SAP-C02 Q74 · IAM

Question

한 회사가 단일 AWS 계정에서 여러 워크로드를 실행하고 있습니다. 새로운 회사 정책에 따르면 엔지니어는 승인된 리소스만 프로비저닝할 수 있으며 엔지니어는 AWS CloudFormation을 사용하여 이러한 리소스를 프로비저닝해야 합니다. 솔루션 설계자는 엔지니어가 액세스에 사용하는 IAM 역할에 새로운 제한을 적용하는 솔루션을 만들어야 합니다. 솔루션 설계자는 솔루션을 생성하기 위해 무엇을 해야 합니까?

Accepted Answer

**문제 요구사항 정리:**
1. 엔지니어는 **승인된 리소스만** 프로비저닝 가능
2. 반드시 **AWS CloudFormation**을 통해서만 프로비저닝
3. 엔지니어의 **IAM 역할에 제한**을 적용

**C가 모든 요구사항을 충족하는 흐름:**

**Step 1:** 엔지니어의 IAM 역할 → CloudFormation 작업만 허용 (CreateStack, UpdateStack 등)
→ 엔지니어가 직접 EC2, RDS 등을 생성하는 것이 원천 차단됨

**Step 2:** 새 IAM 서비스 역할 생성 → 승인된 리소스(EC2, S3 등)를 프로비저닝할 수 있는 권한 부여
→ CloudFormation이 이 역할을 **Assume**하여 실제 리소스를 생성

**Step 3:** 스택 생성 시 이 서비스 역할을 지정 (--role-arn 파라미터)
→ CloudFormation은 서비스 역할의 권한으로 리소스를 생성

**핵심 원리: 권한 분리(Separation of Privileges)**
- 엔지니어 본인 → CloudFormation API만 호출 가능
- 실제 리소스 생성 권한 → CloudFormation 서비스 역할에 위임
- 엔지니어가 서비스 역할에 정의되지 않은 리소스를 템플릿에 넣으면 → 스택 생성 실패
- 엔지니어가 CloudFormation을 우회하여 직접 리소스 생성 시도 → IAM 정책에 의해 거부

📖 해설

✅ 정답 분석

❌ 오답 분석

📘 핵심 개념

🏗️ 아키텍처

⚙️ 운영 관점

🔒 보안 관점

🎯 시험 팁