가드레일 설정 및 사전 서명된 URL 모니터링

라이언 베이커, 아마존 웹 서비스 ()AWS

2024년 7월 (문서 기록)

보안은 모든 회사의 중요한 관심사이자 AWS Well-Architected 프레임워크의 핵심 요소입니다. 보안 엔지니어라면 조직의 규제 요구 사항에 맞는 관리 가드레일을 구현하고 싶을 것입니다. AWS Well-Architected 프레임워크에서 가드레일은 활동을 제한하는 경계를 정의합니다.

이 안내서는 Amazon Simple Storage Service (Amazon S3) 객체와 함께 사용되는 미리 서명된 URL 사용에 대한 배경 정보와 모범 사례를 제공합니다. 미리 서명된 URL을 사용하면 유효한 자격 증명에 액세스할 수 있는 사용자 또는 애플리케이션이 미리 서명된 요청을 생성할 수 있습니다. 이 요청은 미리 서명된 후 정의된 만료 시간까지 수락됩니다. 사전 서명된 URL의 일반적인 사용 사례는 이러한 요청을 공유하여 객체 또는 리소스에 대한 액세스를 확장하는 것입니다. 미리 서명된 공유 요청은 특정 요청을 수행할 권한이 있는 시스템 또는 사용자가 생성한 후 다른 시스템이나 사용자에게 전송하여 동일한 요청을 수행할 수 있도록 확장할 수 있습니다.

이 가이드에서는 다음 내용을 배우게 됩니다.

미리 서명된 URL의 개념
미리 서명된 URL의 사용 사례
권장 및 선택적 가드레일
모니터링 옵션
미리 서명된 URL을 AWS 서비스 사용하는 방법의 예

수강 대상

이 안내서는 AWS 클라우드에서 보안 제어 구현을 담당하는 아키텍트와 보안 엔지니어를 대상으로 합니다.

목표

보안 엔지니어라면 솔루션 빌더가 보안을 구현하는 방식과 최종 사용자의 액세스 유형을 알고 싶을 것입니다. 이 안내서에서는 Amazon S3에서 자주 사용되는 한 가지 유형의 액세스, 즉 미리 서명된 URL을 다룹니다. 미리 서명된 URL은 빌더에게 인증 메커니즘을 효율적으로 연결하는 옵션을 제공합니다.

Amazon S3에서 미리 서명된 URL은 고유한 요청 범주를 나타냅니다. 보안 엔지니어는 이러한 요청이 적절하고 필요한 경우에만 사용되도록 이러한 요청을 모니터링하고 관리할 수 있습니다. 이 가이드의 목적은 보안 엔지니어가 이러한 유형의 높은 수준의 감독을 제공하도록 돕는 것입니다.

이 가이드를 읽고 나면 미리 서명된 URL이 무엇인지, 일반적으로 사용되는 시기, 사용 동기에 대해 이해해야 합니다.

사전 조건

AWS에서 보안 제어 구현 가이드에 설명된 대로 회사가 보안 정책, 규제 목표 또는 표준을 정의하지 않은 경우, 이 안내서를 진행하기 전에 해당 거버넌스 작업을 완료하는 것이 좋습니다.

시작하기 전에 제어 및 모니터링에 대한 권장 및 선택적 모범 사례도 숙지해야 합니다. 자세한 내용은 다음을 참조하세요.

서비스 제어 정책 (AWS Organizations 설명서)
아마존 S3에 대한 버킷 정책 (아마존 S3 설명서)
서버 액세스 로깅을 통한 요청 로깅 (Amazon S3 설명서)
AWS CloudTrail(Amazon S3 설명서) 를 사용하여 Amazon S3 API 호출 로깅

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

미리 서명된 URL 개요