assumrole : cross account
getsessiontoken : mfa from root user
getfederationtoken : obtain temporary creds for federated user
decode authorization message : decode error message when aws api is denied
sts는 많이 출제되고 많이 어려웠는데, 위 4가지만 알면 된다. 그럼 사실 끝났던것 같다.
밑에는 헷갈렸던 것들을 정리했다.
1. 명시적거부와 명시적허용이 있으면 명시적거부 조건을 먼저 평가하기 때문에 denied 됨
2. ec2 인스턴스를 인증하는 s3 버켓이 남아있는 경우 계속 s3에서 작업이 가능함(iam, s3, ec2 정책이 합쳐져서 이루어지기 때문에 어느 1개라도 있다면 허용이 될 수도 거부가 될 수도 있음)
3. resource : [$aws:username]로 iam 계정 동적확장이 가능함
4. inline(정책과 직접연결, 바꾸기 쉽지 않음) vs managed policies(바꾸기 쉬움, aws가 관리)
5. 다른 서비스로 역할을 전달하려면 iam:passrole을 전달해야함. 종종 iam:getrole로 보기위한 역할을 주기도 함
6. 특정 서비스에서 역할을 주게 하기 위해서는 : 신뢰정책(trust allow)
이 정도만 알면 sts, 고급자격 증명부분은 거의 커버가 됐던것 같다.
1.
해설 : AWS STS(Security Token Service)를 사용하면 다른 AWS 계정에서 IAM 역할을 맡도록 승인된 AWS 계정에서 IAM 역할을 생성하여 교차 계정 액세스 권한을 얻을 수 있습니다.
2.
해설 : S3에서 작업을 수행하는 EC2 인스턴스의 IAM 정책을 평가할 때 EC2 인스턴스의 IAM 정책과 S3 버킷의 버킷 정책의 통합이 모두 고려됩니다.
3.
해설 : 밑부터 읽어야함. rds-*이므로 rds로 시작하는 역할을 passrole하는데, 그게 ec2에 될 수 있다는 것이다.
4.
해설 : 동적변수
5.
해설 : 이건 잘 몰라도 되는데 거의 관리형을 고르면 됨
공부해도 어렵다~
'자격증공부 > AWS Certified Developer - Associate' 카테고리의 다른 글
| AWS Certified Developer Associate 시험 합격을 위한 모든 것 - (26) (0) | 2023.03.31 |
|---|---|
| AWS Certified Developer Associate 시험 합격을 위한 모든 것 - (25) (0) | 2023.03.31 |
| AWS Certified Developer Associate 시험 합격을 위한 모든 것 - (23) (0) | 2023.03.31 |
| AWS Certified Developer Associate 시험 합격을 위한 모든 것 - (22) (0) | 2023.03.31 |
| AWS Certified Developer Associate 시험 합격을 위한 모든 것 - (21) (0) | 2023.03.31 |
