FAQ - AWS 규범적 지침
미리 서명된 요청을 여러 번 사용할 수 있나요? 보안 위험인가요?대상 사용자가 아닌 다른 사람이 미리 서명된 요청을 사용할 수 있나요?승인된 사용자가 미리 서명된 요청을 사용하여 데이터를 유출할 수 있나요?사전 서명된 URL이 무단으로 공유된 것으로 의심되는 경우 해당 URL을 통한 액세스를 거부할 수 있나요?

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

FAQ

미리 서명된 요청을 여러 번 사용할 수 있나요? 보안 위험인가요?

예. 미리 서명된 요청의 서명은 두 번 이상 사용될 수 있습니다. 이것이 보안 위험인지 여부는 상황에 따라 달라질 수 있습니다. AWS 서비스에 액세스하는 다른 방법도 반복을 허용합니다. 사용자 또는 AWS 자격 증명이 있는 워크로드는 여러 요청을 에 보낼 수 있으며 AWS 서비스, 이러한 요청은 중복될 수 있습니다.

사용 사례에서 한 번만 실행해야 하는 경우 단일 사용을 강제하는 다른 메커니즘을 구현해야 합니다. 사전 서명된 요청에는 일회용 사용이 포함되지 않습니다. 보안 엔지니어는 사용 사례와 구현을 검토해야 하지만 대부분의 경우 여러 번 사용하는 것이 허용 가능한 용도에 적합합니다.

대상 사용자가 아닌 다른 사람이 미리 서명된 요청을 사용할 수 있나요?

미리 서명된 요청의 서명은 해당 요청을 소유한 모든 사람이 보낼 수 있습니다. 데이터 경계 제어와 같은 다른 형태의 검증을 통과한 경우에만 승인됩니다. 서명이 만료되었거나 서명 자격 증명이 만료되었거나 서명 자격 증명이 요청된 리소스에 액세스할 수 없는 경우 요청이 거부됩니다.

다른 인증 방법에서도 마찬가지입니다. AWS 서비스자격 증명을 잘못 공유하면 부적절한 액세스가 허용됩니다. 핵심 모범 사례는 자격 증명과 서명을 대상 사용자와만 공유하는 것입니다. 대상 사용자가 개인 데이터를 안전하게 유지하고 다른 사람과 공유하지 않는 것을 신뢰할 수 없다면 어떤 형태의 인증도 손상될 수 있습니다.

승인된 사용자가 미리 서명된 요청을 사용하여 데이터를 유출할 수 있나요?

데이터를 보호하려면 강력한 조치가 필요합니다. 데이터 경계를 유지하면서 의도한 목적으로 액세스할 수 있게 하려면 포괄적인 접근 방식이 필요합니다. 최소 권한 액세스, 데이터 경계 제어, 임시 액세스 자격 증명만 사용하는 것이 데이터 보안에 적용되는 일반적인 모범 사례입니다. 또한 이러한 제어를 적절하게 사용하면 사용자가 생성한 미리 서명된 요청을 통해 작업을 수행할 수 있는 기능이 제한됩니다.

이는 미리 서명된 요청이 제공하는 액세스 권한이 요청에 서명하는 데 사용되는 자격 증명에 부여된 액세스 권한의 하위 집합이기 때문입니다. 이러한 맥락에서 데이터 액세스에 적용되는 모범 사례는 일반적으로 미리 서명된 요청에도 적용되지만, 미리 서명된 요청으로 인해 데이터에 대한 새로운 액세스가 만들어지지는 않습니다. 

  • 최대 만료 기간은 서명 자격 증명의 만료로 제한됩니다. 서명 자격 증명이 취소되면 자격 증명을 기반으로 한 서명은 더 이상 유효하지 않습니다.

  • 서명 자격 증명과 연결된 IAM 보안 주체에 대한 권한에 미리 서명된 요청과 관련된 작업의 실행이 포함되어 있지 않은 경우, 미리 서명된 요청을 호출하면 “액세스 거부” 응답이 발생합니다. 응답은 호출 시점의 권한 현재 상태에 따라 달라지며, 이는 사전 서명된 요청의 서명이 생성된 시점과 관련이 없습니다. 

  • 보안 주체의 속성은 서명 자격 증명과 관련된 보안 주체를 기반으로 평가됩니다. 

  • 역할 세션의 속성은 서명 자격 증명과 연결된 역할 세션을 기반으로 평가됩니다.

  • 네트워크 속성은 일반 요청과 마찬가지로 요청이 수신된 방식을 기준으로 평가됩니다. 

이러한 맥락에서 사전 서명된 요청과 관련된 위험에 대한 조사는 요청이 사용자의 자격 증명과 다른 자격 증명으로 서명되고 사용자 보안 주체의 일부가 아닌 액세스를 제공하는 영역으로만 제한됩니다. 이 검사는 미리 서명된 요청 기능 자체가 아니라 사용자를 대신하여 서명을 생성하는 서비스, 워크로드 또는 솔루션의 설계에 적용되어야 합니다.

사전 서명된 URL이 무단으로 공유된 것으로 의심되는 경우 해당 URL을 통한 액세스를 거부할 수 있나요?

예. 이를 위해서는 URL에 서명할 때 사용한 자격 증명을 무효화해야 합니다. 다음과 같은 여러 가지 방법으로 이 작업을 수행할 수 있습니다.

  • 자격 증명이 속한 IAM 보안 주체의 권한을 제거합니다. 해당 IAM 보안 주체가 URL이 서명된 리소스 및 작업에 더 이상 액세스할 수 없는 경우 URL은 해당 작업을 실행할 수 없습니다. 이는 해당 IAM 보안 주체의 모든 매칭 사용에 영향을 미칩니다.

  • URL 서명에 사용된 자격 증명이 임시 AWS STS 자격 증명인 경우, IAM 보안 주체에 대해 특정 시간 이전에 발급된 임시 자격 증명의 세션 권한을 취소할 수 있습니다. 사용 사례에 따라 정상 만료 시간 전에 무효화되는 다른 유효한 세션이 있을 수 있지만 새 세션은 영향을 받지 않습니다. 세션 권한을 취소하면 해당 세션과 연결된 자격 증명을 사용하여 서명된 URL도 모두 무효화되지만 새 세션과 연결된 새 URL은 영향을 받지 않습니다.

  • URL 서명에 사용된 자격 증명이 영구 자격 증명인 경우 액세스 키를 비활성화하십시오. 이는 해당 자격 증명에 연결된 모든 사용에 영향을 미칩니다.