ACCT.03 - 각 사용자에 대한 콘솔 액세스 구성 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ACCT.03 - 각 사용자에 대한 콘솔 액세스 구성

가장 좋은 방법은 임시 자격 증명을 사용하여 리소스에 대한 액세스 권한을 부여하는 것입니다. AWS AWS 계정 임시 보안 인증은 수명이 제한되어 있어서, 더 이상 필요하지 않을 때 교체하거나 명시적으로 취소할 필요가 없습니다. 자세한 내용은 임시 보안 인증(IAM 설명서)을 참조하세요.

일반 사용자의 경우 AWS Okta, Active Directory 또는 Ping Identity와 같은 AWS IAM Identity Center중앙 집중식 ID 공급자 (IdP) 의 페더레이션 ID를 사용하는 것이 좋습니다. 사용자를 페더레이션하면 단일 중앙 위치에서 ID를 정의할 수 있으며 사용자는 단 하나의 자격 증명 세트를 사용하는 등 AWS여러 애플리케이션과 웹 사이트에 안전하게 인증할 수 있습니다. 자세한 내용은 IAM Identity Center (웹 사이트) 에서의 AWS ID 페더레이션을 참조하십시오.AWS

참고

ID 페더레이션은 단일 계정 아키텍처에서 다중 계정 아키텍처로 전환을 복잡하게 만들 수 있습니다. 스타트업은 AWS Organizations에서 관리되는 다중 계정 아키텍처를 구축할 때까지 ID 페더레이션 구현을 미루는 것이 일반적입니다.

ID 페더레이션을 설정하려면

  1. IAM Identity Center를 사용하는 경우 Getting started(IAM Identity Center 설명서)를 참조하세요.

    외부 또는 타사 IdP를 사용하는 경우 IAM 자격 증명 공급자 생성(IAM 설명서)을 참조하세요.

  2. IdP가 다중 인증(MFA)을 적용하는지 확인합니다.

  3. ACC.04 - 권한 할당에 따라 권한을 적용합니다.

ID 페더레이션을 구성할 준비가 되지 않은 스타트업의 경우 IAM에서 직접 사용자를 생성할 수 있습니다. 이는 만료되지 않는 장기 보안 인증이므로 권장되는 보안 모범 사례는 아닙니다. 그러나 이는 초기 운영 중인 스타트업이 운영 준비가 되었을 때 다중 계정 아키텍처로 전환하는 데 어려움을 겪지 않도록 하기 위한 일반적인 방법입니다.

기본적으로 AWS Management Console에 액세스해야 하는 사람마다 IAM 사용자를 생성할 수 있습니다. IAM 사용자를 구성하는 경우 사용자 간에 보안 인증을 공유하지 말고 장기 보안 인증을 정기적으로 교체합니다.

주의

IAM 사용자는 장기 자격 증명을 보유하므로 보안상 위험이 있습니다. 이 위험을 줄이려면 이러한 사용자에게 작업을 수행하는 데 필요한 권한만 제공하고 더 이상 필요하지 않을 경우 이러한 사용자를 제거하는 것이 좋습니다.

IAM 사용자 생성

  1. IAM 사용자 생성(IAM 설명서).

  2. ACC.04 - 권한 할당에 따라 권한을 적용합니다.