리소스 기반 정책 모범 사례

이 주제에서는 DynamoDB 리소스에 대한 액세스 권한을 정의하는 모범 사례와 이러한 리소스에 허용되는 작업을 설명합니다.

DynamoDB 리소스에 대한 액세스 제어 간소화

DynamoDB 리소스에 액세스해야 하는 AWS Identity and Access Management 보안 주체가 리소스 소유자와 동일한 AWS 계정에 속한 경우 각 보안 주체에 대해 IAM 자격 증명 기반 정책이 필요하지 않습니다. 주어진 리소스에 연결된 리소스 기반 정책이면 충분합니다. 이러한 유형의 구성은 액세스 제어를 간소화합니다.

리소스 기반 정책으로 DynamoDB 리소스 보호

모든 DynamoDB 테이블 및 스트림에 대해 리소스 기반 정책을 생성하여 이러한 리소스에 대한 액세스 제어를 적용합니다. 리소스 기반 정책을 사용하면 리소스 수준에서 권한을 중앙 집중화하고, DynamoDB 테이블, 인덱스 및 스트림에 대한 액세스 제어를 간소화하고, 관리 오버헤드를 줄일 수 있습니다. 테이블이나 스트림에 리소스 기반 정책이 지정되지 않은 경우, IAM 보안 주체와 연결된 자격 증명 기반 정책에서 액세스를 허용하지 않는 한 테이블 또는 스트림에 대한 액세스는 암시적으로 거부됩니다.

최소 권한 적용

DynamoDB 리소스에 대한 리소스 기반 정책과 함께 권한을 설정하는 경우 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 최소 권한으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. 워크로드 또는 사용 사례에 필요한 권한을 탐색하는 동안 광범위한 권한으로 시작할 수 있습니다. 사용 사례가 발전함에 따라 최소 권한을 향해 나아가도록 부여하는 권한을 줄이기 위해 노력할 수 있습니다.

최소 권한 정책을 생성하기 위해 크로스 계정 액세스 활동 분석

IAM Access Analyzer는 리소스 기반 정책에 지정된 외부 엔터티에 대한 크로스 계정 액세스를 보고하고, 권한을 세분화하고 최소 권한을 준수하는 데 도움이 되는 가시성을 제공합니다. 정책 생성에 대한 자세한 내용은 IAM Access Analyzer 정책 생성을 참조하세요.

IAM Access Analyzer를 사용하여 최소 권한 정책 생성

작업을 수행하는 데 필요한 권한만 부여하기 위해 AWS CloudTrail에 로깅된 액세스 활동에 따라 정책을 생성할 수 있습니다. IAM Access Analyzer는 정책에서 사용하는 서비스와 작업을 분석합니다.