Resource Groups에 대한 보안 모범 사례

다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용하세요.

• 최소 권한 원칙을 사용하여 그룹에 액세스 권한을 부여합니다. Resource Groups는 리소스 수준 권한을 지원합니다. 특정 사용자에게 필요한 경우에만 특정 그룹에 액세스 권한을 부여합니다. 정책 문에는 모든 사용자 또는 모든 그룹에 권한을 할당하는 별표를 사용하지 않도록 합니다. 최소 권한에 대한 자세한 내용은 IAM 사용 설명서의 최소 권한 부여를 참조하세요.

• 개인 정보는 공개 필드에 포함되지 않도록 합니다. 그룹 이름은 서비스 메타데이터로 취급됩니다. 그룹 이름은 암호화되지 않습니다. 그룹 이름에 민감한 정보를 넣지 않도록 합니다. 그룹 설명은 비공개입니다.

  개인 정보 또는 민감한 정보를 태그 키나 태그 값에 넣지 않도록 합니다.

• 필요할 때마다 태그 지정을 기반으로 한 인증을 사용합니다. Resource Groups는 태그 기반 권한 부여를 지원합니다. 그룹에 태그를 지정한 다음, IAM 보안 주체(예: 사용자 및 역할)에 연결된 정책을 업데이트하여 그룹에 적용되는 태그를 기반으로 액세스 수준을 설정할 수 있습니다. 태그 기반 권한 부여 사용 방법에 대한 자세한 내용은 IAM 사용 설명서의 리소스 태그를 사용한 AWS 리소스 액세스 제어를 참조하세요.

  많은 AWS 서비스가 리소스에 대한 태그 기반 권한 부여를 지원합니다. 그룹의 구성원 리소스에 대해 태그 기반 권한 부여가 구성될 수 있다는 점에 유의하세요. 그룹의 리소스에 대한 액세스가 태그로 제한되는 경우, 권한이 없는 사용자나 그룹은 해당 리소스에서 작업이나 자동화를 수행하지 못할 수 있습니다. 예를 들어 그룹 중 하나에 있는 Amazon EC2 인스턴스에 태그 키 Confidentiality 및 태그 값 High의 태그가 지정되고 사용자는 Confidentiality:High 태그가 지정된 리소스에 명령을 실행할 권한이 없는 경우, 리소스 그룹 내 다른 리소스에 대한 작업이 성공하더라도 EC2 인스턴스에서 수행하는 작업 또는 자동화는 실패합니다. 리소스에 대한 태그 기반 권한 부여를 지원하는 서비스에 대한 자세한 내용은 IAM 사용 설명서의 IAM으로 작업하는 AWS 서비스를 참조하세요.

  AWS 리소스에 대한 태그 지정 전략을 개발하는 방법에 대한 자세한 내용은 AWS 태그 지정 전략을 참조하세요.