SEC 3: 사람과 시스템에 대한 권한은 어떻게 관리합니까?

AWS 및 워크로드에 액세스해야 하는 사람 및 시스템 자격 증명에 대한 액세스를 제어하는 권한을 관리합니다. 권한은 누가 어떤 조건에서 무엇에 액세스할 수 있는지를 제어합니다.

리소스

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

모범 사례:

• 액세스 요구 사항 정의: 관리자, 최종 사용자 또는 기타 구성 요소는 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 누가 혹은 무엇이 각 구성 요소 또는 리소스에 액세스할 수 있는지 명확하게 정의한 다음 적절한 자격 증명 유형과 인증 및 권한 부여 방법을 선택해야 합니다.

• 최소 권한 액세스 부여: 특정 조건에서 특정 AWS 리소스에 대한 특정 작업과 관련한 액세스를 허용하여 자격 증명에 필요한 액세스 권한만 부여합니다. 개별 사용자에 대한 권한을 정의하는 대신, 그룹 및 자격 증명 속성을 사용하여 대규모로 권한을 동적으로 설정합니다. 예를 들어 개발자 그룹이 자체 프로젝트에 대한 리소스만 관리하도록 액세스 권한을 허용할 수 있습니다. 이렇게 하면 특정 개발자를 그룹에서 제거했을 때 액세스 정책을 변경할 필요 없이 해당 그룹을 액세스 제어에 사용한 모든 리소스에서 이 개발자에 대한 액세스가 취소됩니다.

• 긴급 액세스 프로세스 설정: 가능성은 작지만 자동화된 프로세스 또는 파이프라인에 문제가 발생할 때 워크로드에 긴급 액세스할 수 있게 하는 프로세스입니다. 이 긴급 액세스 프로세스를 통해 최소 권한 액세스를 사용할 수 있습니다. 그러나 사용자가 적절한 수준의 액세스 권한이 필요할 때는 해당 권한을 얻을 수 있습니다. 예를 들어 관리자가 사용자의 액세스 권한 요청을 확인하고 승인하는 프로세스를 설정할 수 있습니다.

• 지속적으로 권한 축소: 팀 및 워크로드가 필요한 액세스 권한을 결정할 때 더 이상 사용하지 않는 권한을 제거하고 최소 권한을 부여하기 위한 검토 프로세스를 설정합니다. 사용하지 않는 자격 증명 및 권한을 지속적으로 모니터링하고 줄입니다.

• 조직에 대한 권한 가드레일 정의: 조직의 모든 자격 증명에 대한 액세스를 제한하는 공통 제어를 설정합니다. 예를 들어 특정 AWS 리전에 대한 액세스를 제한하거나 중앙 보안 팀에 사용되는 IAM 역할과 같은 공통 리소스를 운영자가 삭제하지 못하게 할 수 있습니다.

• 수명 주기에 따라 액세스 관리: 액세스 제어를 운영자 및 애플리케이션 수명 주기/중앙 집중식 연동 공급자와 통합합니다. 예를 들어 조직에서 나가거나 역할이 변경될 때 사용자의 액세스 권한을 제거합니다.

• 퍼블릭 및 교차 계정 액세스 분석: 퍼블릭 및 교차 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 이 유형의 액세스가 필요한 리소스 전용 퍼블릭 액세스 및 교차 계정 액세스를 줄입니다.

• 안전하게 리소스 공유: 계정 전체에 걸쳐 또는 AWS 조직 내에서 공유된 리소스의 소비를 관리합니다. 공유 리소스를 모니터링하고 공유 리소스 액세스를 검토합니다.

개선 계획

액세스 요구 사항 정의

직무 및 책임에 요구되는 권한 정의: 사용자의 직무, 역할 또는 책임에 따라 액세스 권한이 필요한 리소스와 적용되는 조건을 정의합니다. 정책을 손쉽게 위임할 수 있도록 공통적인 요구 사항을 가진 사용자를 그룹화합니다.
IAM use cases

최소 권한 액세스 부여

최소 권한 정책 구현: IAM 그룹 및 역할에 최소 권한 액세스 정책을 적용하여 사용자별로 정의한 역할 또는 기능을 반영합니다.
Grant least privilege

불필요한 권한 삭제: 불필요한 권한을 삭제하여 최소 권한 정책을 구현합니다.
Reducing policy scope by viewing user activity
View role access

권한 경계 고려: 권한 경계는 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 관리형 정책을 사용하는 고급 기능입니다. 엔터티의 권한 경계는 자격 증명 기반 정책과 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다.
Lab: IAM permissions boundaries delegating role creation

권한에 대한 리소스 태그 고려: 태그를 사용하여, 태깅을 지원하는 AWS 리소스에 대한 액세스를 제어할 수 있습니다. IAM 사용자 및 역할에 태깅하여 액세스할 수 있는 항목을 제어할 수도 있습니다.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

긴급 액세스 프로세스 설정

긴급 액세스 사전 프로비저닝: 보안 팀에 사용되는 계정과 같이 신뢰할 수 있는 계정에서 긴급 액세스를 위한 역할을 미리 프로비저닝하면 액세스 권한을 빠르게 얻는 데 도움이 됩니다.
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

지속적으로 권한 축소

IAM Access Analyzer 구성: AWS IAM Access Analyzer를 사용하면 Amazon S3 버킷 또는 IAM 역할과 같은 조직 및 계정 내 리소스 중 외부 엔터티와 공유되는 리소스를 식별할 수 있습니다.
AWS IAM Access Analyzer

조직에 대한 권한 가드레일 정의

모든 자격 증명에 적용되는 공통 제한 사항 정의: 조직의 고유한 요구 사항(예: 특정 AWS 리전에만 액세스)에 따라 AWS Organizations를 사용하여 적용할 수 있는 여러 제한 사항을 만듭니다.
AWS Organizations Service Control Policies

AWS Control Tower를 사용하여 가드레일 관리: 조직의 고유한 요구 사항(예: 특정 AWS 리전에만 액세스)에 따라 AWS Organizations를 사용하여 적용할 수 있는 여러 제한 사항을 만듭니다.
AWS Control Tower Guardrails

수명 주기에 따라 액세스 관리

사용자 액세스 수명 주기: 현재 사용자에게만 액세스 권한이 제공되도록 시설의 신규 참여 사용자, 직무 기능 변경, 퇴거 사용자에 적용할 사용자 액세스 수명 주기 정책을 구현합니다.

퍼블릭 및 교차 계정 액세스 분석

IAM Access Analyzer 구성: AWS IAM Access Analyzer를 사용하면 Amazon S3 버킷 또는 IAM 역할과 같은 조직 및 계정 내 리소스 중 외부 엔터티와 공유되는 리소스를 식별할 수 있습니다.
AWS IAM Access Analyzer

안전하게 리소스 공유

AWS Resource Access Manager 사용: AWS Resource Access Manager(RAM)는 AWS 리소스를 AWS 계정과 함께 또는 AWS 조직 내에서 쉽고 안전하게 공유할 수 있게 해주는 서비스입니다.
AWS Resource Access Manager