SAP-C02 Q286 · Multi-Account

Question

회사는 AWS Organizations의 조직에서 중앙 집중식으로 수백 개의 AWS 계정을 관리합니다. 이 회사는 최근 제품 팀이 자신의 계정에서 자체 S3 액세스 포인트를 생성하고 관리할 수 있도록 허용하기 시작했습니다. S3 액세스 포인트는 인터넷이 아닌 VPC 내에서만 액세스할 수 있습니다. 이 요구 사항을 적용하는 가장 효율적인 운영 방법은 무엇입니까?

Accepted Answer

문제의 핵심 요구사항을 분해하면:

1. **수백 개의 AWS 계정** → 개별 계정 설정은 비효율적, 중앙 집중식 제어 필요
2. **제품 팀이 자체 S3 액세스 포인트를 생성/관리** → 팀 자율성 보장
3. **VPC 내에서만 액세스 가능** → 인터넷 액세스 차단 강제
4. **가장 효율적인 운영 방법** → 최소 관리 오버헤드

SCP(Service Control Policy)가 정답인 이유:
- **조직 루트 수준에 한 번만 적용** → 모든 하위 OU와 계정에 자동 상속
- **가드레일(Guardrail) 역할** → 개별 계정의 IAM 정책과 관계없이 상위에서 제한 강제
- `s3:AccessPointNetworkOrigin` 조건 키가 `VPC`가 아니면 `s3:CreateAccessPoint`를 Deny
- 신규 계정이 추가되어도 자동으로 정책이 적용됨
- 개별 계정 관리자가 SCP를 우회할 수 없음 (관리 계정만 SCP 관리 가능)

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁