AWS Cloud Practitioner Essentials 모듈6 요약 및 퀴즈

 

모듈6 요약

Keyword 

• 공동 책임 모델
• AWS Identity and Access Management의 기능
• AWS Organizations에서 여러 계정을 관리하는 방법
• AWS 규정 준수 리소스
• 애플리케이션 보안 및 암호화를 위한 AWS 서비스

 

모듈6 퀴즈

1. 다음 중 고객의 책임은 무엇입니까? (2개 선택)

• 네트워크 인프라 유지 관리
• Amazon EC2 인스턴스에서 소프트웨어 패치 적용
• 데이터 센터에서 물리적 보안을 구현
• Amazon S3 객체에 대한 권한 설정
• Amazon EC2 인스턴스를 실행하는 서버 유지 관리
   

두 가지 정답은 다음과 같습니다.

• Amazon EC2 인스턴스에 소프트웨어 패치 적용
• Amazon S3 객체에 대한 권한 설정

 

2. AWS Organizations에서 서비스 제어 정책(SCP)을 구성하고 있습니다. SCP는 어떤 자격 증명과 리소스에 적용할 수 있습니까? (2개 선택)

• IAM 사용자
• IAM 그룹
• 개별 멤버 계정
• IAM 역할
• 조직 단위(OU) 

   

두 가지 정답은 다음과 같습니다.

• 개별 멤버 계정
• 조직 단위(OU)

AWS Organizations에서 서비스 제어 정책(SCP)을 조직 루트, 개별 멤버 계정 또는 OU에 적용할 수 있습니다. SCP는 AWS 계정 루트 사용자를 포함하여 계정 내의 모든 IAM 사용자, 그룹 및 역할에 영향을 줍니다.

 

IAM 정책은 IAM 사용자, 그룹 또는 역할에 적용할 수 있습니다. AWS 계정 루트 사용자에게는 IAM 정책을 적용할 수 없습니다.

 

 

3. 다음 중 AWS Artifact에서 수행할 수 있는 작업은 무엇입니까? (2개 선택)

• 온디맨드로 AWS 규정 준수 보고서에 액세스
• 중앙 위치에서 여러 AWS 계정을 통합 및 관리
• 사람과 애플리케이션이 AWS 서비스 및 리소스와 상호 작용할 수 있도록 사용자를 생성
• 서비스 제어 정책(SCP)을 구성하여 계정의 권한을 설정
• AWS와의 계약을 검토, 수락 및 관리

2가지 정답은 다음과 같습니다.

• 온디맨드로 AWS 규정 준수 보고서에 액세스
• AWS와의 계약을 검토, 수락 및 관리

다른 선택지가 오답인 이유는 다음과 같습니다.

• 중앙 위치에서 여러 AWS 계정을 통합 및 관리 - 이 작업은 AWS Organizations에서 수행할 수 있습니다.
• 사람과 애플리케이션이 AWS 서비스 및 리소스와 상호 작용할 수 있도록 사용자를 생성 - 이 작업은 AWS Identity and Access Management(IAM)에서 수행할 수 있습니다.
• 서비스 제어 정책(SCP)을 구성하여 계정의 권한을 설정 - 이 작업은 AWS Organizations에서 수행할 수 있습니다.

 

 

4. 다음 중 IAM 정책을 가장 잘 설명한 것은 무엇입니까?

 

AWS 계정에 추가 보호 계층을 제공하는 인증 프로세스

 

AWS 서비스 및 리소스에 대한 권한을 부여하거나 거부하는 문서

 

임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명

 

AWS 계정을 처음 만들면 설정되는 자격 증명

 

 

정답은 AWS 서비스 및 리소스에 대한 권한을 부여하거나 거부하는 문서입니다.

 

IAM 정책은 사용자가 리소스에 액세스할 수 있는 수준을 사용자 지정할 수 있는 유연성을 제공합니다. 예를 들어 사용자가 AWS 계정 내의 모든 Amazon S3 버킷에 액세스하거나 특정 버킷에만 액세스하도록 허용할 수 있습니다.

다른 선택지가 오답인 이유는 다음과 같습니다.

• AWS 계정에 추가 보호 계층을 제공하는 인증 프로세스는 다중 인증(MFA)입니다.
• 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명은 IAM 역할입니다.
• AWS 계정을 처음 만들면 설정되는 자격 증명은 루트 사용자 자격 증명입니다.

 

 

5. 직원이 여러 Amazon S3 버킷을 생성하기 위해 임시 액세스 권한이 필요합니다. 다음 중 이 작업에 가장 적합한 옵션은 무엇입니까?

 

AWS 계정 루트 사용자

 

IAM 그룹

 

IAM 역할

 

서비스 제어 정책(SCP)

 

 

정답은 IAM 역할입니다.

 

IAM 역할은 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명입니다. IAM 역할을 수임한다는 것은 이전 역할에 지정된 모든 권한을 포기하고 새 역할에 지정된 권한을 수임하는 것입니다. IAM 역할은 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해야 하는 상황에 이상적입니다.

 

다른 선택지가 오답인 이유는 다음과 같습니다.

• AWS 계정을 처음 만들면 AWS 계정 루트 사용자가 설정됩니다. 일상 작업에는 루트 사용자를 사용하지 않는 것이 가장 좋습니다.
• IAM 정책을 IAM 그룹에 연결할 수 있지만 직원에게 임시 권한만 부여하면 되므로 이 시나리오에서는 가장 적합한 선택이 아닙니다.
• 서비스 제어 정책(SCP)을 사용하면 조직의 계정에 대한 권한을 중앙에서 제어할 수 있습니다. SCP는 개별 직원에게 임시 권한을 부여하는 데 가장 적합한 선택이 아닙니다.

 

 

6. 다음 중 최소 권한 원칙을 가장 잘 설명한 것은 무엇입니까?

 

IAM 사용자를 하나 이상의 IAM 그룹에 추가

 

액세스 제어 목록에서 패킷의 권한을 확인

 

특정 작업을 수행하는 데 필요한 권한만 부여

 

하나 이상의 디바이스에서 시작하는 서비스 거부 공격을 수행

 

정답은 특정 작업 작업을 수행하는 데 필요한 권한만 부여입니다.

 

최소 권한 원칙에 따라 권한을 부여하면 사용자 또는 역할이 특정 작업을 수행하는 데 필요한 것보다 많은 권한을 갖는 것을 방지할 수 있습니다. 예를 들어 커피숍의 계산원에게는 금전 등록기 시스템에 대한 액세스 권한을 부여해야 합니다. IAM 사용자 및 역할에 최소한의 권한 집합을 부여한 다음 필요에 따라 추가 권한을 부여하는 것이 가장 좋습니다

 

 

 

7. 다음 중 애플리케이션을 분산 서비스 거부(DDoS) 공격으로부터 보호하는 데 도움이 되는 서비스는 무엇입니까?

 

Amazon GuardDuty

 

Amazon Inspector

 

AWS Artifact

 

AWS Shield

 

 

정답은 AWS Shield입니다.

 

네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield는 다양한 분석 기법을 사용하여 실시간으로 잠재적 DDoS 공격을 탐지하고 자동으로 완화합니다.

 

다른 선택지가 오답인 이유는 다음과 같습니다.

• Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.
• Amazon Inspector는 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사합니다.
• AWS Artifact는 AWS 보안 및 규정 준수 보고서와 일부 온라인 계약에 온디맨드로 액세스할 수 있는 서비스입니다.

 

 

8. 다음 중 AWS Key Management Service(AWS KMS)가 수행할 수 있는 작업은 무엇입니까?

 

다중 인증(MFA) 구성

 

AWS 계정 루트 사용자 암호 업데이트

 

암호화 키 생성

 

사용자 및 그룹에 권한 할당

 

 

정답은 암호화 키 생성입니다.

 

AWS Key Management Service(AWS KMS)를 사용하면 암호화 키를 사용하여 암호화 작업을 수행할 수 있습니다. 암호화 키는 데이터 잠금(암호화) 및 잠금 해제(암호 해독)에 사용되는 임의의 숫자 문자열입니다. AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있습니다. 또한 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있습니다.

 

다른 선택지가 오답인 이유는 다음과 같습니다.

• 다중 인증(MFA) 구성은 AWS Identity and Access Management(IAM)에서 수행할 수 있습니다.
• AWS 계정 루트 사용자 암호 업데이트는 AWS 관리 콘솔에서 수행할 수 있습니다.
• 사용자 및 그룹에 권한 할당은 AWS Identity and Access Management(IAM)에서 수행할 수 있습니다.