노드에 대한 승인 정책 생성

승인 정책은 사용자가 노드에 액세스하는 데 필요한 승인을 정의합니다. JIT(Just-in-Time) 노드 액세스로 인해 IAM 정책을 통해 노드에 대한 장기 지속 권한을 설정할 필요가 없으므로 노드에 대한 액세스를 허용하는 승인 정책을 생성해야 합니다. 노드에 적용되는 승인 정책이 없는 경우 사용자는 노드에 대한 액세스를 요청할 수 없습니다.

JIT(Just-in-Time) 노드 액세스에는 세 가지 유형의 정책이 있습니다. 정책 유형은 자동 승인, 액세스 거부, 수동 승인입니다.

JIT(Just-in-Time) 노드 액세스 정책 유형

• 자동 승인 정책은 사용자가 자동으로 연결할 수 있는 노드를 정의합니다.

• 수동 승인 정책은 지정한 노드에 액세스하기 위해 제공되어야 하는 수동 승인의 수와 수준을 정의합니다.

• 액세스 거부 정책은 지정한 노드에 대한 액세스 요청의 자동 승인을 명시적으로 금지합니다.

액세스 거부 정책은 AWS Organizations 조직의 모든 계정에 적용됩니다. 예를 들어 Production 키로 태그가 지정된 노드에 대한 Intern 그룹의 자동 승인을 명시적으로 거부할 수 있습니다. 자동 승인 및 수동 승인 정책은 생성된 AWS 계정 및 AWS 리전에만 적용됩니다. 조직의 각 멤버 계정은 자체 승인 정책을 관리합니다. 승인 정책은 다음 순서로 평가됩니다.

1. 액세스 거부

2. 자동 승인

3. 수동

조직당 1개의 액세스 거부 정책과 계정 및 리전당 1개의 자동 승인 정책이 있을 수 있지만 계정에 여러 개의 수동 승인 정책이 있을 수 있습니다. 수동 승인 정책을 평가할 때 JIT(Just-in-Time) 노드 액세스는 항상 노드에 대한 더 구체적인 정책을 우선합니다. 수동 승인 정책은 다음 순서로 평가됩니다.

1. 태그별 대상

2. 모든 노드 대상

예를 들어 Demo 키로 태그가 지정된 노드가 있습니다. 동일한 계정에는 모든 노드를 대상으로 하고 한 수준에서 하나의 승인이 필요한 수동 승인 정책이 있습니다. Demo 키로 태그가 지정된 노드에 대해 두 수준에서 두 번의 승인이 필요한 수동 승인 정책도 있습니다. 모든 노드를 대상으로 하는 정책보다 더 구체적이므로 Systems Manager는 Demo 태그를 대상으로 하는 정책을 노드에 적용합니다. 이렇게 하면 사용자가 액세스 요청을 제출할 수 있도록 계정의 모든 노드에 대한 일반 정책을 생성하는 동시에 필요에 따라 더 세분화된 정책을 생성할 수 있습니다.

조직에 따라 노드에 여러 개의 태그가 적용될 수 있습니다. 이 시나리오에서는 노드에 여러 개의 수동 승인 정책이 적용되는 경우 액세스 요청이 실패합니다. 예를 들어 노드에는 Production 및 Database 키로 태그가 지정됩니다. 동일한 계정에서 Production 키로 태그가 지정된 노드에 적용되는 수동 승인 정책과 Database 키로 태그가 지정된 노드에 적용되는 또 다른 수동 승인 정책이 있습니다. 이에 따라 두 키로 태그가 지정된 노드가 충돌하고 액세스 요청은 실패합니다. Systems Manager는 사용자를 실패한 요청으로 리디렉션합니다. 여기에서 충돌하는 정책 및 태그에 관한 세부 정보를 볼 수 있으므로 필요한 권한이 있다면 필요에 따라 조정할 수 있습니다. 아니면 정책 수정에 필요한 권한을 조직의 동료에게 알릴 수 있습니다. 정책 충돌로 인해 액세스 요청이 실패하면 EventBridge 이벤트가 발생하므로 자체 응답 워크플로를 유연하게 구축할 수 있습니다. 또한 Systems Manager는 정책 충돌로 인해 액세스 요청이 실패할 경우 지정한 수신자에게 이메일 알림을 보냅니다. 정책 충돌 이메일 알림 구성에 대한 자세한 내용은 JIT(Just-in-Time) 액세스 요청 알림 구성 섹션을 참조하세요.

액세스 거부 정책에서 Cedar 정책 언어를 사용하여 조직의 사용자가 명시적으로 자동 연결할 수 없는 노드를 정의합니다. 이 정책은 조직의 위임된 관리자 계정에서 생성 및 공유됩니다. 액세스 거부 정책은 모든 자동 승인 정책보다 우선합니다. 조직당 액세스 거부 정책은 단 하나만 있을 수 있습니다.

자동 승인 정책에서 Cedar 정책 언어를 사용하여 어떤 사용자가 수동 승인 없이 지정된 노드에 자동으로 연결할 수 있는지 정의합니다. 자동 승인된 액세스 요청의 액세스 기간은 1시간입니다. 이 값은 변경할 수 없습니다. 계정 및 리전당 1개의 자동 승인 정책만 있을 수 있습니다.

수동 승인 정책에서 액세스 기간, 필요한 승인 수준, 수준당 필요한 승인자 수, JIT(Just-in-Time) 액세스 요청을 승인할 수 있는 노드를 지정합니다. 수동 승인 정책의 액세스 기간은 1~336시간이어야 합니다. 여러 수준의 승인을 지정하는 경우 한 번에 하나의 수준씩 액세스 요청 승인이 처리됩니다. 즉, 한 수준에서 필요한 모든 승인이 제공되어야 후속 수준으로 이동합니다. 수동 승인 정책에서 여러 태그를 지정하는 경우 해당 태그는 and 문이 아닌 or 문으로 평가됩니다. 예를 들어 태그 Application, Web 및 Test가 포함된 수동 승인 정책을 생성하면 해당 키 중 하나로 태그가 지정된 모든 노드에 정책이 적용됩니다. 이 정책은 3개의 키 모두로 태그가 지정된 노드에만 적용되지 않습니다.

사용자가 개입 없이 덜 중요한 노드에 연결할 수 있도록 허용하면서 더욱 중요한 데이터가 포함된 노드를 보호할 수 있도록 수동 승인과 자동 승인 정책을 조합하여 사용하는 것이 좋습니다. 예를 들어 데이터베이스 노드에 대한 액세스 요청에 수동 승인을 요구하고 비영구 프레젠테이션 계층 노드에 대한 세션을 자동 승인할 수 있습니다.

다음 절차에서는 JIT(Just-in-Time) 노드 액세스에 대한 승인 정책을 생성하는 방법을 설명합니다.

주제

• JIT(Just-in-Time) 노드 액세스에 대한 수동 승인 정책 생성

• 자동 승인 및 액세스 거부 정책에 대한 문 구조 및 기본 제공 연산자

• JIT(Just-in-Time) 노드 액세스에 대한 자동 승인 정책 생성

• JIT(Just-in-Time) 노드 액세스에 대한 액세스 거부 정책 생성

• Amazon Q로 JIT(Just-in-Time) 노드 액세스에 대한 승인 정책 생성