SAP-C02 Q541 · Multi-Account

Question

회사는 AWS Organizations AWS 계정을 사용합니다. 솔루션 설계자는 관리자 역할만 IAM 작업을 사용할 수 있도록 허용되는 솔루션을 설계해야 합니다. 그러나 아키텍처가 적용된 솔루션은 회사 전체의 모든 AWS 계정에 접근할 수 없습니다. 최소한의 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

Accepted Answer

**문제 요구사항 정리:**
1. 관리자 역할만 IAM 작업 사용 가능
2. 회사 전체 모든 AWS 계정에 적용
3. 최소 운영 오버헤드

**C가 정답인 이유 (단계별):**

1️⃣ **SCP의 Deny + Condition 패턴 활용**: SCP에서 `iam:*` 작업을 Deny하면서, Condition에 `ArnNotLike` 또는 `StringNotEquals`로 관리자 역할을 예외 처리 → 관리자 역할 외 모든 사용자의 IAM 작업이 거부됨

2️⃣ **루트 OU에 적용**: 루트 OU에 SCP를 연결하면 조직 내 모든 하위 OU와 계정에 자동 상속 → 개별 계정마다 설정할 필요 없음

3️⃣ **최소 운영 오버헤드**: SCP는 한 번 작성하고 루트 OU에 연결하면 끝. 새 계정이 추가되어도 자동 적용됨

4️⃣ **SCP의 Deny는 Allow보다 강력**: 개별 계정의 IAM 정책에서 IAM 작업을 Allow하더라도 SCP의 Deny가 우선 → 확실한 가드레일 역할

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁