확인된 액세스의 작동 방식 - AWS 검증된 액세스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

확인된 액세스의 작동 방식

AWS 확인된 액세스는 사용자의 각 애플리케이션 요청을 평가하고 다음을 기준으로 액세스를 허용합니다.

  • 선택한 신뢰 공급자(AWS 또는 제3자)가 보낸 신뢰 데이터.

  • 확인된 액세스에서 생성한 액세스 정책.

사용자가 애플리케이션에 액세스하려고 하면 확인된 액세스는 신뢰 공급자로부터 데이터를 가져와 애플리케이션에 대해 설정한 정책과 비교하여 평가합니다. 확인된 액세스는 사용자가 지정된 보안 요구 사항을 충족하는 경우에만 요청된 애플리케이션에 대한 액세스 권한을 부여합니다. 정책이 정의될 때까지 모든 애플리케이션 요청은 기본적으로 거부됩니다.

또한 확인된 액세스는 모든 액세스 시도를 기록하므로 보안 사고 및 감사 요청에 신속하게 대응할 수 있습니다.

확인된 액세스의 주요 구성 요소

다음은 확인된 액세스의 중요한 개요를 설명하는 다이어그램입니다. 사용자가 애플리케이션 액세스 요청을 보냅니다. 확인된 액세스는 그룹에 대한 액세스 정책 및 애플리케이션별 엔드포인트 정책을 기준으로 요청을 평가합니다. 액세스가 허용되면 해당 요청이 엔드포인트를 통해 애플리케이션에 전송됩니다.

확인된 액세스를 사용하여 사용자의 애플리케이션 요청을 인증.
  • 확인된 액세스 인스턴스 – 인스턴스는 애플리케이션 요청을 평가하여 보안 요구 사항이 충족되는 경우에만 액세스를 부여합니다.

  • 확인된 액세스 엔드포인트 - 각 엔드포인트는 애플리케이션을 나타냅니다. 로드 밸런서 엔드포인트 또는 네트워크 인터페이스 엔드포인트를 생성할 수 있습니다.

  • 확인된 액세스 그룹 – 확인된 액세스 엔드포인트의 모음입니다. 정책 관리를 단순화하려면 보안 요구 사항이 비슷한 애플리케이션의 엔드포인트를 그룹화하는 것이 좋습니다. 예를 들어, 모든 판매 애플리케이션의 엔드포인트를 함께 그룹화할 수 있습니다.

  • 액세스 정책 - 애플리케이션에 대한 액세스를 허용할지 거부할지를 결정하는 사용자 정의 규칙 집합입니다. 사용자 ID 및 디바이스 보안 상태를 비롯한 여러 요소를 조합하여 지정할 수 있습니다. 각 확인된 액세스 그룹에 대해 그룹 액세스 정책을 생성합니다. 이 정책은 그룹의 모든 엔드포인트에 상속됩니다. 선택적으로 애플리케이션별 정책을 생성하여 특정 엔드포인트에 연결할 수 있습니다.

  • 신뢰 공급자 - 사용자 ID 또는 디바이스 보안 상태를 관리하는 서비스입니다. 확인된 액세스는 AWS 및 타사 신뢰 공급자와 모두 사용할 수 있습니다. 각 확인된 액세스 인스턴스에 하나 이상의 신뢰 공급자를 연결해야 합니다. 각 확인된 액세스 인스턴스에 단일 ID 신뢰 공급자와 여러 디바이스 신뢰 공급자를 연결할 수 있습니다.

  • 신뢰 데이터 – 신뢰 공급자가 확인된 액세스에 보내는 사용자 또는 디바이스의 보안 관련 데이터입니다. 사용자 클레임또는 신뢰 컨텍스트라고도 합니다. 사용자의 이메일 주소 또는 디바이스의 운영 체제 버전을 예로 들 수 있습니다. 확인된 액세스는 각 애플리케이션 액세스 요청을 받을 때 액세스 정책을 기준으로 이 데이터를 평가합니다.