SAP-C02 Q410 · Multi-Account

Question

한 회사가 AWS Control Tower를 사용하여 AWS Organizations에 속한 조직의 AWS 계정을 관리하고 있습니다. 회사에는 계정이 포함된 OU가 있습니다. 회사는 OU 계정의 신규 또는 기존 Amazon EC2 인스턴스가 퍼블릭 IP 주소를 얻지 못하도록 방지해야 합니다. 어떤 솔루션이 이러한 요구 사항을 충족합니까?

Accepted Answer

**문제 요구사항 정리:**
1. OU 내 모든 계정에 적용
2. **신규** EC2 인스턴스의 퍼블릭 IP 할당 방지
3. **기존** EC2 인스턴스의 퍼블릭 IP 연결 방지
4. '방지(prevent)' = 사전 차단이 필요

**SCP가 정답인 이유:**
- SCP는 AWS API 호출 자체를 차단하는 **예방적(preventive) 제어**
- `ec2:RunInstances` API에서 `ec2:AssociatePublicIpAddress` 조건키를 사용하여 퍼블릭 IP가 true인 인스턴스 시작을 거부 가능
- `ec2:AssociateAddress` API를 거부하여 기존 인스턴스에 Elastic IP 연결도 차단 가능
- SCP를 OU에 연결하면 해당 OU 내 **모든 계정**에 자동 적용
- 개별 계정의 IAM 정책과 무관하게 조직 수준에서 강제 적용됨

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁