기본 모범 사례

다른 AWS API 요청에 대한 효과적인 제어인 일반 모범 사례는 미리 서명된 요청에도 적용됩니다. 이 섹션에서는 가장 관련성이 높은 두 가지 사례인 최소 권한과 데이터 경계를 검토합니다. 이러한 관행은 다른 관행이 확장하는 심층적인 제어를 생성합니다.

최소 권한 원칙 적용

미리 서명된 요청의 사용을 제한하는 첫 번째 단계는 일반적으로 Amazon S3에 대한 액세스를 제한하는 것입니다. 미리 서명된 URL은 미리 서명된 URL에 대한 서명을 생성한 보안 주체에게 부여되지 않은 리소스에 대한 액세스를 제공할 수 없습니다. 또한 해당 보안 주체에게 부여되지 않은 방식으로 리소스에 대한 액세스를 제공할 수 없습니다. 따라서 이러한 보안 주체에게 최소 권한을 부여하는 모범 사례를 적용하는 것이 효과적인 가드레일입니다.

미리 서명된 URL을 생성하는 프로세스는 서명 생성을 위해 게시된 표준(서명 버전 4)을 기반으로 하는 알고리즘 작업입니다. 따라서 미리 서명된 URLs 생성에 제한을 둘 수 없습니다. 그러나 관련성이 있으려면 미리 서명된 URL이 유효하고 리소스에 대한 액세스를 제공해야 하므로 미리 서명된 URL의 유효성도 효과적인 가드레일입니다.

최소 권한에 대한 자세한 내용은 AWS Well-Architected Framework, 보안 원칙의 최소 권한 액세스 권한 부여를 참조하세요.

데이터 경계 구현

최소 권한의 확장은 조직의 요구 사항을 일관되게 충족하는 데이터 경계를 유지하는 것입니다. 미리 서명된 URLs은 데이터 경계와 호환됩니다. 다른 요청과 마찬가지로 미리 서명된 URL 요청의 유효성은 요청 시 평가됩니다. 네트워크, 리소스, 역할 세션 및 보안 주체의 속성이 변경되면 요청이 수신되는 방법을 사용하여 해당 속성을 평가합니다.

예를 들어 Amazon Elastic Kubernetes Service(Amazon EKS) 컨테이너에서 실행 중인 서비스가 요청에 서명한다고 가정해 보겠습니다. 요청은 나중에 인터넷에 연결된 사용자의 개인용 컴퓨터 시스템에서 전송됩니다. 이 경우 aws:SourceIp 조건은 Amazon EKS 컨테이너에 있는 서비스의 IP 주소가 아닌 사용자의 개인 시스템에서 요청의 가시적 퍼블릭 IP 주소를 평가합니다.

마찬가지로 요청이 전송되기 전에 보안 주체 또는 리소스의 태그가 변경되면 원본이 아닌 업데이트된이 aws:PrincipalTag/tag-key 및 aws:ResourceTag/tag-key 조건을 통해 요청에 적용됩니다.