자격 증명 및 액세스 관리를 위한 보안 제어 권장 사항 - AWS 권장 가이드
루트 사용자 활동루트 사용자의 액세스 키루트 사용자에 대한 MFAIAM 모범 사례최소 권한워크로드 수준의 가드레일 IAM 액세스 키 교체외부 공유 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자격 증명 및 액세스 관리를 위한 보안 제어 권장 사항

에서 자격 증명을 생성 AWS하거나 외부 자격 증명 소스를 연결할 수 있습니다. AWS Identity and Access Management (IAM) 정책을 통해 사용자에게 AWS 리소스 및 통합 애플리케이션에 액세스하거나 관리할 수 있는 필요한 권한을 부여합니다. 효과적인 자격 증명 및 액세스 관리를 통해 적절한 사용자와 시스템이 올바른 조건에서 적절한 리소스에 액세스할 수 있는지 검증할 수 있습니다. AWS Well-Architected 프레임워크는 자격 증명 및 권한을 관리하기 위한 모범 사례를 제공합니다. 모범 사례의 예로는 중앙 집중식 자격 증명 공급자에 의존하고 멀티 팩터 인증(MFA)과 같은 강력한 로그인 메커니즘을 사용하는 것이 있습니다. 이 섹션의 보안 제어는 이러한 모범 사례를 구현하는 데 도움이 될 수 있습니다.

루트 사용자 활동에 대한 알림 모니터링 및 구성

를 처음 생성할 때 루트 사용자라는 단일 로그인 자격 증명으로 AWS 계정시작합니다. 기본적으로 루트 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한 전체 액세스 권한을 가집니다. 루트 사용자를 엄격하게 제어하고 모니터링해야 하며 루트 사용자 자격 증명이 필요한 작업에만 사용해야 합니다.

자세한 정보는 다음 자료를 참조하세요.

루트 사용자에 대해 액세스 키를 생성하지 않음

루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. 루트 사용자에 대한 프로그래밍 방식 액세스를 비활성화하면 사용자 보안 인증 정보가 실수로 노출되어 클라우드 환경이 손상될 위험을 줄일 수 있습니다. 및 리소스에 액세스 AWS 계정 하기 위한 임시 자격 증명으로 IAM 역할을 생성하고 사용하는 것이 좋습니다.

자세한 정보는 다음 자료를 참조하세요.

루트 사용자에 대해 MFA 활성화

AWS 계정 루트 사용자와 IAM 사용자에 대해 다중 다중 인증(MFA) 디바이스를 활성화하는 것이 좋습니다. 이렇게 하면의 보안 기준이 AWS 계정 높아지고 액세스 관리가 간소화될 수 있습니다. 루트 사용자는 권한 있는 작업을 수행할 수 있는 권한이 높은 사용자이므로 루트 사용자에게 MFA를 요구하는 것이 중요합니다. 시간 기반 일회용 암호(TOTP) 알고리즘, FIDO 하드웨어 보안 키 또는 가상 인증 애플리케이션을 기반으로 숫자 코드를 생성하는 하드웨어 MFA 디바이스를 사용할 수 있습니다.

2024년에 MFA는 모든의 루트 사용자에 액세스해야 합니다 AWS 계정. 자세한 내용은 AWS 보안 블로그의 Secure by Design: AWS to enhance MFA requirements in 2024를 참조하세요. 이 보안 관행을 확장하고 AWS 환경의 모든 사용자 유형에 대해 MFA를 요구하는 것이 좋습니다.

가능하면 루트 사용자에 하드웨어 MFA 디바이스를 사용하는 것이 좋습니다. 가상 MFA는 하드웨어 MFA 디바이스와 동일한 수준의 보안을 제공하지 않을 수 있습니다. 하드웨어 구매 승인 또는 배송을 기다리는 동안 가상 MFA를 사용할 수 있습니다.

에서 수백 개의 계정을 관리하는 상황에서 조직의 위험 허용 범위에 AWS Organizations따라 조직 단위(OU)의 각 계정 루트 사용자에 하드웨어 기반 MFA를 사용하는 것이 확장 가능하지 않을 수 있습니다. 이 경우 OU에서 OU 관리 계정 역할을 하는 하나의 계정을 선택한 다음 해당 OU의 다른 계정에 대한 루트 사용자를 비활성화할 수 있습니다. 기본적으로 OU 관리 계정은 다른 계정에 액세스할 수 없습니다. 교차 계정 액세스를 미리 설정하면 긴급 상황에서 OU 관리 계정의 다른 계정에 액세스할 수 있습니다. 교차 계정 액세스를 설정하려면 멤버 계정에서 IAM 역할을 생성하고 OU 관리 계정의 루트 사용자만이 역할을 수임할 수 있도록 정책을 정의합니다. 자세한 내용은 IAM 설명서의 자습서: IAM 역할을 AWS 계정 사용하여 간 액세스 위임을 참조하세요.

루트 사용자 자격 증명에 대해 여러 MFA 디바이스를 활성화하는 것이 좋습니다. 모든 조합의 MFA 디바이스를 최대 8개까지 등록할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

IAM의 보안 모범 사례 준수

IAM 설명서에는 AWS 계정 및 리소스를 보호하는 데 도움이 되도록 설계된 모범 사례 목록이 포함되어 있습니다. 여기에는 최소 권한 원칙에 따라 액세스 및 권한을 구성하기 위한 권장 사항이 포함되어 있습니다. IAM 보안 모범 사례의 예로는 자격 증명 페더레이션 구성, MFA 요구, 임시 자격 증명 사용 등이 있습니다.

자세한 정보는 다음 자료를 참조하세요.

최소 권한 부여

최소 권한은 작업을 수행하는 데 필요한 권한만 부여하는 방법입니다. 이를 위해 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다.

속성 기반 액세스 제어(ABAC)태그와 같은 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. 그룹, 자격 증명 및 리소스 속성을 사용하여 개별 사용자에 대한 권한을 정의하는 대신 대규모로 권한을 동적으로 정의할 수 있습니다. 예를 들어 ABAC를 사용하여 개발자 그룹이 프로젝트와 연결된 특정 태그가 있는 리소스에만 액세스하도록 허용할 수 있습니다.

자세한 정보는 다음 자료를 참조하세요.

워크로드 수준에서 권한 가드레일 정의

워크로드 수준에서 가드레일을 정의할 수 있는 유연성을 제공하기 때문에 다중 계정 전략을 사용하는 것이 좋습니다. AWS 보안 참조 아키텍처는 계정을 구성하는 방법에 대한 규범적 지침을 제공합니다. 이러한 계정은에서 조직으로 관리AWS Organizations되며, 계정은 조직 단위(OUs)로 그룹화됩니다.

AWS 서비스와 같은는 조직 전반의 제어를 중앙에서 관리하는 데 도움이 될 AWS Control Tower수 있습니다. 조직 내 각 계정 또는 OU에 대해 명확한 목적을 정의하고 해당 목적에 따라 제어를 적용하는 것이 좋습니다.는 리소스를 관리하고 규정 준수를 모니터링하는 데 도움이 되는 예방, 탐지 및 사전 제어를 AWS Control Tower 구현합니다. 예방 제어는 이벤트가 발생하지 않도록 설계되었습니다. 탐지 제어는 이벤트가 발생한 후 탐지, 로깅 및 알림을 제공하도록 설계되었습니다. 사전 예방적 제어는 리소스를 프로비저닝하기 전에 스캔하여 규정 미준수 리소스의 배포를 방지하도록 설계되었습니다.

자세한 정보는 다음 자료를 참조하세요.

정기적으로 IAM 액세스 키 교체

장기 보안 인증이 필요한 사용 사례에 대한 액세스 키를 업데이트하는 것이 좋습니다. 90일 이하마다 액세스 키를 교체하는 것이 좋습니다. 액세스 키를 교체하면 손상되거나 종료된 계정과 연결된 액세스 키가 사용될 위험이 줄어듭니다. 또한 분실, 손상 또는 도난되었을 수 있는 이전 키를 사용하여 액세스를 방지합니다. 액세스 키를 교체한 후에는 항상 애플리케이션을 업데이트합니다.

자세한 정보는 다음 자료를 참조하세요.

외부 엔터티와 공유되는 리소스 식별

외부 엔터티는 다른 사용자, 루트 사용자, IAM 사용자 또는 역할, 페더레이션 사용자 AWS 계정, 또는 익명(또는 인증되지 않은) 사용자와 같이 AWS 조직 외부에 있는 리소스, 애플리케이션 AWS 서비스, 서비스 또는 사용자입니다. IAM Access Analyzer를 사용하여 외부 엔터티와 공유되는 Amazon Simple Storage Service(Amazon S3) 버킷 또는 IAM 역할과 같은 조직 및 계정의 리소스를 식별하는 것이 보안 모범 사례입니다. 이를 통해 리소스 및 데이터에 대한 의도하지 않은 액세스를 식별할 수 있으며, 이는 보안 위험입니다.

자세한 정보는 다음 자료를 참조하세요.