에 대한 보안 모범 사례 AWS Proton

AWS Proton 는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

IAM을 사용하여 액세스 제어

IAM은 사용자와 사용자의 권한을 관리하는 데 사용할 수 AWS 서비스 있는 입니다 AWS. 에서 IAM AWS Proton 을 사용하여 템플릿, 환경 또는 서비스 관리와 같이 관리자와 개발자가 수행할 수 있는 AWS Proton 작업을 지정할 수 있습니다. IAM 서비스 역할을 사용하여가 사용자를 대신하여 다른 서비스를 AWS Proton 호출하도록 허용할 수 있습니다.

AWS Proton 및 IAM 역할에 대한 자세한 내용은 섹션을 참조하세요에 대한 자격 증명 및 액세스 관리 AWS Proton.

최소 권한 액세스 구현. 자세한 내용은 AWS Identity and Access Management 사용 설명서에서 IAM의 정책 및 권한을 참조하세요.

템플릿 및 템플릿 번들에 자격 증명을 포함하지 마십시오.

AWS CloudFormation 템플릿 및 템플릿 번들에 민감한 정보를 포함하는 대신 스택 템플릿에 동적 참조를 사용하는 것이 좋습니다.

동적 참조는 AWS Systems Manager Parameter Store 또는와 같은 다른 서비스에 저장되고 관리되는 외부 값을 참조할 수 있는 간단하고 강력한 방법을 제공합니다 AWS Secrets Manager. 동적 참조 사용 시 CloudFormation는 스택 및 변경 세트 작업 중에 필요한 경우 지정된 참조의 값을 검색하고 적절한 리소스에 값을 전달합니다. 하지만 CloudFormation은 실제 참조 값을 저장하지 않습니다. 자세한 내용은 AWS CloudFormation 사용 설명서의 동적 참조를 사용하여 템플릿 값 지정을 참조하세요.

AWS Secrets Manager는 데이터베이스와 다른 서비스의 자격 증명을 안전하게 암호화, 저장 및 검색하는 데 효과적입니다. AWS Systems Manager 파라미터 스토어는 구성 데이터 관리를 위한 안전한 계층적 스토리지를 제공합니다.

템플릿 파라미터에 대한 자세한 내용은 AWS CloudFormation 사용 설명서의 https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html를 참조하세요.

암호화를 사용하여 민감한 데이터 보호

내에서 AWS Proton모든 고객 데이터는 기본적으로 AWS Proton 소유 키를 사용하여 암호화됩니다.

플랫폼 팀원은에 고객 관리형 키를 제공하여 민감한 데이터를 AWS Proton 암호화하고 보호할 수 있습니다. S3 버킷에 민감한 저장 데이터를 암호화합니다. 자세한 내용은 의 데이터 보호 AWS Proton 단원을 참조하십시오.

API 호출을 보고 기록 AWS CloudTrail 하는 데 사용

AWS CloudTrail 는에서 API를 호출하는 모든 사용자를 추적합니다 AWS 계정. API 호출은 누구나 AWS Proton API, 콘솔 또는 AWS Proton AWS CLI 명령을 사용할 때마다 기록됩니다 AWS Proton . 로깅을 활성화하고 로그를 저장할 S3 버킷을 지정합니다. 이렇게 하면 필요한 경우 계정에서 누가 어떤 AWS Proton 호출을 했는지 감사할 수 있습니다. 자세한 내용은 에서 로깅 및 모니터링 AWS Proton 단원을 참조하십시오.