테마 5: 데이터 경계 설정 - AWS 권장 가이드
관련 모범 사례이 테마 구현이 테마 모니터링

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

테마 5: 데이터 경계 설정

8가지 필수 전략 포함

관리 권한 제한

데이터 경계는 환경 AWS 의 예방 가드레일 세트로, 신뢰할 수 있는 자격 증명만 예상 네트워크에서 신뢰할 수 있는 리소스에 액세스할 수 있도록 합니다. 이러한 가드레일은 광범위한 AWS 계정 및 리소스 집합에서 데이터를 보호하는 데 도움이 되는 상시 경계 역할을 합니다. 이러한 조직 전체의 가드레일은 기존의 세분화된 액세스 제어를 대체하지 않습니다. 대신 모든 AWS Identity and Access Management (IAM) 사용자, 역할 및 리소스가 정의된 보안 표준 세트를 준수하도록 하여 보안 전략을 개선하는 데 도움이 됩니다.

일반적으로에서 생성되는 조직 경계 외부로부터의 액세스를 방지하는 정책을 사용하여 데이터 경계를 설정할 수 있습니다 AWS Organizations. 데이터 경계를 설정하는 데 사용되는 세 가지 기본 경계 권한 부여 조건은 다음과 같습니다.

  • 신뢰할 수 있는 자격 증명 - 내 또는 사용자를 대신하여 AWS 서비스 활동하는 보안 주체(IAM 역할 AWS 계정또는 사용자)입니다.

  • 신뢰할 수 있는 리소스 -에 AWS 계정 있거나 사용자를 대신하여 AWS 서비스 작업하여 관리하는 리소스입니다.

  • 예상 네트워크 - 온프레미스 데이터 센터 및 Virtual Private Cloud(VPCs) 또는 사용자를 대신 AWS 서비스 하는 네트워크입니다.

OFFICIAL:SENSITIVE 또는와 같은 다양한 데이터 분류의 환경 또는 개발PROTECTED, 테스트 또는 프로덕션과 같은 다양한 위험 수준 간에 데이터 경계를 구현하는 것이 좋습니다. 자세한 내용은 (AWS 백서)에서 데이터 경계 구축 AWSAWS: 개요(블로그 게시물)에서 데이터 경계 설정을 참조하세요.AWS

AWS Well-Architected 프레임워크의 관련 모범 사례

이 테마 구현

자격 증명 제어 구현

  • 신뢰할 수 있는 자격 증명만 리소스에 액세스하도록 허용 - 조건 키 aws:PrincipalOrgID 및와 함께 리소스 기반 정책을 사용합니다aws:PrincipalIsAWSService. 이렇게 하면 AWS 조직의 보안 주체와의 보안 주체만 리소스 AWS 에 액세스할 수 있습니다.

  • 네트워크에서만 신뢰할 수 있는 자격 증명 허용 - 조건 키 aws:PrincipalOrgID 및와 함께 VPC 엔드포인트 정책을 사용합니다aws:PrincipalIsAWSService. 이렇게 하면 AWS 조직의 보안 주체와의 보안 주체만 VPC 엔드포인트 AWS 를 통해 서비스에 액세스할 수 있습니다.

리소스 제어 구현

  • 자격 증명이 신뢰할 수 있는 리소스에만 액세스하도록 허용 - 조건 키와 함께 서비스 제어 정책(SCPs)을 사용합니다aws:ResourceOrgID. 이렇게 하면 자격 증명이 AWS 조직의 리소스에만 액세스할 수 있습니다.

  • 네트워크에서만 신뢰할 수 있는 리소스에 대한 액세스 허용 - 조건 키와 함께 VPC 엔드포인트 정책을 사용합니다aws:ResourceOrgID. 이렇게 하면 ID가 조직의 일부인 VPC 엔드포인트를 통해서만 서비스에 액세스할 수 있습니다 AWS .

네트워크 제어 구현

  • 자격 증명이 예상 네트워크에서만 리소스에 액세스하도록 허용 - 조건 키 aws:SourceIp, aws:SourceVpc, aws:SourceVpce및와 함께 SCPs를 사용합니다aws:ViaAWSService. 이렇게 하면 자격 증명이 예상 IP 주소, VPCs 및 VPC 엔드포인트와를 통해서만 리소스에 액세스할 수 있습니다 AWS 서비스.

  • 예상 네트워크에서만 리소스에 대한 액세스 허용 - 조건 키 aws:SourceIp, , aws:SourceVpc, aws:SourceVpce및와 함께 리소스 기반 정책을 사용합니다aws:ViaAWSServiceaws:PrincipalIsAWSService. 이렇게 하면 예상 IPs, 예상 VPCs, 예상 VPC 엔드포인트, 또는 호출 자격 증명이 인 AWS 서비스경우에만 리소스에 액세스할 수 있습니다 AWS 서비스.

이 테마 모니터링

정책 모니터링

  • SCPs, IAM 정책 및 VPC 엔드포인트 정책을 검토하는 메커니즘 구현

다음 AWS Config 규칙 구현

  • SERVICE_VPC_ENDPOINT_ENABLED