[AWS Architecting]계정 보안

1. AWS 계정/리소스 엑세스 관리

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id.html

IAM 자격 증명(사용자, 사용자 그룹 및 역할) - AWS Identity and Access Management

 

IAM 사용자, 사용자그룹 및 역할을 생성하여 AWS 계정 및 리소스 액세스를 관리합니다.

 

 

 

2. 특정 리소스만 엑세스 권한 부여하기

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies.html

IAM의 정책 및 권한 - AWS Identity and Access Management

 

허용 및 거부 구문이 포함된 보안정책을 작성하고 권한 경계를 보호 계층으로 사용합니다.

 

AWS의 6가지 정책:

자격 증명 기반 정책	- IAM 자격 증명에 관리형 정책과 인라인 정책을 연결해서 권한 부여    - 관리형 정책: AWS 계정에 속한 다수의 사용자, 그룹 및 역할에 독립적으로 연결할 수 있는 정책    - 인라인 정책 - 단일 사용자, 그룹 또는 역할에 직접 추가하여 1대1 관계로 유지하는 정책 - 자격 증명에는 사용자, 사용자가 속한 그룹 및 역할이 포함
리소스 기반 정책	- 리소스에 인라인 정책을 연결 - 예: Amazon S3 버킷 정책 및 IAM 역할 신뢰 정책
권한 경계	- IAM 권한 경계를 사용하여 IAM 엔터티가 수행할 수 있는 최대 권한을 설정
AWS Organizations 서비스 제어 정책(SCP)	- Organizations SCP를 사용해 조직 또는 조직 단위(OU)의 계정 구성원에 대한 최대 권한을 정의
ACL	- ACL이 연결된 리소스에 액세스할 수 있는 다른 계정의 보안 주체를 제어 - JSON 정책 문서 구조를 사용하지 않은 유일한 정책 유형 - ACL은 동일 계정 내 엔터티에 권한을 부여할 수 없음
세션 정책	- 역할이나 사용자의 자격 증명 기반 정책을 통해 세션에 부여하는 권한을 제한 - 생성된 세션에 대한 권한을 제한하지도, 권한을 부여하지도 않음

 

권한 경계:

- 권한 경계는 관리형 정책을 사용하여 자격 증명 기반 정책이 IAM 엔터티에 부여할 수 있는 최대 권한을 설정
- 엔터키의 권한 경계에 따라 엔터티는 자격 증명 기반 정책 및 권한 경계 모두에서 허용하는 작업만 수행하도록 허용

- 권한 경계는 권한을 부여하는 것이 아닌 필터 역할로 사용됨

 

'IAM 권한 경계'와 'IAM 자격 증명 기반 정책'이 겹치는 영역이 '허용되는 작업 제한'

 

심층 방어:

심층 방어는 다중 보안 계층을 만드는 데 중점을 둔 전략입니다.
다중 보안 제어를 포함하는 심층 방어 접근 방식을 모든 계층에 적용합니다.

예를 들어 네트워크 엣지, Virtual Private Cloud(VPC), 로드밸런싱과 모든 인스턴스, 컴퓨팅 서비스, 운영체제, 애플리케이션, 코드에 심층 방어를 적용해야 합니다.

 

1. 여러 사용자가 S3 버킷의 문서 액세스를 시도

2. 각 사용자가 AWS에 액세스하기 위해 수임하는 사용자 또는 역할에 자격 증명 기반 정책이 배정

3. 해당 정책이 배정되면 리소스 기반 정책 계층(VPC 엔드 포인트 정책 -> S3 버킷 용 버킷 정책)이 차례로 적용

4. 태스크에 필요한 문서에 액세스

 

 

3. 다중 계정 관리

https://docs.aws.amazon.com/ko_kr/organizations/latest/userguide/orgs_introduction.html

AWS Organizations란 무엇인가요? - AWS Organizations

 

AWS Organizations에서 서비스 제어 정책(SCP)를 사용하여 다중 계정을 관리합니다.

 

다중 계정 구조를 생성해야 할 이유:

- 분류 및 검색을 위해 리소스를 그룹화

- 논리적 경계를 통해 보안태세를 개선

- 무단 액세스가 발생할 경우 잠재적 영향을 제한

- 다양한 환경에 대한 사용자 액세스를 간편하게 관리

- 청구서를 여러 개 생성해야 하는 중복 작업 발생

 

 

다중 계정 구조를 생성하지 않을 경우 문제점:

- IAM 정책이 단일 계정의 개별 보안 주체에만 적용

- 제한을 적용하는 정책은 각 계정 내에서 관리해야 함

- 청구서를 여러 개 생성해야 하는 중복 작업 발생

 

SCP의 특징:

- 조직의 모든 계정에 사용 가능한 최대 권한을 중앙에서 제어

- 계정이 조직의 액세스 제어 지침을 준수하도록 보장

- 모든 기능이 활성화된 조직에서만 사용 가능

 

IAM 정책과 SCP의 상호 작용 방식:

- Organizations 엔터티(루트, OU 또는 계정)에 SCP를 연결하면 가드레일이 정의됨

- SCP는 해당 계정의 IAM 사용자와 역할이 수행할 수 있는 작업에 대한 제한을 설정

- 권한을 부여하려면 조직 계정 내의 리소스나 IAM 사용자에게 리소스 기반정책 또는 자격 증명 기반정책을 연결해야 함

- IAM 사용자나 역할이 속한 계정이 조직의 멤버라면 SCP는 해당 사용자나 역할의 유효 권한을 제한

- SCP 적용 시에는 IAM 권한과 SCP에 공통적으로 포함되는 권한만 허용

- SCP는 권한을 부여하는 것이 아닌 필터 역할로 사용됨

 

 

 

 

 

 

 

 

Architecting on AWS 7.4.6 (KO): Student Guide  참고