API를 호출할 수 있는지** 제어
- `aws:SourceIp` 조건 키를 사용하여 **특정 IP 주소/CIDR 블록만 허용하고 나머지는 거부** 가능
- 별도의 인프라 변경 없이 API Gateway 자체에서 IP 기반 접근 제어를 수행

**리소스 정책 예시 흐름:**
1. 허용할 IP 주소 목록을 `aws:SourceIp` 조건에 정의
2. `Effect: Deny`로 해당 IP 외 모든 접근 차단
3. API Gateway가 요청 수신 시 리소스 정책을 먼저 평가
4. 조건 불일치 → 403 Forbidden 반환

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁