AWS Organizations to manage multiple AWS accounts for different departments.

문제

A company uses AWS Organizations to manage multiple AWS accounts for different departments. The management account has an Amazon S3 bucket that contains project reports. The company wants to limit access to this S3 bucket to only users of accounts within the organization in AWS Organizations. Which solution meets these requirements with the LEAST amount of operational overhead?

(한국어)

회사는 AWS Organizations를 사용하여 서로 다른 부서의 여러 AWS 계정을 관리합니다. 관리 계정에는 프로젝트 보고서가 포함된 Amazon S3 버킷이 있습니다. 회사는 이 S3 버킷에 대한 액세스를 AWS Organizations 내의 계정 사용자에게만 제한하고자 합니다. 가장 적은 운영 오버헤드로 이러한 요구 사항을 충족하는 솔루션은 무엇인가요?

 

A. Add the aws PrincipalOrgID global condition key with a reference to the organization ID to the S3 bucket policy.

B. Create an organizational unit (OU) for each department. Add the aws:PrincipalOrgPaths global condition key to the S3 bucket policy.

C. Use AWS CloudTrail to monitor the CreateAccount, InviteAccountToOrganization, LeaveOrganization, and RemoveAccountFromOrganization events. Update the S3 bucket policy accordingly.

D. Tag each user that needs access to the S3 bucket. Add the aws:PrincipalTag global condition key to the S3 bucket policy.

 

정답

A

 

chatGPT 정답

1. Amazon S3 버킷 정책 사용: AWS Organizations 내의 계정 사용자에게만 액세스를 제한하기 위해 Amazon S3 버킷에 대한 정책을 설정할 수 있습니다. 정책을 통해 특정 AWS 계정 ID 또는 AWS Organizations의 조직 단위를 지정하여 액세스를 허용하거나 거부할 수 있습니다.
2. 조직 단위의 정책 관리: AWS Organizations를 사용하여 조직 단위를 만들고 관리할 수 있습니다. 조직 단위에서 각 계정에 대한 액세스 정책을 구성하여 프로젝트 보고서를 포함한 Amazon S3 버킷에 대한 액세스를 제한할 수 있습니다.
3. 권장사항: AWS Identity and Access Management (IAM)을 사용하여 AWS Organizations 내의 계정 사용자에 대한 권한을 관리하는 것이 좋습니다. 각 계정 사용자에 대한 IAM 정책을 설정하여 필요한 권한만 부여하고, Amazon S3 버킷에 대한 액세스를 조직 내의 계정 사용자에게 제한합니다.