4단계. 액세스 제어 메커니즘 구현

클라우드에서의 보안을 고려할 때 기본 전략은 사용자가 데이터에 액세스할 수 있는 적절한 권한을 갖도록 하는 강력한 ID 기반부터 시작해야 합니다. 적절한 인증 및 권한 부여는 보안 이벤트의 위험을 완화할 수 있습니다. 공동 책임 모델을 사용하려면 AWS 고객이 액세스 제어 정책을 구현해야 합니다. 대규모로 액세스 정책을 생성하고 관리하려면 AWS Identity and Access Management (IAM)를 사용합니다.

액세스 권한과 권한을 구성할 때 백업 데이터 또는 볼트에 액세스하는 각 사용자 또는 시스템에 직무를 수행하는 데 필요한 권한만 부여되도록 하여 최소 권한의 원칙을 이행합니다. AWS Backup 를 사용하여 백업 볼트에 대한 액세스 정책을 설정하여 클라우드 워크로드를 보호합니다.

예를 들어, 액세스 제어 정책을 구현하여 사용자에게 백업 계획 및 온디맨드 백업을 생성할 수 있는 액세스 권한을 부여하면서 복구 지점 삭제 권한을 제한할 수 있습니다. 볼트 액세스 정책을 사용하면 비즈니스 요구 사항에 따라 대상 백업 볼트를 소스 AWS 계정 또는 IAM 역할과 공유할 수 있습니다. 또한 액세스 정책을 사용하여 AWS Organizations에서 하나 이상의 계정이나 조직 전체와 백업 볼트를 공유할 수 있습니다. 자세한 내용은 AWS Backup 설명서를 참조하십시오.

워크로드를 확장하거나 로 마이그레이션 AWS할 때 백업 볼트 및 작업에 대한 권한을 중앙에서 관리해야 할 수 있습니다. 서비스 제어 정책(SCP)을 사용하여 조직의 모든 계정에 대해 사용 가능한 최대 권한에 대한 중앙 집중식 제어를 구현합니다. SCP는 심층적인 방어 기능을 제공하며 사용자가 정의된 액세스 제어 지침을 준수할 수 있도록 합니다. 자세한 내용은 Managing access to backups using service control policies with AWS Backup을 참조하세요.

백업 리소스 및 데이터에 대한 의도하지 않은 액세스와 같은 보안 위험을 완화하려면 IAM Access Analyzer를 사용하여 다음과 공유되는 AWS Backup IAM 역할을 식별합니다.

• 와 같은 외부 엔터티 AWS 계정

• 루트 사용자

• IAM 사용자 또는 역할

• 페더레이션 사용자

• 의 경우 AWS 서비스

• 익명 사용자

• 필터 생성에 사용할 수 있는 기타 모든 엔터티