SEC03-BP01 액세스 요구 사항 정의

관리자, 최종 사용자 또는 기타 구성 요소는 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 누가 혹은 무엇이 각 구성 요소에 액세스할 수 있는지 명확하게 정의한 다음 적절한 자격 증명 유형과 인증 및 권한 부여 방법을 선택해야 합니다.

일반적인 안티 패턴:

• 애플리케이션에 보안 암호를 하드 코딩 또는 저장합니다.

• 각 사용자에 대한 사용자 지정 권한을 부여합니다.

• 수명이 긴 보안 인증을 사용합니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험의 수준: 높음

구현 가이드

관리자, 최종 사용자 또는 기타 구성 요소는 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 누가 혹은 무엇이 각 구성 요소에 액세스할 수 있는지 명확하게 정의한 다음 적절한 자격 증명 유형과 인증 및 권한 부여 방법을 선택해야 합니다.

조직 내 AWS 계정에 대한 정기적인 액세스를 제공하려면 페더레이션 액세스 또는 중앙 집중식 자격 증명 공급자를 사용해야 합니다. 또한 자격 증명 관리를 중앙 집중화하고, 직원 액세스 수명 주기에 대한 AWS 액세스를 통합하기 위해 정립된 사례가 있는지 확인해야 합니다. 예를 들어, 직원이 다른 액세스 수준의 직무로 변경할 경우 해당 그룹 멤버십 또한 변경하여 새로운 액세스 요구 사항을 반영해야 합니다.

비 인적 자격 증명에 대한 액세스 요구 사항을 정의할 경우 어떤 애플리케이션 및 구성 요소가 액세스해야 하는지, 그리고 어떻게 권한이 부여되는지 결정합니다. 권장되는 접근 방식은 최소 권한 액세스 모델을 통해 구축된 IAM 역할을 사용하는 것입니다. AWS 관리형 정책은 대부분의 일반적인 사용 사례를 다루는 사전 정의된 IAM 정책을 제공합니다.

AWS 서비스, 즉 AWS Secrets Manager 및 AWS Systems Manager Parameter Store는IAM 역할 사용이 실현 불가능한 경우 애플리케이션 또는 워크로드로부터 보안 암호를 안전하게 분리할 수 있도록 지원합니다. Secrets Manager에서 보안 인증에 대한 자동 교체를 설정할 수 있습니다. Systems Manager를 사용하여 스크립트, 명령, SSM 문서, 구성 및 자동화 워크플로의 파라미터를 참조할 수 있으며 이 경우 파라미터를 생성할 때 지정한 고유한 이름을 사용합니다.

AWS Identity and Access Management Roles Anywhere를 사용하여 IAM 외부에서 실행되는 워크로드에 대한 AWS의 임시 보안 자격 증명을 얻을 수 있습니다. 워크로드에서 사용하는 IAM 정책 및 IAM 역할은 AWS 애플리케이션에서 AWS 리소스에 액세스하는 데 사용하는 것과 동일한 것일 수 있습니다.

가능한 경우, 장기적이고 정적인 보안 인증보다는 단기적이고 임시적인 보안 인증을 사용하는 것이 좋습니다. 프로그래밍 방식 액세스 및 장기 보안 인증을 사용하는 IAM 사용자가 필요한 경우 마지막으로 사용된 액세스 키 정보를 사용하여 액세스 키를 교체 및 제거합니다.

리소스

관련 문서:

• 속성 기반 액세스 제어(ABAC)

• AWS IAM Identity Center

• IAM Roles Anywhere

• IAM Identity Center의 AWS 관리형 정책

• AWS IAM 정책 조건

• IAM 사용 사례

• 불필요한 보안 인증 제거

• 정책 사용

• AWS 계정, OU 또는 조직을 기준으로 AWS 리소스에 대한 액세스를 제어하는 방법

• AWS Secrets Manager의 향상된 검색을 사용하여 보안 암호를 쉽게 식별, 정렬 및 관리

관련 동영상:

• 60분 이내에 IAM 정책 마스터하기

• 업무 분리, 최소 권한, 위임 및 CI/CD

• 혁신을 위한 자격 증명 및 액세스 관리 간소화