[AWS Cloud practitioner] 모듈 6 : 보안1

AWS 공동 책임 모델

 

고객 : 클라우드 내부의 보안

 

AWS에 저장하기로 선택하는 콘텐츠, 사용하는 AWS 서비스, 해당 콘텐츠에 액세스할 수 있는 사용자를 포함하여 콘텐츠에 대한 보안 요구 사항을 관리할 책임은 고객에게 있음

 

AWS : 클라우드 자체의 보안

 

인프라의 모든 계층에서 구성 요소를 운영, 관리 및 제어

 

리소스를 호스팅하는 물리적 인프라를 관리

• 데이터 센터의 물리적 보안
• 하드웨어 및 소프트웨어 인프라
• 네트워크 인프라
• 가상화 인프라

---

사용자 권한 및 액세스

AWS Identity and Access Management(IAM)

AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있음

 

• IAM 사용자, 그룹 및 역할
• IAM 정책
• 다중 인증(MFA)

 

AWS 계정 루트 사용자

 

IAM 사용자

사용자가 AWS에서 생성하는 자격 증명

 

기본적으로 AWS에서 새 IAM 사용자를 생성하면 해당 사용자와 연결된 권한이 없음

 

IAM 사용자가 AWS에서 Amazon EC2 인스턴스 시작, Amazon S3 버킷 생성 등 특정 작업을 수행할 수 있도록 허용하려면 IAM 사용자에게 필요한 권한을 부여해야함.

 

AWS에 액세스해야 하는 각 사용자마다 개별 IAM 사용자를 생성하는 것이 좋음

 

IAM 정책

AWS 서비스 및 리소스에 대한 권한을 허용하거나 거부하는 문서

 

IAM 그룹

IAM 사용자의 모음

 

 

IAM 역할

임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명

 

IAM 역할은 서비스 또는 리소스에 대한 액세스 권한을 장기적이 아니라 일시적으로 부여해야 하는 상황에 이상적입니다. 

 

 

다중 인증(MFA)

AWS 계정에 추가 보안 계층을 제공

 

루트 사용자 및 IAM 사용자에 대해 MFA를 활성화할 수 있음.

 

루트 사용자 및 계정 내 모든 IAM 사용자에 대해 MFA를 활성화하는 것이 가장 좋음

 

---

AWS Organizations

AWS Organizations

조직을 생성하면 AWS Organizations가 조직의 모든 계정에 대한 상위 컨테이너 루트를 자동으로 생성

 

서비스 제어 정책(SCP)(opens in a new tab)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어

 

SCP를 사용하면 각 계정의 사용자 및 역할이 액세스할 수 있는 AWS 서비스, 리소스 및 개별 API 작업을 제한할 수 있음

 

 

조직 단위(OU)

계정을 조직 단위(OU)로 그룹화하여 비슷한 비즈니스 또는 보안 요구 사항이 있는 계정을 손쉽게 관리

 

개별 계정을 OU로 구성하면 특정 보안 요구 사항이 있는 워크로드 또는 애플리케이션을 보다 간편하게 격리