SEC 3: 사람과 시스템에 대한 권한은 어떻게 관리합니까?

AWS 및 워크로드에 액세스해야 하는 사람 및 시스템 자격 증명에 대한 액세스를 제어하는 권한을 관리합니다. 권한은 누가 어떤 조건에서 무엇에 액세스할 수 있는지를 제어합니다.

리소스

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

모범 사례:

개선 계획

액세스 요구 사항 정의

  • 직무 및 책임에 요구되는 권한 정의: 사용자의 직무, 역할 또는 책임에 따라 액세스 권한이 필요한 리소스와 적용되는 조건을 정의합니다. 정책을 손쉽게 위임할 수 있도록 공통적인 요구 사항을 가진 사용자를 그룹화합니다.
    IAM use cases
  • 최소 권한 액세스 부여

  • 최소 권한 정책 구현: IAM 그룹 및 역할에 최소 권한 액세스 정책을 적용하여 사용자별로 정의한 역할 또는 기능을 반영합니다.
    Grant least privilege
  • 불필요한 권한 삭제: 불필요한 권한을 삭제하여 최소 권한 정책을 구현합니다.
    Reducing policy scope by viewing user activity
    View role access
  • 권한 경계 고려: 권한 경계는 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 관리형 정책을 사용하는 고급 기능입니다. 엔터티의 권한 경계는 자격 증명 기반 정책과 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다.
    Lab: IAM permissions boundaries delegating role creation
  • 권한에 대한 리소스 태그 고려: 태그를 사용하여, 태깅을 지원하는 AWS 리소스에 대한 액세스를 제어할 수 있습니다. IAM 사용자 및 역할에 태깅하여 액세스할 수 있는 항목을 제어할 수도 있습니다.
    Lab: IAM tag based access control for EC2
    Attribute-based access control (ABAC)
  • 긴급 액세스 프로세스 설정

  • 긴급 액세스 사전 프로비저닝: 보안 팀에 사용되는 계정과 같이 신뢰할 수 있는 계정에서 긴급 액세스를 위한 역할을 미리 프로비저닝하면 액세스 권한을 빠르게 얻는 데 도움이 됩니다.
    Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
  • 지속적으로 권한 축소

  • IAM Access Analyzer 구성: AWS IAM Access Analyzer를 사용하면 Amazon S3 버킷 또는 IAM 역할과 같은 조직 및 계정 내 리소스 중 외부 엔터티와 공유되는 리소스를 식별할 수 있습니다.
    AWS IAM Access Analyzer
  • 조직에 대한 권한 가드레일 정의

  • 모든 자격 증명에 적용되는 공통 제한 사항 정의: 조직의 고유한 요구 사항(예: 특정 AWS 리전에만 액세스)에 따라 AWS Organizations를 사용하여 적용할 수 있는 여러 제한 사항을 만듭니다.
    AWS Organizations Service Control Policies
  • AWS Control Tower를 사용하여 가드레일 관리: 조직의 고유한 요구 사항(예: 특정 AWS 리전에만 액세스)에 따라 AWS Organizations를 사용하여 적용할 수 있는 여러 제한 사항을 만듭니다.
    AWS Control Tower Guardrails
  • 수명 주기에 따라 액세스 관리

  • 사용자 액세스 수명 주기: 현재 사용자에게만 액세스 권한이 제공되도록 시설의 신규 참여 사용자, 직무 기능 변경, 퇴거 사용자에 적용할 사용자 액세스 수명 주기 정책을 구현합니다.
  • 퍼블릭 및 교차 계정 액세스 분석

  • IAM Access Analyzer 구성: AWS IAM Access Analyzer를 사용하면 Amazon S3 버킷 또는 IAM 역할과 같은 조직 및 계정 내 리소스 중 외부 엔터티와 공유되는 리소스를 식별할 수 있습니다.
    AWS IAM Access Analyzer
  • 안전하게 리소스 공유

  • AWS Resource Access Manager 사용: AWS Resource Access Manager(RAM)는 AWS 리소스를 AWS 계정과 함께 또는 AWS 조직 내에서 쉽고 안전하게 공유할 수 있게 해주는 서비스입니다.
    AWS Resource Access Manager