AWS Resource Access Manager란 무엇인가요? - AWS Resource Access Manager

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Resource Access Manager란 무엇인가요?

AWS Resource Access Manager(AWS RAM)를 사용하면 지원되는 리소스 유형에 대해 AWS 계정 간, 조직 또는 조직 단위(OU) 내에서, 그리고 AWS Identity and Access Management(IAM) 역할 및 사용자와 리소스를 안전하게 공유할 수 있습니다. AWS 계정이 여러 개 있는 경우 리소스를 한 번 생성한 후 AWS RAM을 사용하여 다른 계정에서 해당 리소스를 사용할 수 있도록 설정할 수 있습니다. AWS Organizations에서 관리하는 계정인 경우, 조직의 다른 모든 계정과 리소스를 공유하거나 하나 이상의 지정된 조직 단위(OU)에 포함된 계정과만 리소스를 공유할 수 있습니다. 계정이 조직에 속해 있는지 여부와 관계없이 계정 ID로 특정 AWS 계정과 공유할 수도 있습니다. 지원되는 일부 리소스 유형은 지정된 IAM 역할 및 사용자와 공유할 수도 있습니다.

동영상 개요

다음 동영상에서는 AWS RAM에 대한 간략한 소개와 리소스 공유를 생성하는 방법을 제공합니다. 자세한 내용은 에서 리소스 공유 생성 AWS RAM 섹션을 참조하세요.

다음 동영상에서는 AWS 관리형 권한을 AWS 리소스에 적용하는 방법을 보여줍니다. 자세한 내용은 AWS RAM에서 권한 관리 섹션을 참조하세요.

이 동영상에서는 최소 권한 모범 사례에 따라 고객 관리형 권한을 작성하고 연결하는 방법을 보여줍니다. 자세한 내용은 AWS RAM에서 고객 관리형 권한 생성 및 사용 섹션을 참조하세요.

AWS RAM의 이점

AWS RAM을 사용하는 이유는 무엇입니까? 다음과 같은 이점을 제공합니다.

  • 운영 오버헤드 감소 - 리소스를 한 번 생성한 다음 AWS RAM을 사용하여 다른 계정과 해당 리소스를 공유할 수 있습니다. 그러면 모든 계정에서 중복된 리소스를 프로비저닝할 필요가 없으므로 운영 오버헤드가 줄어듭니다. 리소스를 소유한 계정 내에서 AWS RAM을 사용하면 자격 증명 기반 권한 정책을 사용하지 않고도 해당 계정의 모든 역할과 사용자에게 간편하게 액세스 권한을 부여할 수 있습니다.

  • 보안 및 일관성 제공 - 하나의 정책 및 권한 세트를 사용하여 공유 리소스에 대한 보안 관리를 간소화할 수 있습니다. 모든 개별 계정에 중복 리소스를 생성한다면 동일한 정책과 권한을 구현한 다음 모든 계정에서 동일하게 유지해야 하는 작업이 필요합니다. 대신, AWS RAM 리소스 공유의 모든 사용자는 하나의 정책 및 권한 집합으로 관리됩니다. AWS RAM은 다양한 유형의 AWS 리소스를 공유하기 위한 일관된 환경을 제공합니다.

  • 가시성 및 감사 기능 제공 - AWS RAM과 Amazon CloudWatch 및 AWS CloudTrail의 통합을 통해 공유 리소스에 대한 사용량 세부 정보를 확인할 수 있습니다. AWS RAM은 공유 리소스 및 계정에 대한 포괄적인 가시성을 제공합니다.

리소스 기반 정책을 사용한 크로스 계정 액세스

AWS 계정 외부의 AWS Identity and Access Management (IAM) 보안 주체(IAM 역할 및 사용자)를 식별하는 리소스 기반 정책을 연결하여 일부 유형의 AWS 리소스를 다른 AWS 계정과 공유할 수 있습니다. 그러나 정책을 연결하여 리소스를 공유하면 AWS RAM에서 제공하는 추가적인 이점을 활용할 수 없습니다. AWS RAM을 사용하면 다음과 같은 기능을 이용할 수 있습니다.

  • 모든 AWS 계정 ID를 열거할 필요 없이 조직 또는 조직 단위(OU)와 공유할 수 있습니다.

  • 사용자는 마치 해당 리소스가 사용자 계정에 직접 있는 것처럼 원래 AWS 서비스 콘솔 및 API 작업에서 직접 공유된 리소스를 볼 수 있습니다. 예를 들어 AWS RAM을 사용하여 다른 계정과 Amazon VPC 서브넷을 공유하는 경우 해당 계정의 사용자는 해당 계정에서 수행된 Amazon VPC API 작업의 결과와 Amazon VPC 콘솔에서 해당 서브넷을 볼 수 있습니다. 리소스 기반 정책을 연결하여 공유한 리소스는 이러한 방식으로 표시되지 않으며, 대신 해당 Amazon 리소스 이름(ARN)으로 리소스를 검색하고 명시적으로 참조해야 합니다.

  • 리소스 소유자는 자신이 공유한 각 개별 리소스에 액세스할 수 있는 보안 주체를 확인할 수 있습니다.

  • 조직에 속하지 않은 계정과 리소스를 공유하는 경우 AWS RAM에서 초대 프로세스를 시작합니다. 수신자가 초대를 수락해야 보안 주체가 공유 리소스에 액세스할 수 있습니다. 조직 내 공유 기능을 활성화하면 조직 내 계정과 공유할 때 초대가 필요하지 않습니다.

리소스 기반 권한 정책을 사용하여 공유한 리소스가 있는 경우 다음 중 하나를 수행하여 해당 리소스를 완전 관리형 AWS RAM 리소스로 승격할 수 있습니다.

리소스 공유 작동 방식

소유 계정의 리소스를 다른 AWS 계정인 소비 계정과 공유하면 소비 계정의 보안 주체에게 공유 리소스에 대한 액세스 권한이 부여됩니다. 소비 계정의 역할 및 사용자에게 적용되는 모든 정책 및 권한이 공유 리소스에도 적용됩니다. 공유 리소스는 공유하고 있는 AWS 계정의 기본 리소스처럼 보입니다.

글로벌 리소스와 리전 리소스를 모두 공유할 수 있습니다. 자세한 내용은 글로벌 리소스와 리전 리소스를 비교하여 공유 섹션을 참조하세요.

리소스 공유

AWS RAM을 사용하면 리소스 공유를 생성하여 소유한 리소스를 공유할 수 있습니다. 리소스 공유를 생성하려면 다음을 지정합니다.

  • 리소스 공유를 생성할 AWS 리전. 콘솔의 오른쪽 상단 모서리에 있는 리전 드롭다운 메뉴에서 리전을 선택합니다. AWS CLI에서는 --region 파라미터를 사용합니다.

    • 리소스 공유에는 리소스 공유와 동일한 AWS 리전에 있는 리전 리소스만 포함될 수 있습니다.

    • 리소스 공유가 글로벌 리소스의 지정된 홈 리전인 미국 동부(버지니아 북부), us-east-1에 있는 경우에만 리소스 공유에 글로벌 리소스가 포함될 수 있습니다.

  • 리소스 공유의 이름

  • 이 리소스 공유의 일부로 액세스 권한을 부여하려는 리소스 목록

  • 리소스 공유에 대한 액세스 권한을 부여할 보안 주체. 주체는 개별 AWS 계정, AWS Organizations에 있는 조직 또는 OU(조직 구성 단위)의 계정, 개별 AWS Identity and Access Management(IAM) 역할 또는 사용자일 수 있습니다.

    참고

    모든 리소스 유형을 IAM 역할 및 사용자와 공유할 수 있는 것은 아닙니다. 이러한 보안 주체와 공유할 수 있는 리소스에 대한 자세한 내용은 공유 가능한 AWS 리소스 섹션을 참조하세요.

  • 리소스 공유에 포함된 각 리소스 유형과 연결할 관리형 권한. 관리형 권한에 따라 다른 계정의 주체가 리소스 공유에 있는 리소스로 수행할 수 있는 작업이 결정됩니다.

    권한의 동작은 보안 주체 유형에 따라 다릅니다.

    • 보안 주체가 리소스를 소유한 계정과 다른 계정에 있는 경우 리소스 공유에 연결된 권한이 해당 계정의 역할 및 사용자에게 부여할 수 있는 최대 권한입니다. 그런 다음 해당 계정의 관리자는 IAM 자격 증명 기반 정책을 사용하여 공유 리소스에 대한 액세스 권한을 개별 역할 및 사용자에게 부여해야 합니다. 이러한 정책에서 부여되는 권한은 리소스 공유에 연결된 권한에 정의된 권한을 초과할 수 없습니다.

리소스 소유 계정은 공유하는 리소스에 대한 전체 소유권을 보유합니다.

공유 리소스 사용

리소스 소유자가 내 계정과 리소스를 공유하면 내 계정이 리소스를 소유한 것처럼 공유 리소스에 액세스할 수 있습니다. 관련 서비스의 콘솔, AWS CLI 명령, API 작업을 사용하여 리소스에 액세스할 수 있습니다. 계정의 보안 주체가 수행할 수 있는 API 작업은 리소스 유형에 따라 다르며, 리소스 공유에 연결된 AWS RAM 권한으로 지정됩니다. 계정에 구성된 모든 IAM 정책 및 서비스 제어 정책도 계속 적용되므로 보안 및 거버넌스 제어에 대한 기존 투자를 활용할 수 있습니다.

해당 리소스의 서비스를 사용하여 공유 리소스에 액세스하면 리소스를 소유한 AWS 계정과 동일한 권한 및 제한 사항이 적용됩니다.

  • 리전 리소스인 경우, 소유 계정의 리소스가 있는 AWS 리전에서만 액세스할 수 있습니다.

  • 글로벌 리소스인 경우, 리소스의 서비스 콘솔 및 도구가 지원하는 모든 AWS 리전에서 리소스에 액세스할 수 있습니다. 리소스 공유 및 글로벌 리소스는 지정된 홈 리전인 미국 동부(버지니아 북부), us-east-1에서만 AWS RAM 콘솔 및 도구에서 보고 관리할 수 있습니다.

AWS RAM 액세스

다음 방법 중 하나를 사용하여 AWS RAM에서 작업할 수 있습니다.

AWS RAM 콘솔

AWS RAM는 웹 기반 사용자 인터페이스인 AWS RAM 콘솔을 제공합니다. AWS 계정에 가입한 고객은 AWS Management Console에 로그인한 후 콘솔 홈 페이지에서 AWS RAM을 선택하면 AWS RAM 콘솔에 액세스할 수 있습니다.

브라우저에서 직접 AWS RAM 콘솔로 이동할 수도 있습니다. 아직 로그인하지 않은 경우 콘솔이 표시되기 전에 로그인하라는 메시지가 표시됩니다.

AWS CLI 및 Windows PowerShell용 도구

AWS CLI 및 AWS Tools for PowerShell는 AWS RAM 퍼블릭 API 작업에 대한 직접 액세스를 제공합니다. AWS는 Windows, macOS, Linux에서 이러한 도구를 지원합니다. 시작하기에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서 또는 AWS Tools for Windows PowerShell 사용 설명서를 참조하세요. AWS RAM 명령에 대한 자세한 내용은 AWS CLI 명령 참조 또는 AWS Tools for Windows PowerShell Cmdlet 참조를 참조하세요.

AWS SDK

AWS는 광범위한 프로그래밍 언어 세트에 대한 API 명령을 제공합니다. 시작하기에 대한 자세한 내용은 AWS SDK 및 도구 참조 안내서를 참조하세요.

Query API

지원되는 프로그래밍 언어 중 하나를 사용하지 않는 경우 AWS RAM HTTPS Query API를 사용하여 AWS RAM 및 AWS에 프로그래밍 방식으로 액세스할 수 있습니다. AWS RAM API를 사용하면 서비스에 직접 HTTPS 요청을 발행할 수 있습니다. AWS RAM API를 사용할 때는 자격 증명을 사용하여 요청에 디지털 방식으로 서명하는 코드를 포함해야 합니다. 자세한 내용은 AWS RAM API 참조를 참조하세요.

AWS RAM 요금

AWS RAM을 사용하거나 리소스 공유를 생성하고 계정 간에 리소스를 공유하는 데는 추가 요금이 부과되지 않습니다. 리소스 사용 요금은 리소스 유형에 따라 다릅니다. AWS에서 공유 가능한 리소스에 요금을 청구하는 방법에 대한 자세한 내용은 리소스 소유 서비스의 설명서를 참조하세요.

규정 준수 및 국제 표준

PCI DSS

AWS RAM에서는 전자 상거래 웹사이트 운영자 또는 서비스 공급자에 의한 신용 카드 데이터의 처리, 저장 및 전송을 지원하며, Payment Card Industry(PCI) Data Security Standard(DSS) 준수를 검증 받았습니다.

AWS PCI 규정 준수 패키지의 사본을 요청하는 방법 등 PCI DSS에 대해 자세히 알아보려면 PCI DSS 레벨 1을 참조하세요.

FedRAMP

미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(캘리포니아 북부), 미국 서부(오레곤) AWS 리전에서는 AWS RAM이 FedRAMP Moderate로 승인되었습니다.

AWS GovCloud(미국 서부) 및AWS GovCloud (미국 동부) AWS 리전에서는 AWS RAM이 FedRAMP High로 승인되었습니다.

연방정부 위험 및 권한 부여 관리 프로그램(FedRAMP)은 클라우드 제품 및 서비스의 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 정부 차원의 프로그램입니다.

FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP을 참조하세요.

SOC 및 ISO

AWS RAM은 SOC(Service Organization Controls) 규정 준수 및 ISO(International Organization for Standardization)의 ISO 9001, ISO 27001, ISO 27017, ISO 27018, ISO 27701 표준의 적용을 받는 워크로드에 사용할 수 있습니다. 금융, 의료 및 기타 규제 대상 부문의 고객은 고객 데이터를 보호하는 보안 프로세스 및 제어에 대한 인사이트를 얻을 수 있으며, 이 인사이트는 SOC 보고서와 AWS ISO 및 CSA STAR 인증서를 통해 AWS Artifact에서 확인할 수 있습니다.

SOC 규정 준수에 대한 자세한 내용은 SOC 섹션을 참조하세요.

ISO 규정 준수에 대한 자세한 내용은 ISO 9001, ISO 27001, ISO 27017, ISO 27018, ISO 27701을 참조하세요.