Week 2의 네 날을 통과하며 우리는 IAM의 네 기둥을 세웠다. day1의 정책 평가 로직(여섯 층의 교집합과 explicit deny 우선), day2의 Permission Boundary(개인 권한의 천장과 안전한 위임), day3의 SCP(계정 전체의 가드레일), day4의 페더레이션·ABAC(임시 자격증명과 태그 기반 확장). 오늘은 이 넷이 따로 노는 지식이 아니라 하나의 거버넌스 기계로 맞물리는 모습을 본다.
Specialty 시험의 진짜 난이도는 "SCP가 뭐냐"가 아니라 "SCP·Boundary·IAM·Resource 정책이 동시에 걸린 환경에서 이 요청이 왜 막혔는가"를 추적하는 데 있다. 오늘은 통합 시나리오로 그 추적 근육을 단련한다.
한 직원이 멀티 계정 환경에서 S3 객체 하나를 읽으려 할 때, 그 요청은 다음 관문을 모두 통과해야 한다.
[직원] alice — IdP에서 SAML 로그인 (day4)
│ PrincipalTag: Team=payments 전달
▼
[STS] AssumeRoleWithSAML → 임시 자격증명 발급 (day4)
│ Session Policy로 세션 권한 추가 축소 가능
▼
┌──────────── 평가 엔진 (day1) ────────────┐
│ 0. Explicit Deny 어디든 있나? → 있으면 끝 │
│ 1