[AWS]

[AWS] 보안/계정

UtakerS 2022. 8. 29. 14:13
반응형

ROOT 계정

AWS 계정을 처음 생성할 때는 루트 사용자로 시작

이 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가짐

루트 사용자 아이덴티티는 계정을 생성할 때 제공한 이메일 주소와 암호로 로그인하여 액세스

AWS와의 일상적인 상호작용에는 루트계정 보안 인증정보를 사용은 실제 업무에서는 지양

 

IAM 계정

일상 업무를 위한 IAM사용자를 생성

사용자 인증 + 최소 권한의 원칙에 따라 적절한 권한을 부여

꼭 필요한 수준의 액세스 권한만 사용자에게 부여

 

 

보안주체

AWS 리소스에 대한 작업을 요청할 수 있는 권한을 가진 엔터티(개체)

 

IAM 사용자

가장 일반적인 보안 주체

root 사용자 아래 IAM 사용자 여러개

사용자마다 업무 형태에 따라서 각각 다른 권한을 부여해서 작업을 통제함

IAM 역할(모자)

권한을 미리 저장해놓고 저장된 권한을 IAM 사용자에게 위임

독립적으로는 의미가 없음, 모자를 씌웠다가 반납했다가 쉽게 사용

역할을 AWS 서비스 자원에도 부여가 가능

 

 

사용자 인증

AWS에 액세스하는 방법에 따라 AWS는 다양한 유형의 보안 인증정보를 요구

 

 

보안정책

정책에 우선순위가 있는것은 아니다.

권한 부여

자격증명기반 - 사용자,역할,그룹에게 부여

이미 AWS가 만들어놓은 정책도 있고 만들어서 사용해도 되고 보다 정밀하게 정책을 생성하고 제어할 수 있다.

리소스기반 - EC2, S3 같은 리소스에 부여

해당 리소스에 특정 작업을 수행할 수 있는 권한을 보안 주체에 부여하고 이러한 권한이 적용되는 조건을 정의

두가지 정책을 동시에 사용해 다중 보안 계층을 만들고 심층 방어가 가능

 

JSON 정책 문서에 포함된 요소들

• Effect - 정책에서 액세스를 허용 또는 거부하는지 여부를 Allow 또는 Deny로 표시

• Principal(일부상황에서만필요) - 리소스기반 정책을 생성하는 경우 액세스를 허용하거나 거부할 계정, 사용자, 역할 또는페더레이션 사용자를 표시

사용자 또는 역할에 연결할 IAM 권한 정책을 생성하면 이 요소를 포함할 수 없음 

• Action - 정책이 허용하거나 거부하는 작업 목록을 포함 

• Resource(일부상황에서만필요) - IAM 권한정책을 생성하는 경우 Action이 적용되는 리소스 목록을 지정

리소스기반 정책을 생성하는 경우 이 요소는선택사항

• Condition - 정책에서 권한을 부여하는 상황을 지정

 

최대 권한 설정

AWS Organizations 서비스 제어 정책 (SCP) 

permission baundary 권한 경계 (추가적인 권한)

관리형 정책을 사용하여 자격 증명 기반 정책을 통해 설정할 수 있는 최대 권한을 IAM 엔터티에 부여하는 고급 기능

 

 

페더레이션

페더레이션 사용자

AWS 계정이없는 사용자(또는애플리케이션)

역할을 할당하면 제한된 시간 동안 AWS 리소스에 대한 액세스 권한을 부여

 

자격 증명 공급자

AWS 계정에 IAM 사용자를 생성하는 대신 자격 증명 공급자(IdP)를 사용

IdP를 사용하여 AWS 외부 아이덴티티를 관리

계정의 AWS 리소스를 사용할 수 있는 권한을 외부 아이덴티티 또는 페더레이션 사용자에게 부여

 

aws sso 사용

모든 AWS 계정의 액세스 및 사용자 권한을 중앙에서 관리

 

 

다중 계정 관리

• 분류 및 검색을 위해 리소스를 그룹화

• 논리적 경계를 통해 보안태세를 개선

• 무단 액세스가 발생할 경우 잠재적 영향을 제한

• 다양한 환경에 대한 사용자 액세스를 간편하게 관리

이러한 이유로 조직에서 다중 계정 구조를 생성해야 한다. 다중 계정을 관리해주는 서비스가 존재

 

AWS Organizations

많이 사용할수록 할인율이 높아지는 AWS에서 다중 계정을 하나로 통합해서 관리하는게 효율적

 

AWS Organizations 

• 모든 AWS 계정의 중앙 집중식 관리 

• 모든 멤버 계정에 대한 통합 과금방식 

• 예산, 보안, 규정 준수 필요충족을 위한 계정의 계층적 그룹화 

• 각 계정이 액세스할 수 있는 AWS 서비스 및 API 작업 제어를 중앙 집중화하는 정책

• 조직 계정의 리소스 전체에서 태그를 표준화하는 정책 

• AWS 인공지능(AI) 및기계학습(ML) 서비스가 데이터를 수집하고 저장하는 방법을 제어하는 정책

• 조직 계정의 리소스에 대한 자동 백업을 구성하는 정책 

• IAM에 대한 통합 및 지원 

• 다른 AWS 서비스와 통합 

• 글로벌 액세스 

• 최종 일관성을 갖춘 데이터 복제 

• 무료로 사용

 

SCP 

조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형

 

AWS Control Tower

반응형
저작자표시 비영리 변경금지 (새창열림)