aws sap 문제 풀이 1주차 문제풀이 2번

aws, sap, February 21, 2023

문제

2) AWS Organizations 의 조직에 여러 AWS 계정을 보유한 회사가 있습니다. 이 회사는 온프레미스 Active Directory 를 AWS Single Sign-On(AWS SSO)과 통합하여 Active Directory 사용자에게 모든 계정에서 인프라를 관리할 수 있는 최소한의 권한을 부여했습니다. 솔루션스 아키텍트는 모든 AWS 계정에서 읽기 전용 액세스 권한이 필요한 제 3 자 모니터링 솔루션을 통합해야 합니다. 모니터링 솔루션은 자체 AWS 계정에서 실행됩니다. 솔루션스 아키텍트가 모니터링 솔루션에 필요한 권한을 제공하려면 어떤 작업을 수행해야 합니까?

A) AWS SSO 디렉터리에 사용자를 생성합니다. 읽기 전용 권한 집합을 사용자에게 할당합니다. 모니터링해야 하는 모든 AWS 계정을 사용자에게 할당합니다. 제 3 자 모니터링 솔루션에 사용자 이름과 암호를 제공합니다.
B) 조직의 관리 계정에 IAM 역할을 생성합니다. 제 3 자 모니터링 솔루션의 AWS 계정이 해당 역할을 맡을 수 있도록 허용합니다.
C) 제 3 자 모니터링 솔루션의 AWS 계정을 조직에 가입하도록 초대합니다. 모든 기능을 활성화합니다.
D) 제 3 자 모니터링 솔루션에 대한 새 IAM 역할을 정의하는 AWS CloudFormation 템플릿을 생성합니다. 신뢰 정책에서 제 3 자 모니터링 솔루션의 AWS 계정을 지정합니다. 스택 세트를 사용하여 연결된 모든 AWS 계정에서 IAM 역할을 생성합니다.

풀이 및 공부

공부

Active Directory 와 SSO 개념이 부족해서 간단하게 정리

Active Directory

액티브 디렉터리(Active Directory, 줄여서 AD)는 마이크로소프트가 윈도우용 환경에서 사용하기 위해 개발한 LDAP 디렉터리 서비스의 기능이다. 주 목적은 윈도우 기반의 컴퓨터들을 위한 인증 서비스를 제공하는 것이다. 회사에서 내 사번으로 컴퓨터 로그인할때 인증하는.. 그런거라고 생각하면 될 것 같다.

SSO

통합 인증(영어: Single Sign-On; SSO)은 한 번의 인증 과정으로 여러 컴퓨터 상의 자원을 이용 가능하게 하는 인증 기능

문제에서 얘기하는 AD와 SSO를 통합하면

이런식으로 AWS 콘솔로그인을 AD와 연결시키고

AD 계정으로 콘솔을 로그인할 수 있다.

풀이

문제 이해

이런식으로 되어있을때 기존에 있는 조직에 3rd party 계정을 넣을지? 아니면 기존의 계정에서 Role을 할당해주어야할지? 등등 고려해봐야 하는 문제

A번

AWS SSO Login은 session time이 존재하므로 해당안됨

B번

Management Account에서 Role을 만들어 다른계정이 sts AssumeRole을 사용할 수 있도록 할 수 있다

하지만 B번같은 경우는 Management Account만 접근 가능하게 된다.

D번

B번에서 한 걸 모든 계정에서 해줘야 한다. 자동화를 위해 Cloudformation stack으로 만들어서 활용하라는 문항이므로 이것이 정답

참고

Comments