작성
·
203
·
수정됨
0
보기 B와 D가 같은 말 같아요.
cloudfront 생성하고 배포에서 생성한 waf를 연결해주는 걸로 알고 있습니다. 이게 B와 D에 같이 해당하는 말 아닌가요?
B는 왜 틀린건지 잘 모르겠어요. OAI가 빠졌기 때문에, (OAI 없이는) s3요청을 waf로 전달되도록 불가 라는 뜻일까요?
번역 순서오류?
C보기에 'Amazon CloudFront IP주소가 Amazon S3에만 액세스 가능하도록 허용하는 보안 그룹 규칙을 만들 수 있다'는 설명까지는 맞는말인가요? (= 특정 서비스의 IP를 특정 서비스에서만 사용 가능하게 할 수 있나요?)
아니라면 혹시 순서를 바꿔서 'Amazon S3에 amazon cloudfront ip 주소만 액세스하도록 허용하는 보안 그룹을 구성한다'가 문제가 노린 함정 의도일까요?(S3에 보안그룹 기능이 안되어서 오답이겠지만)
P.S. chatgpt에 물어보면서 공부하고 있는데 이게 정확한지 의문이네요 흠..
답변 1
0
안녕하세요.
해석에 따라 B, D 둘 다 답이 될 수 있는 문제라고 판단됩니다.
다만 D가 더 구체적인 솔루션을 제시하였습니다. OAI를 통해 S3로의 직접액세스를 제한하고 CloudFront를 통해서만 액세스 할 수 있도록 구성하였기에 모든 트래픽이 WAF를 통하게 됩니다.
만일 OAI를 구성하지 않으면 S3에 직접액세스 할 수 있을 수도 있기에 WAF를 통하지 않을 수도 있을거라 판단됩니다.
번역에 대한 부분을 명확히 해드리기 위해 아래와 같이 영어 원문을 첨부합니다.
A. Configure an S3 bucket policy to accept requests coming from the AWS WAF Amazon Resource Name (ARN) only.
B. Configure Amazon CloudFront to forward all incoming requests to AWS WAF before requesting content from the S3 origin.
C. Configure a security group that allows Amazon CloudFront IP addresses to access Amazon S3 only. Associate AWS WAF to CloudFront.
D. Configure Amazon CloudFront and Amazon S3 to use an origin access identity (OAI) to restrict access to the S3 bucket. Enable AWS WAF on the distribution