관리 권한 제한

Essential Eight 제어	구현 지침	AWS 리소스	AWS Well-Architected 지침
시스템 및 애플리케이션에 대한 권한 있는 액세스 요청은 처음 요청될 때 검증됩니다.	테마 4: 자격 증명 관리: 자격 증명 페더레이션 구현	인간 사용자가 자격 증명을 AWS 사용하여 액세스하기 위해 자격 증명 공급자와 연동하도록 요구	SEC02-BP04 중앙 집중식 ID 공급업체 사용 SEC03-BP01 액세스 요구 사항 정의
시스템 및 애플리케이션에 대한 권한 있는 액세스는 다시 검증되지 않는 한 12개월 후에 자동으로 비활성화됩니다.	테마 4: 자격 증명 관리: 자격 증명 페더레이션 구현	인간 사용자가 자격 증명을 AWS 사용하여 액세스하기 위해 자격 증명 공급자와 연동하도록 요구	SEC02-BP04 중앙 집중식 ID 공급업체 사용
	테마 4: 자격 증명 관리: 자격 증명 교체	워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS 미사용 IAM 역할의 삭제 자동화 장기 보안 인증이 필요한 사용 사례에 대해 액세스 키를 정기적으로 교체 서AWS 밋 ANZ 2023: 클라우드의 임시 자격 증명으로의 여정(YouTube 비디오)	SEC02-BP05 정기적으로 자격 증명 감사 및 교체
45일 동안 사용하지 않으면 시스템 및 애플리케이션에 대한 권한 있는 액세스가 자동으로 비활성화됩니다.	테마 4: 자격 증명 관리: 자격 증명 페더레이션 구현 테마 4: 자격 증명 관리: 자격 증명 교체	인간 사용자가 자격 증명을 AWS 사용하여 액세스하기 위해 자격 증명 공급자와 연동하도록 요구 워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS 미사용 IAM 역할의 자동 삭제 장기 보안 인증이 필요한 사용 사례에 대해 액세스 키를 정기적으로 교체 서AWS 밋 ANZ 2023: 클라우드의 임시 자격 증명으로의 여정(YouTube 비디오)	SEC02-BP04 중앙 집중식 ID 공급업체 사용 SEC02-BP05 정기적으로 자격 증명 감사 및 교체
시스템 및 애플리케이션에 대한 권한 있는 액세스는 사용자 및 서비스가 자신의 업무를 수행하는 데 필요한 것으로만 제한됩니다.	테마 4: 자격 증명 관리: 최소 권한 적용	루트 사용자 자격 증명을 보호하고 일상적인 작업에 사용하지 마세요. IAM Access Analyzer를 사용하여 액세스 활동을 기반으로 최소 권한 정책 생성 IAM Access Analyzer를 사용하여 리소스에 대한 퍼블릭 및 크로스 계정 액세스 확인 IAM Access Analyzer를 사용하여 안전하고 기능적인 권한에 대한 IAM 정책 검증 여러 계정에서 권한 가드레일 설정 권한 경계를 사용하여 자격 증명 기반 정책이 부여할 수 있는 최대 권한 설정 IAM 정책의 조건을 사용하여 액세스 추가 제한 사용하지 않는 사용자, 역할, 권한, 정책 및 자격 증명을 정기적으로 검토하고 제거합니다. AWS 관리형 정책 시작하기 및 최소 권한으로 이동 IAM Identity Center에서 권한 세트 기능 사용	SEC01-BP02 보안 계정 루트 사용자 및 속성 SEC03-BP02 최소 권한 액세스 부여
권한이 있는 계정은 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다.	기술 예제: 관리 권한 제한(ACSC 웹 사이트)을 참조하세요.	아직 인터넷에 액세스할 수 없는 VPC가 인터넷에 액세스하지 못하도록 하는 SCP를 구현하는 것이 좋습니다.	해당 사항 없음
권한 있는 사용자는 별도의 권한 있는 운영 환경과 권한이 없는 운영 환경을 사용합니다.	테마 5: 데이터 경계 설정	데이터 경계를 설정합니다. OFFICIAL:SENSITIVE 또는와 같은 다양한 데이터 분류의 환경 또는 개발PROTECTED, 테스트 또는 프로덕션과 같은 다양한 위험 수준 간에 데이터 경계를 구현하는 것이 좋습니다.	SEC06-BP03 수동 관리 및 대화형 액세스 감소
권한이 있는 운영 환경은 권한이 없는 운영 환경 내에서 가상화되지 않습니다.
권한이 없는 계정은 권한이 있는 운영 환경에 로그인할 수 없습니다.
권한이 있는 계정(로컬 관리자 계정 제외)은 권한이 없는 운영 환경에 로그인할 수 없습니다.
Just-in-time 관리는 시스템 및 애플리케이션을 관리하는 데 사용됩니다.	테마 4: 자격 증명 관리: 자격 증명 페더레이션 구현	인간 사용자가 자격 증명을 AWS 사용하여 액세스하기 위해 자격 증명 공급자와 연동하도록 요구 환경에 대한 AWS 임시 승격 액세스 구현(AWS 블로그 게시물)	SEC02-BP04 중앙 집중식 ID 공급업체 사용
관리 활동은 점프 서버를 통해 수행됩니다.	테마 1: 관리형 서비스 사용 테마 3: 자동화를 통한 변경 가능한 인프라 관리: 수동 프로세스 대신 자동화 사용	직접 SSH 또는 RDP 액세스 대신 세션 관리자 또는 실행 명령 사용	SEC01-BP05 보안 관리 범위 축소 SEC06-BP03 수동 관리 및 대화형 액세스 감소
로컬 관리자 계정 및 서비스 계정에 대한 자격 증명은 고유하고 예측할 수 없으며 관리됩니다.	기술 예제: 관리 권한 제한(ACSC 웹 사이트)을 참조하세요.	해당 사항 없음	해당 사항 없음
Windows Defender Credential Guard 및 Windows Defender Remote Credential Guard가 활성화됩니다.
권한 있는 액세스의 사용은 중앙에서 로깅되고 무단 수정 및 삭제로부터 보호되며, 침해의 징후가 있는지 모니터링되고, 사이버 보안 이벤트가 감지될 때 조치가 취해집니다.	테마 7: 로깅 및 모니터링 중앙 집중화: 로깅 활성화 테마 7: 로깅 및 모니터링 중앙 집중화: 로그 중앙 집중화	CloudWatch Agent를 사용하여 OS 수준 로그를 CloudWatch Logs에 게시 조직에 CloudTrail 활성화 감사 및 분석을 위한 계정의 CloudWatch Logs 중앙 집중화(AWS 블로그 게시물) Amazon Inspector의 중앙 집중식 관리 Security Hub의 중앙 집중식 관리 (AWS 블로그 게시물)에서 조직 전체의 집계자 생성 AWS Config GuardDuty의 중앙 집중식 관리 Amazon Security Lake 사용 고려 여러 계정에서 CloudTrail 로그 수신 로그 아카이브 계정으로 로그 전송	SEC04-BP01 서비스 및 애플리케이션 로깅 구성 SEC04-BP02 표준화된 위치에서 로그, 조사 결과 및 지표 캡처
권한 있는 계정 및 그룹에 대한 변경 사항은 중앙에서 로깅되고 무단 수정 및 삭제로부터 보호되며, 침해의 징후가 있는지 모니터링되고, 사이버 보안 이벤트가 감지될 때 조치가 취해집니다.