SAP-C02 Q246 · Multi-Account

Question

회사는 중앙 위치에서 여러 부서의 여러 AWS 계정을 만들고 관리해야 합니다. 보안 팀은 자체 AWS 계정의 모든 계정에 대한 읽기 전용 액세스 권한이 필요합니다. 이 회사는 AWS Organizations를 사용하고 있으며 보안 팀을 위한 계정을 생성했습니다. 솔루션 설계자는 이러한 요구 사항을 어떻게 충족해야 합니까?

Accepted Answer

**문제 요구사항 정리:**
1. 중앙에서 여러 AWS 계정 관리 (Organizations 사용 중)
2. 보안 팀은 자체 계정에서 **모든 멤버 계정에 읽기 전용 액세스** 필요

**정답 B가 충족하는 방식:**

1단계: OrganizationAccountAccessRole은 Organizations에서 계정 생성 시 자동으로 만들어지는 IAM 역할로, 관리(마스터) 계정에 **Full Admin** 권한을 부여함. 이 역할을 사용해 각 멤버 계정에 로그인/작업 가능.

2단계: 이 기존 역할을 활용하여 각 멤버 계정에 **읽기 전용 권한만 가진 새로운 IAM 역할**을 생성함. → 최소 권한 원칙 준수

3단계: 새로 생성한 IAM 역할의 **신뢰 정책(Trust Policy)**에 보안 팀 계정을 Principal로 지정 → 보안 팀 계정의 사용자/역할이 AssumeRole 가능

4단계: 보안 팀은 자체 계정에서 STS AssumeRole로 각 멤버 계정의 읽기 전용 역할을 assume하여 접근

**핵심 포인트:** 크로스 계정 액세스의 정석은 **IAM 역할 + 신뢰 관계**. IAM 정책이 아닌 IAM 역할을 통해 임시 자격 증명을 획득하는 것이 AWS 모범 사례.

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁