AWS Identity and Access Management의 복원성 - AWS Identity and Access Management
IAM 복원성 모범 사례

AWS Identity and Access Management의 복원성

AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다. AWS 리전에는 물리적으로 분리되고 격리된 다수의 가용 영역이 있으며 이러한 가용 영역은 짧은 지연 시간, 높은 처리량 및 높은 중복성을 갖춘 네트워크에 연결되어 있습니다. AWS 리전 및 가용 영역에 대한 자세한 내용은 AWS 글로벌 인프라를 참조하십시오.

AWS Identity and Access Management(IAM)와 AWS Security Token Service(AWS STS)는 전 세계에서 사용할 수 있는 자체 유지형 리전 기반 서비스입니다.

IAM은 중요한 AWS 서비스입니다. AWS에서 수행되는 모든 작업은 IAM의 인증과 승인을 받아야 합니다. IAM은 IAM에 저장된 아이덴티티와 정책에 대해 각 요청을 확인하여 요청이 허용되는지 아니면 거부되는지 결정합니다. IAM은 예상치 못한 장애 발생 시에도 서비스가 인증되도록 별도의 컨트롤 플레인데이터 영역으로 설계되었습니다. 역할 및 정책과 같이 권한 부여에 사용되는 IAM 리소스는 컨트롤 플레인에 저장됩니다. IAM 고객은 DeletePolicyAttachRolePolicy와 같은 IAM 작업을 사용하여 이러한 리소스의 구성을 변경할 수 있습니다. 이러한 구성 변경 요청은 컨트롤 플레인으로 이동합니다. 미국 동부(버지니아 북부) 리전에 위치한 모든 상용 AWS 리전에 대해 하나의 IAM 컨트롤 플레인이 있습니다. 그런 다음 IAM 시스템은 모든 활성화된 AWS 리전의 IAM 데이터 영역에 구성 변경 사항을 전파합니다. IAM 데이터 영역은 기본적으로 IAM 컨트롤 플레인 구성 데이터의 읽기 전용 복제본입니다. 각 AWS 리전에는 동일한 리전의 요청에 대한 인증 및 권한 부여를 수행하는 IAM 데이터 영역의 완전히 독립적인 인스턴스가 있습니다. 각 리전에서 IAM 데이터 영역은 최소 3개의 가용 영역에 분산되어 있으며 고객 장애 없이 가용 영역의 손실을 견딜 수 있는 충분한 용량을 갖추고 있습니다. IAM 컨트롤 플레인과 데이터 영역 모두 계획된 가동 중지가 없도록 구축되었으며 모든 소프트웨어 업데이트 및 확장 작업은 고객에게 보이지 않는 방식으로 수행됩니다.

AWS STS기본적으로 요청은 항상 단일 글로벌 엔드포인트로 이동합니다. 리전 AWS STS 엔드포인트를 사용하여 지연 시간을 줄이거나 애플리케이션에 추가 중복성을 제공할 수 있습니다. 자세한 내용은 AWS STS에서 AWS 리전 관리 단원을 참조하십시오.

특정 이벤트로 인해 네트워크를 통한 AWS 리전 간 통신이 중단될 수 있습니다. 그러나 글로벌 IAM 엔드포인트와 통신할 수 없는 경우에도 AWS STS는 여전히 IAM 보안 주체를 인증할 수 있으며 IAM은 요청을 승인할 수 있습니다. 통신을 중단하는 이벤트의 특정 세부 정보에 따라 AWS 서비스에 대한 액세스 가능성이 결정됩니다. 대부분의 경우 AWS 환경에서 IAM 자격 증명을 계속 사용할 수 있습니다. 통신을 중단하는 이벤트에는 다음과 같은 조건이 적용될 수 있습니다.

IAM 사용자의 액세스 키

IAM 사용자를 위한 장기 액세스 키를 사용하여 리전에서 무기한 인증할 수 있습니다. AWS Command Line Interface와 API를 사용할 때 AWS가 프로그래밍 방식의 요청에서 아이덴티티를 확인할 수 있도록 AWS 액세스 키를 제공할 수 있습니다.

중요

모범 사례로서 사용자가 장기 액세스 키 대신 임시 보안 인증을 사용하여 로그인하는 것이 좋습니다.

임시 자격 증명

최소 24시간 동안 AWS STS 리전 서비스 엔드포인트를 사용하여 새 임시 자격 증명을 요청할 수 있습니다. 다음 API 작업은 임시 자격 증명을 생성합니다.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

보안 주체 및 권한

  • IAM에서 보안 주체 또는 권한을 추가, 수정 또는 제거하지 못할 수 있습니다.

  • 자격 증명에 최근에 IAM에서 적용한 권한 변경 사항이 반영되지 않을 수 있습니다. 자세한 내용은 변경 사항이 매번 즉시 표시되는 것은 아닙니다 섹션을 참조하세요.

AWS Management Console

  • 리전 로그인 엔드포인트를 사용하여 IAM 사용자로 AWS Management Console에 로그인할 수 있습니다. 리전 로그인 엔드포인트의 URL 형식은 다음과 같습니다.

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    예: https://111122223333.signin.aws.amazon.com/console?region=us-west-2

  • Universal 2nd Factor(U2F) 다중 인증(MFA)을 완료하지 못할 수 있습니다.

IAM 복원성 모범 사례

AWS는 AWS 리전과 가용 영역에 탄력성을 더했습니다. 환경과 상호 작용하는 시스템에서 다음과 같은 IAM 모범 사례가 관찰되면 해당 복원력을 활용할 수 있습니다.

  1. 기본 글로벌 엔드포인트 대신 AWS STS 리전 서비스 엔드포인트를 사용합니다.

  2. IAM 리소스를 자주 생성하거나 수정하는 필수 리소스에 대한 환경 구성을 검토하고 기존 IAM 리소스를 사용하는 대체 솔루션을 준비합니다.