AWS Proton의 보안 모범 사례

AWS Proton는 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용해 주세요.

IAM을 사용하여 액세스 제어

IAM은 AWS에서 사용자 및 사용자 권한을 관리하는 데 사용할 수 있는 AWS 서비스입니다. AWS Proton에 IAM을 사용하여 템플릿, 환경 또는 서비스 관리와 같은 관리자와 개발자가 수행할 수 있는 AWS Proton 작업을 지정할 수 있습니다. IAM 서비스 역할을 사용하여 AWS Proton은 사용자를 대신하여 다른 서비스를 호출할 수 있습니다.

AWS Proton 및 IAM 역할에 대한 자세한 내용은 AWS Proton의 ID 및 액세스 관리을 참조하세요.

최소 권한 액세스 구현. 자세한 내용은 AWS Identity and Access Management 사용 설명서에서 IAM의 정책 및 권한을 참조하세요.

템플릿 및 템플릿 번들에 자격 증명을 포함하지 마십시오.

AWS CloudFormation 템플릿에 민감한 정보를 포함시키는 대신, 스택 템플릿의 동적 참조를 사용하는 것이 좋습니다.

동적 참조는 AWS Systems Manager 파라미터 스토어 또는 AWS Secrets Manager와 같이 다른 서비스에서 저장 및 관리되는 외부 값을 참조하는 간결하면서 강력한 방법을 제공합니다. 동적 참조 사용 시 CloudFormation는 스택 및 변경 세트 작업 중에 필요한 경우 지정된 참조의 값을 검색하고 적절한 리소스에 값을 전달합니다. 하지만 CloudFormation은 실제 참조 값을 저장하지 않습니다. 자세한 내용은 AWS CloudFormation 사용 설명서의 동적 참조를 사용하여 템플릿 값 지정을 참조하세요.

AWS Secrets Manager는 데이터베이스와 다른 서비스의 자격 증명을 안전하게 암호화, 저장 및 검색하는 데 효과적입니다. AWS Systems Manager 파라미터 스토어는 구성 데이터 관리를 위한 안전한 계층적 스토리지를 제공합니다.

템플릿 파라미터에 대한 자세한 내용은 AWS CloudFormation 사용 설명서의 https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html를 참조하세요.

암호화를 사용하여 민감한 데이터 보호

AWS Proton 내에서 모든 고객 데이터는 기본적으로 AWS Proton 소유 키를 사용하여 암호화됩니다.

플랫폼 팀의 일원은 민감한 데이터를 암호화하고 보호하는 데 필요한 고객 관리 키를 AWS Proton에 제공할 수 있습니다. S3 버킷에 민감한 저장 데이터를 암호화합니다. 자세한 내용은 AWS Proton의 데이터 보호 단원을 참조하세요.

API 호출을 보고 기록하는 데 AWS CloudTrail 사용

AWS CloudTrail은 AWS 계정계정에서 API를 호출하는 모든 사용자를 추적합니다. AWS Proton API, AWS Proton 콘솔, 백엔드 콘솔 또는 AWS Proton AWS CLI 명령을 사용할 때마다 API 호출이 로깅됩니다. 로깅을 활성화하고 로그를 저장할 Amazon S3 버킷을 지정합니다. 이렇게 하면 필요한 경우 내 계정에서 누가 어떤 AWS Proton 호출을 했는지 감사할 수 있습니다. 자세한 내용은 AWS Proton의 로깅 및 모니터링 단원을 참조하세요.