질문 68: 건너뜀

A company is planning to launch a mobile app for the Department of Transportation that allows government staff to upload the latest photos of ongoing construction works such as bridges, roads culverts, and dams all over the country. The mobile app should send the photos to a web server hosted on an EC2 instance which then adds a watermark to each photo that contains the project details and the date it was taken. The solutions architect must design a solution in which the photos generated by the server will be uploaded to an S3 bucket for durable storage.

Which of the following solutions is a secure architecture and allows the EC2 instance to upload photos to S3?

한 회사는 정부 직원이 전국의 교량, 도로 암거 및 댐과 같은 진행 중인 건설 작업의 최신 사진을 업로드할 수 있는 교통부용 모바일 앱을 출시할 계획입니다. 모바일 앱은 사진을 EC2 인스턴스에서 호스팅되는 웹 서버로 보내야 합니다. 그러면 각 사진에 프로젝트 세부 정보와 촬영 날짜가 포함된 워터마크가 추가됩니다. 솔루션 설계자는 내구성 있는 스토리지를 위해 서버에서 생성된 사진을 S3 버킷에 업로드하는 솔루션을 설계해야 합니다.

다음 중 보안 아키텍처이며 EC2 인스턴스가 S3에 사진을 업로드할 수 있도록 허용하는 솔루션은 무엇입니까?

Set up an IAM service role with permissions to list and write objects to the S3 bucket. Attach the IAM role to the EC2 instance which will enable it to retrieve temporary security credentials from the instance userdata and use that access to upload the photos to the S3 bucket.

Set up a service control policy (SCP) with permissions to list and write objects to the S3 bucket. Attach the SCP to the EC2 instance which will enable it to retrieve temporary security credentials from the instance metadata and use that access to upload the photos to the S3 bucket.

Set up an IAM role with permissions to list and write objects to the S3 bucket. Attach the IAM role to the EC2 instance which will enable it to retrieve temporary security credentials from the instance metadata and use that access to upload the photos to the S3 bucket.

Set up an IAM user with permissions to list and write objects to the S3 bucket. Launch the instance as the IAM user which will enable the EC2 instance to retrieve temporary security credentials from the instance userdata and use that access to upload the photos to the S3 bucket.

S3 버킷에 개체를 나열하고 쓸 수 있는 권한을 가진 IAM 서비스 역할을 설정합니다. 인스턴스 사용자 데이터에서 임시 보안 자격 증명을 검색하고 해당 액세스 권한을 사용하여 사진을 S3 버킷에 업로드할 수 있도록 EC2 인스턴스에 IAM 역할을 연결합니다.

S3 버킷에 개체를 나열하고 쓸 수 있는 권한을 가진 SCP(서비스 제어 정책)를 설정합니다. SCP를 EC2 인스턴스에 연결하면 인스턴스 메타데이터에서 임시 보안 자격 증명을 검색하고 해당 액세스 권한을 사용하여 S3 버킷에 사진을 업로드할 수 있습니다.

S3 버킷에 개체를 나열하고 쓸 수 있는 권한을 가진 IAM 역할을 설정합니다. IAM 역할을 EC2 인스턴스에 연결하면 인스턴스 메타데이터에서 임시 보안 자격 증명을 검색하고 해당 액세스 권한을 사용하여 사진을 S3 버킷에 업로드할 수 있습니다.

S3 버킷에 개체를 나열하고 쓸 수 있는 권한을 가진 IAM 사용자를 설정합니다. 인스턴스를 IAM 사용자로 시작합니다. 그러면 EC2 인스턴스가 인스턴스 사용자 데이터에서 임시 보안 자격 증명을 검색하고 해당 액세스 권한을 사용하여 S3 버킷에 사진을 업로드할 수 있습니다.

풀이 및 공부

왼쪽에 해당 (다음 문제는 오른쪽에 해당)

s3 access 권한이 있는 iam role 을 ec2에 붙여주어야함

attach하면 사용 가능하다고 설명하는 youtube example.

iam role = aws service role

metadata에 대해서 간단히 이해

meta에서 가져온다는건 이얘기인듯. 하지만 맨위에서 본 예시(iam-user)처럼 role만 붙이면 바로바로 사용가능하고(sdk 안에서 그런로직이 있을듯) 뭐 직접 이 credentail을 호출한다던지…이런 동작은 application에서는 필요없음.

위 내용을 이해하면 아래 내용 술술읽힘

참고