모듈 2 : 계정 보안

# AWS 계정 루트 사용자

- 모든 AWS 서비스에 대한 전체 엑세스 권한 보유

- 단일 계정 모델에서는 제한할 수 없음

- AWS와의 일상적인 상호 작용에 사용하면 안 됨.

 

- 사용자를 추가로 생성한 후 최소 권한의 원칙에 따라 해당 사용자에 권한을 배정

- 사용자에게 필요한 수준의 엑세스 권한만 부여해야

- 루트 사용자는 Multi-Factor Authentication을 진행해야

 

 

# IAM (Identity and Access Management)

- 사용자, 그룹 및 역할 생성과 관리

- AWS 서비스와 리소스 엑세스 관리(인증 및 권한 부여)

- 엑세스 제어 분석

 

# 보안 주체

- AWS 리소스에 대한 작업 또는 운영을 요청할 수 있는 엔티티

- 사용자 애플리케이션, 페더레이션 사용자 또는 수임된 역할일 수 있음. 

- 패더레이션 사용자 : IAM을 통해 직접 관리하지 않는 외부 자격 증명

 

# IAM 사용자

 - AWS 계정 내 사용자

- 각 사용자는 고유한 자격 증명을 소유

- 사용자는 권한에 따라 특정 AWS 작업을 수행

 

# IAM 사용자 그룹

- IAM 사용자의 모음.

- 사용자 그룹에서는 여러 사용자의 권한 지정 가능

- 한 사용자는 하나 이상의 사용자 그룹 구성원임

- AWS STS(Security Yoken Service) : IAM 또는 페더레이션 사용자에게 제한된 권한의 임시자격 증명을 제공하는 웹서비스

 

# 보안 정책 범주

 

- 정책은 자격 증명이나 리소스에 연결되어 해당 권한을 정의

### 정책 유형

- 자격 증명 기반 정책 : IAM 자격 증명에 관리 정책과 인라인 정책 연결

- 리소스 기반 정책 : 리소스에 인라인 정책을 연결, JSON 정책 문서 사용

- AWS Organizations 서비스 제어 정책(SCP) : 조직 단위의 계정 구성원에 대한 최대 권한 정의 

- IAM 권한 경계 : - IAM 엔티티가 수행할 수 있는 최대 권한 설정

 

# 자격 증명 기반 정책 유형

- 관리형 정책 : AWS 계정의 여러 사용자, 그룹, 역할에 연결할 수 있는 독립 실행형 자격 증명 기반 정책

-- AWS 관리형 정책 : AWS에서 생성하고 관리하는 관리형 정책, 특정 서비스에 엑세스 권한을 제공하도록 구축

-- 고객 관리형 정책 : 고객이 AWS 계정에서 생성하고 관리하는 정책. AWS 관리형 정책보다 더 정밀하게 정책 제어

- 인라인 정책 - 단일 사용자, 그룹, 역할에 직접 추가하는 정책. 정책과 엔티티 간 엄격한 일대일 관계 유지

 

- 모범 사례에 따라 인라인 정책보다는 고객 관리형 정책 사용

 

# 명시적 허용, 명시적 거부

- 명시적 허용 : IAM 사용자, 그룹 집합을 대상으로 나열된 작업을 수행할 권한을 부여. 와일드카드 문자를 사용하면 해당 버킷의 모든 객체에 정책이 적용

- 명시적 거부 : IAM 사용자, 그룹 집합 대상으로 나열된 작업을 제한.

- 기본적으로 모든 요청은 암시적으로 거부 (루트 사용자 예외)

- 명시적 거부는 명시적 허용을 재정의

 

# 리소스 기반 정책 사용

- S3 나 Lambda 함수 등 단일 리소스에 연결

- 리소스 기반 정책 생성시 Principal(엑세스 허용/거부 계정) 지정. 해당 사용자나 역할이 암시적으로 보안 주체로 적용

- 리소스 기반 정책에서 Resource 요소는 선택 사항. 해당 요소 권한을 추가함

 

# 다중 계정 관리

- 조직에서 AWS 사용 범위가 확장되면 다음 과 같은 니즈 발생

-- 분류/검색을 위한 리소스 그룹화

-- 논리적 경계를 통해 보안 태세 개선

-- 무단 액세스 발생 시 제한

-- 다양한 환경에 대한 사용자 엑세스 관리

 

# AWS Organizations

-모든 AWS 계정을 중앙에서 관리

- 모든 구성원 계정의 요금 통합 결제 가능