정보보안 자격증/AWS

AWS 18. IAM

rinaisme 2024. 7. 20. 18:41

1. IAM

  • 보안주체 (Principal)
    • Root Account User
      • 계정(Accout)을 처음 만들 때의 사용자
      • 모든 권한을 가지므로 비용 결제, 개인정보 관리 등의 작업을 제외하면 사용하지 않는 것이 좋음
      • Access Key(Access Key ID + Secret Access Key)를 삭제하여 CLI, SDK로는 접근할 수 없도록 할 것
    • User: 1 Account 하위의 N user
    • Group : 1 Group > N user (포함관계)
    • Role : 임시권한을 위한 특별 보안 주체

2. 정책 (Policy)

  • JSON 문서로 저장되는 권한에 대한 형식 선언
  • 요청 시에 평가됨
  • 정책 종류
    • 자격증명 기반 정책: 보안 주체에 권한을 부여하는 정책
      • AWS 관리형 정책
      • 고객 관리형 정책
      • 인라인 정책 (직접 JSON문서로 작성)
    • 리소스 기반 정책: 리소스에 인라인으로 지정하는 정책
  • 권한 평가 방법
    • 적용된 정책이 여러 개인 경우 Union값을 적용
    • 거부 (Deny)가 최우선
    • 허용이 없다면 암시적 거부

3. IAM Role

  • 역할: 임시 자격 증명
  • 다른 사용자가 서비스에게 권한을 위임하기 위해 사용하는 특별한 보안 주체
  • 권한을 부여할 수 있는 모자로 생각
    • 이 모자는 미리 지정된 수임자의 머리 위에 씌워질 수 있음 (역할 지정 0)
    • 모자를 벗기면 권한 회수
    • 모자를 생성할 때 수임자를 지정해야 함(EC2, Lambda, Account 등)
    • 수임자와는 신뢰관계가 필요함
  • IAM Role을 이용한 리소스 접근
    • STS (Security Token Service)의 assumeRole() API를 호출하여 임시 자격 증명 응답
    • 임시 자격 증명을 이용해 리소스에 접근
  • 신뢰할 수 있는 엔티티 유형
    • AWS 서비스: S3, Lambda, EC2, SQS,.. 모든 서비스
    • AWS 계정: 동일 계정, 교차 계정 (특히 교차 계정)
    • 웹 자격증명: Amazon, Facebook, Google, Cognito)
      • OAuth 2.0을 이용한 소셜 인증 후 받은 OAuth 2.0 JWT를 신뢰함
    • SAML 2.0
  • 역할 사용의 장점
    • 다른 계정의 사용자에게 임시 권한 부여
    • AWS 또는 OnPremise의 애플리케이션이 AWS API를 호출할 수 있도록 권한 부여
      • Moblie App 또는 Web App -> S3
    • AWS 서비스가 AWS API를 호출할 수 있도록 권한 부여
      • Lambda -> Dynamo DB

4. 권한 경계 (Permission Boundary)

  • User에 적용하는 권한의 범위 제한 기능
    • 권한 경계로 지정된 권한의 범위를 벗어나서 권한을 부여할 수 없음

5. 다중 계정 환경

  • 다중 계정 환경이 필요한 경우
    • 복잡한 조직 구조, 다수의 팀
    • 보안, 규정 준수 제어
    • 통합 결제
  • 핵심 내용
    • Organizations 서비스
      • OU: Organization Unit
      • SCP: Service Control Policy (And 집합, 필터링하기 위한 권한)
    • Control Tower
  • 권한 부여 방식
    • IAM 권한과 SCP 권한 집합의 교집합이 최종적으로 부여되는 권한
    • SCP는 건한을 부여하는 것이 아니라 필터 역할을 수행
    • Organization의 OU와 Account의 트리에서..
      • 위에서 아래로 흐르는 필터
      • 상속
  • Control Tower
    • 랜딩존이라는 안전한 다중 계정 AWS 환경을 설정, 관리하는 손쉬운 방법을 제공
    • Control Tower = Organzations + Landing Zone
    • Control Tower가 Landing Zone을 생성해 줌
  • Landing Zone
    • AWS 모범 사례에 따라 안전한 다중 계정 환경을 설정하도록 도와주는 도구
    • 이제는 Control Tower의 기능에 통합

'정보보안 자격증 > AWS' 카테고리의 다른 글

AWS20. Serverless  (0) 2024.07.20
AWS 19. SQS, SNS  (2) 2024.07.20
AWS17. Elasticache  (0) 2024.07.20
AWS16. Dynamo DB  (0) 2024.07.20
AWS15. Aurora  (0) 2024.07.20

'정보보안 자격증/AWS'의 다른글

  • 현재글AWS 18. IAM

관련글

티스토리툴바