SAA-C03 Q73 · Security

Question

한 회사가 개인 식별 정보(PII) 속성을 포함하는 고객 데이터를 Amazon S3 에 저장하고 있습니다. 이 회사는 AWS Glue 카탈로그를 통해 회사 리소스에서 고객 정보에 접근할 수 있도록 해야 합니다. 또한, 특정 IAM 역할만 PII 데이터에 접근할 수 있도록 세분화된 접근 제어가 필요합니다. 솔루션 설계자는 이러한 요구 사항을 충족하기 위해 무엇을 해야 합니까?

Accepted Answer

**문제의 핵심 요구사항 분석:**

1️⃣ **S3에 PII 포함 고객 데이터 저장** → 데이터 레이크 시나리오
2️⃣ **AWS Glue 카탈로그를 통해 접근** → Glue Data Catalog 기반 메타데이터 관리
3️⃣ **특정 IAM 역할만 PII 접근 가능** → **컬럼 수준(column-level)의 세분화된 접근 제어** 필요

**AWS Lake Formation이 정답인 이유:**

- Lake Formation은 AWS Glue Data Catalog 위에 구축된 **세분화된 접근 제어 레이어**
- **테이블 수준, 컬럼 수준, 행 수준, 셀 수준**까지 권한을 제어할 수 있음
- Lake Formation의 Data Permissions 기능으로 특정 IAM 역할에 **PII 컬럼만 선택적으로 Grant/Revoke** 가능
- Glue Catalog과 **네이티브 통합**되므로 별도 아키텍처 변경 없이 적용 가능

**동작 흐름:**
1. Lake Formation에 S3 데이터 위치 등록
2. Glue Catalog의 테이블/컬럼에 대해 Lake Formation 권한 설정
3. PII 컬럼(예: SSN, 이름, 주소)에 대해 특정 IAM 역할에만 SELECT 권한 부여
4. 권한이 없는 역할은 PII 컬럼 자체를 볼 수 없음

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

💰 비용 관점

🔒 보안 관점

🎯 시험 팁