[MLS-C01] AWS 오늘의 퀴즈 (단일 정답)
작성자: aws | 작성일: 2026년 05월 11일 | 조회: 6 | 좋아요: 1
AWS MLS-C01 | Specialty
🤖 Machine Learning – Specialty
Q. 한 데이터 과학 팀이 민감한 데이터를 Amazon S3에 저장하고 있습니다. 보안 팀은 모든 AWS 계정 및 리전(Region)에 걸쳐 S3 버킷 정책(Bucket Policy)을 지속적으로 모니터링하여 어떤 S3 버킷도 공개적으로 접근 가능하지 않도록(Publicly Accessible) 보장해야 합니다. 만약 버킷이 공개적으로 접근 가능하게 될 경우, 보안 팀에 즉시 알림을 보내고, 가능하다면 자동으로 정책을 수정(Remediate)해야 합니다.
이러한 요구사항을 가장 효율적이고 비용 효과적이며 확장 가능한 방식으로 충족시키는 솔루션은 무엇입니까?
A. AWS Config에서 S3 버킷의 공개 접근 가능 여부를 모니터링하는 관리형 규칙(Managed Rule)을 설정하고, 위반 시 Amazon SNS를 통해 알림을 보내며, AWS Lambda 함수를 사용하여 자동 수정하도록 구성합니다.
B. Amazon CloudTrail에서 S3 `PutBucketPolicy` API 호출 이벤트를 로깅하고, Amazon CloudWatch Logs를 사용하여 해당 로그를 필터링한 후, 공개 접근을 허용하는 정책이 감지되면 CloudWatch 경보(Alarm)를 생성하여 알림을 보냅니다.
C. AWS Lambda 함수를 개발하여 주기적으로 모든 S3 버킷을 스캔하고 각 버킷의 정책을 확인한 후, 공개 접근이 허용된 버킷을 발견하면 Amazon SNS를 통해 알림을 보냅니다.
D. AWS Systems Manager State Manager를 사용하여 EC2 인스턴스에 설치된 에이전트를 통해 주기적으로 S3 버킷 정책을 확인하는 스크립트를 실행하고, 위반 시 AWS Systems Manager OpsCenter를 통해 수동으로 처리하도록 합니다.
🎯 정답: A
✅ A. AWS Config에서 S3 버킷의 공개 접근 가능 여부를 모니터링하는 관리형 규칙(Managed Rule)을 설정하고, 위반 시 Amazon SNS를 통해 알림을 보내며, AWS Lambda 함수를 사용하여 자동 수정하도록 구성합니다.
B. Amazon CloudTrail에서 S3 `PutBucketPolicy` API 호출 이벤트를 로깅하고, Amazon CloudWatch Logs를 사용하여 해당 로그를 필터링한 후, 공개 접근을 허용하는 정책이 감지되면 CloudWatch 경보(Alarm)를 생성하여 알림을 보냅니다.
C. AWS Lambda 함수를 개발하여 주기적으로 모든 S3 버킷을 스캔하고 각 버킷의 정책을 확인한 후, 공개 접근이 허용된 버킷을 발견하면 Amazon SNS를 통해 알림을 보냅니다.
D. AWS Systems Manager State Manager를 사용하여 EC2 인스턴스에 설치된 에이전트를 통해 주기적으로 S3 버킷 정책을 확인하는 스크립트를 실행하고, 위반 시 AWS Systems Manager OpsCenter를 통해 수동으로 처리하도록 합니다.
💡 해설:
AWS Config는 AWS 리소스의 구성을 지속적으로 모니터링하고 평가하여 규정 준수(Compliance) 상태를 관리하는 데 최적화된 서비스입니다. S3 퍼블릭 액세스를 모니터링하는 관리형 규칙을 제공하여 추가 개발 없이 즉시 적용할 수 있으며, 위반 시 자동으로 알림을 보내고 AWS Lambda를 통한 자동 수정(Remediation)까지 연동할 수 있어 가장 효율적이고 확장 가능한 솔루션입니다.
B는 S3 정책 변경 이벤트를 감지하지만, 현재 버킷의 규정 준수 상태를 지속적으로 평가하는 데는 추가적인 구성이 필요하며 자동 수정 기능 연동이 더 복잡합니다. C는 맞춤형 개발이 필요하므로 관리 부담이 크고 AWS Config가 제공하는 관리형 서비스의 이점을 활용하지 못합니다. D는 AWS Systems Manager가 EC2 인스턴스 관리에 주로 사용되며 S3 버킷 정책 모니터링에는 적합하지 않습니다.
AWS Config는 AWS 리소스의 구성을 지속적으로 모니터링하고 평가하여 규정 준수(Compliance) 상태를 관리하는 데 최적화된 서비스입니다. S3 퍼블릭 액세스를 모니터링하는 관리형 규칙을 제공하여 추가 개발 없이 즉시 적용할 수 있으며, 위반 시 자동으로 알림을 보내고 AWS Lambda를 통한 자동 수정(Remediation)까지 연동할 수 있어 가장 효율적이고 확장 가능한 솔루션입니다.
B는 S3 정책 변경 이벤트를 감지하지만, 현재 버킷의 규정 준수 상태를 지속적으로 평가하는 데는 추가적인 구성이 필요하며 자동 수정 기능 연동이 더 복잡합니다. C는 맞춤형 개발이 필요하므로 관리 부담이 크고 AWS Config가 제공하는 관리형 서비스의 이점을 활용하지 못합니다. D는 AWS Systems Manager가 EC2 인스턴스 관리에 주로 사용되며 S3 버킷 정책 모니터링에는 적합하지 않습니다.
🚀 Tip: AWS 시험에서는 규정 준수(Compliance) 모니터링 및 자동화된 수정 시나리오에서 AWS Config의 역할과 다른 서비스(CloudWatch, CloudTrail, Lambda)와의 연동 방식을 정확히 이해하는 것이 중요합니다. 특히, 지속적인 구성 변경 관리 및 규정 준수 평가에는 AWS Config가 핵심 서비스입니다.
AWS ConfigAmazon S3Amazon SNSAWS Lambda
🛡️ Deuktem AWS Quiz Bot | 커뮤니티 이동