데이터 경계를 사용하여 권한 가드레일 설정 - AWS Identity and Access Management
데이터 경계 제어ID 경계리소스 경계네트워크 경계데이터 경계를 자세히 알아보기 위한 리소스

데이터 경계를 사용하여 권한 가드레일 설정

데이터 경계 가드레일은 광범위한 AWS 계정 및 리소스 전반에서 데이터를 보호하는 데 도움이 되는 상시 경계 역할을 하는 것입니다. 데이터 경계는 IAM 보안 모범 사례에 따라 여러 계정에 권한 가드레일을 설정합니다. 이러한 조직 차원의 권한 가드레일은 기존의 세분화된 액세스 제어를 대체하지 않습니다. 대신 사용자, 역할, 리소스가 일련의 정의된 보안 표준을 준수하도록 보장함으로써 보안 전략을 개선하는 데 도움이 되는 대략적인 액세스 제어 역할을 합니다.

데이터 경계는 신뢰할 수 있는 ID만 예상 네트워크에서 신뢰할 수 있는 리소스에 액세스하도록 하는 AWS 환경의 권한 가드레일 세트입니다.

  • 신뢰할 수 있는 ID: 사용자의 AWS 계정 보안 주체(IAM 역할 또는 사용자) 및 사용자를 대신하는 AWS 서비스입니다.

  • 신뢰할 수 있는 리소스: 사용자의 AWS 계정 또는 사용자를 대신하는 AWS 서비스가 소유한 리소스입니다.

  • 예상 네트워크: 온프레미스 데이터 센터 및 Virtual Private Cloud(VPC) 또는 사용자를 대신하는 AWS 서비스 네트워크입니다.

참고

경우에 따라 신뢰할 수 있는 비즈니스 파트너의 액세스도 포함하도록 데이터 경계를 확장해야 할 수 있습니다. 신뢰할 수 있는 ID, 신뢰할 수 있는 리소스, 회사와 AWS 서비스 용도에 맞는 예상 네트워크에 대한 정의를 생성할 때 의도된 모든 데이터 액세스 패턴을 고려해야 합니다.

데이터 경계 제어는 정보 보안 및 위험 관리 프로그램 내의 다른 보안 제어와 마찬가지로 취급해야 합니다. 즉, 위협 분석을 수행하여 클라우드 환경 내의 잠재적 위험을 식별한 다음, 자체 위험 수용 기준에 따라 적절한 데이터 경계 제어를 선택하고 구현합니다. 데이터 경계 구현에 대한 반복적인 위험 기반 접근 방식에 더 나은 정보를 제공하려면 데이터 경계 제어를 통해 해결되는 보안 위험 및 위협 벡터뿐만 아니라 보안 우선 순위도 이해해야 합니다.

데이터 경계 제어

대략적인 데이터 경계 제어를 통해 정책 유형조건 키의 다양한 조합을 구현하고 세 가지 데이터 경계에 걸쳐 여섯 가지 뚜렷한 보안 목표를 달성할 수 있습니다.

경계 제어 목표 사용 적용 대상 전역 조건 컨텍스트 키

ID

신뢰할 수 있는 ID만 내 리소스에 액세스할 수 있습니다.

RCP

리소스

aws:PrincipalOrgID

aws:PrincipalOrgPaths

aws:PrincipalAccount

aws:PrincipalIsAwsService

aws:SourceOrgID

aws:SourceOrgPath

aws:SourceAccount

네트워크에서는 신뢰할 수 있는 ID만 허용됩니다.

VPC 엔드포인트 정책

Network

리소스

ID는 신뢰할 수 있는 리소스에만 액세스할 수 있습니다.

SCP

ID

aws:ResourceOrgID

aws:ResourceOrgPaths

aws:ResourceAccount

네트워크에서는 신뢰할 수 있는 리소스에만 액세스할 수 있습니다.

VPC 엔드포인트 정책

Network

Network

ID는 예상 네트워크에서만 리소스에 액세스할 수 있습니다.

SCP

ID

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:VpceAccount

aws:VpceOrgPaths

aws:VpceOrgID

aws:ViaAWSService

aws:PrincipalIsAwsService

리소스는 예상 네트워크에서만 액세스할 수 있습니다.

RCP

리소스

데이터 경계는 의도하지 않은 액세스 패턴을 방지하기 위해 데이터 주변에 확고한 경계를 생성하는 것이라고 생각할 수 있습니다. 데이터 경계는 의도하지 않은 광범위한 액세스를 방지할 수 있지만 여전히 세분화된 액세스 제어 결정을 내려야 합니다. 데이터 경계를 설정하더라도 최소 권한을 위한 여정의 일환으로 IAM Access Analyzer와 같은 도구를 사용하여 권한을 지속적으로 미세 조정해야 합니다.

현재 RCP에서 지원하지 않는 리소스에 데이터 경계 제어를 적용하려면 리소스에 직접 연결된 리소스 기반 정책을 사용합니다. RCP와 리소스 기반 정책을 지원하는 서비스 목록은 Resource control policies (RCPs)AWS IAM으로 작업하는 서비스 섹션을 참조하세요.

네트워크 경계 제어를 적용하려면 액세스를 제한하려는 모든 서비스가 현재 지원되는 경우에만 aws:VpceOrgID, aws:VpceOrgPaths, aws:VpceAccount를 사용하는 것이 좋습니다. 지원되지 않는 서비스와 함께 이러한 조건 키를 사용하면 의도하지 않은 권한 부여 결과가 발생할 수 있습니다. 키를 지원하는 서비스 목록을 보려면 AWS 글로벌 조건 컨텍스트 키 단원을 참조하세요. 더 광범위한 서비스에 제어를 적용해야 하는 경우 aws:SourceVpce 대신 aws:SourceVpc를 사용하는 방법을 고려해 보세요.

ID 경계

ID 경계는 신뢰할 수 있는 ID만 리소스에 액세스하고 네트워크에서는 신뢰할 수 있는 ID만 허용하는 일련의 세밀한 예방적 액세스 제어입니다. 신뢰할 수 있는 ID에는 일반적으로 사용자의 AWS 계정 및 사용자를 대신하는 AWS 서비스의 보안 주체(역할 또는 사용자)가 포함됩니다. 다른 모든 ID는 신뢰할 수 없는 것으로 간주되며 명시적인 예외가 부여되지 않는 한 ID 경계에 의해 차단됩니다.

다음과 같은 전역 조건 키는 신뢰할 수 있는 ID에 대한 정의를 기준으로 ID 경계 제어를 적용하는 데 도움이 됩니다. 리소스 제어 정책에서 이러한 키를 사용하여 리소스에 대한 액세스를 제한하거나 VPC 엔드포인트 정책에서 네트워크에 대한 액세스를 제한할 수 있습니다.

사용자가 소유한 ID

다음과 같은 조건 키를 사용하여 AWS 계정에서 생성하고 관리하는 IAM 보안 주체를 정의할 수 있습니다.

  • aws:PrincipalOrgID-이 조건 키를 사용하여 요청하는 IAM 보안 주체가 AWS Organizations의 지정된 조직에 속하도록 할 수 있습니다.

  • aws:PrincipalOrgPaths - 이 조건 키를 사용하여 요청하는 IAM 사용자, IAM 역할, AWS STS페더레이션 사용자 보안 주체, SAML 페더레이션 보안 주체, OIDC 페더레이션 보안 주체 또는 AWS 계정 루트 사용자가 AWS Organizations의 지정된 조직 단위(OU)에 속하도록 할 수 있습니다.

  • aws:PrincipalAccount-이 조건 키를 사용하여 정책에서 지정한 보안 주체 계정만 리소스에 액세스하도록 할 수 있습니다.

사용자를 대신하여 작동하는 AWS 서비스의 ID

다음과 같은 조건 키를 사용하여 AWS 서비스가 사용자 대신 작업할 경우 고유한 ID를 사용하여 리소스에 액세스하도록 허용할 수 있습니다.

자세한 내용은 AWS에 데이터 경계 설정: 신뢰할 수 있는 ID만 회사 데이터에 액세스하도록 허용을 참조하세요.

리소스 경계

리소스 경계는 사용자 ID가 신뢰할 수 있는 리소스에만 액세스하고 네트워크에서 신뢰할 수 있는 리소스에만 액세스할 수 있는 일련의 대략적인 예방적 액세스 제어입니다. 신뢰할 수 있는 리소스에는 일반적으로 사용자의 AWS 계정 또는 사용자를 대신하는 AWS 서비스가 소유한 리소스가 포함됩니다.

다음과 같은 전역 조건 키는 신뢰할 수 있는 리소스에 대한 정의를 기준으로 리소스 경계 제어를 적용하는 데 도움이 됩니다. 서비스 제어 정책(SCP)에서 이러한 키를 사용하여 사용자의 ID로 액세스할 수 있는 리소스를 제한하거나 VPC 엔드포인트 정책에서 네트워크를 통해 액세스할 수 있는 리소스를 제한할 수 있습니다.

내 소유의 리소스

다음과 같은 조건 키를 사용하여 AWS에서 생성하고 관리하는 AWS 계정 리소스를 정의할 수 있습니다.

  • aws:ResourceOrgID-이 조건 키를 사용하여 액세스 중인 리소스가 AWS Organizations의 지정된 조직에 속하도록 할 수 있습니다.

  • aws:ResourceOrgPaths-이 조건 키를 사용하여 액세스 중인 리소스가 AWS Organizations의 지정된 조직 단위(OU)에 속하도록 할 수 있습니다.

  • aws:ResourceAccount - 이 조건 키를 사용하여 액세스 중인 리소스가 지정된 AWS 계정에 속하도록 할 수 있습니다.

사용자를 대신하여 작동하는 AWS 서비스의 리소스

경우에 따라 AWS가 소유한 리소스, 즉 사용자의 조직에 속하지 않고 보안 주체 또는 사용자를 대신하는 AWS 서비스가 액세스하는 리소스에 대한 액세스를 허용해야 할 수도 있습니다. 이러한 시나리오에 대한 자세한 내용은 AWS에 데이터 경계 설정: 내 조직의 신뢰할 수 있는 리소스만 허용을 참조하세요.

네트워크 경계

네트워크 경계는 사용자 ID가 예상 네트워크에서만 리소스에 액세스하고 리소스는 예상 네트워크에서만 액세스할 수 있는 일련의 대략적인 예방적 액세스 제어입니다. 예상 네트워크에는 일반적으로 온프레미스 데이터 센터 및 Virtual Private Cloud(VPC) 그리고 사용자를 대신하는 AWS 서비스 네트워크가 포함됩니다.

다음과 같은 전역 조건 키는 예상 네트워크에 대한 정의를 기준으로 네트워크 경계 제어를 적용하는 데 도움이 됩니다. 서비스 제어 정책(SCP)에서 이러한 키를 사용하여 ID가 통신할 수 있는 네트워크를 제한하거나 리소스 제어 정책(RCP)에서 예상 네트워크에 대한 리소스 액세스를 제한할 수 있습니다.

사용자가 소유한 네트워크

다음과 같은 조건 키를 사용하여 직원 및 애플리케이션이 리소스(예: 회사 IP CIDR 범위 및 VPC)에 액세스하는 데 사용할 것으로 예상되는 네트워크를 정의할 수 있습니다.

  • aws:SourceIp-이 조건 키를 사용하여 요청자의 IP 주소가 지정된 IP 범위 내에 있는지 확인할 수 있습니다.

  • aws:SourceVpc-이 조건 키를 사용하여 요청이 통과하는 VPC 엔드포인트가 지정된 VPC에 속하는지 확인할 수 있습니다.

  • aws:SourceVpce-이 조건 키를 사용하여 요청이 지정된 VPC 엔드포인트를 통과하도록 할 수 있습니다.

  • aws:VpceAccount - 이 조건 키를 사용하면 지정된 AWS 계정이 소유한 VPC 엔드포인트를 요청이 이루어지도록 할 수 있습니다.

  • aws:VpceOrgPaths - 이 조건 키를 사용하면 요청을 하는 IAM 보안 주체가 AWS Organizations의 지정된 조직 단위(OU)에 속하도록 할 수 있습니다.

  • aws:VpceOrgID - 이 조건 키를 사용하면 AWS Organizations에 있는 지정된 조직의 계정이 소유한 VPC 엔드포인트를 통해 요청이 이루어지도록 할 수 있습니다.

aws:VpceAccount, aws:VpceOrgPaths, aws:VpceOrgID는 새 엔드포인트를 생성할 때 정책을 업데이트할 필요 없이 VPC 엔드포인트 사용량에 따라 자동으로 규모가 조정되는 네트워크 경계 제어를 구현하는 데 특히 유용합니다. 이러한 키를 지원하는 AWS 서비스 목록을 보려면 AWS 글로벌 조건 컨텍스트 키 단원을 참조하세요.

사용자를 대신하여 작동하는 AWS 서비스 네트워크

다음과 같은 조건 키를 사용하여 AWS 서비스가 사용자 대신 작업할 경우 네트워크에서 리소스에 액세스하도록 허용할 수 있습니다.

네트워크 외부에서 해당 리소스에 액세스할 수 있도록 AWS 서비스에 액세스 권한을 부여해야 하는 추가 시나리오가 있습니다. 자세한 내용은 AWS에 데이터 경계 설정: 예상 네트워크에서만 회사 데이터 액세스 허용을 참조하세요.

데이터 경계를 자세히 알아보기 위한 리소스

다음 리소스는 AWS 전반의 데이터 경계를 자세히 알아보는 데 도움이 됩니다.