SCS-C03 시험에서 가장 많이 틀리는 단 하나의 주제를 꼽으라면 단연 IAM 정책 평가 로직이다. "이 요청은 허용될까, 거부될까?"라는 질문은 도메인 전반에 흩어져 출제되는데, 보기 네 개가 모두 그럴듯해 보이고 정답은 하나뿐이다. 그 이유는 IAM이 단순한 ON/OFF 스위치가 아니라, 여섯 종류의 정책이 동시에 평가되는 다층 의사결정 엔진이기 때문이다.
Associate 수준에서는 "IAM 정책에서 Allow하면 허용된다"는 단순 모델로 충분했다. 하지만 Specialty에서는 SCP, Permission Boundary, Session Policy, Resource-based Policy, VPC Endpoint Policy까지 동시에 작동하는 환경에서 "왜 권한을 줬는데 막혔는가?"를 추적할 수 있어야 한다. 오늘은 AWS가 공식 문서에 명시한 **평가 흐름(evaluation flow)**을 한 줄도 빠짐없이 손에 익힌다.
모든 평가는 다음 세 원칙 위에서 돌아간다. 이 세 가지만 정확히 알면 절반은 풀린다.