기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SEC03-BP01 액세스 요구 사항 정의
관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다.
일반적인 안티 패턴:
-
애플리케이션에 보안 암호를 하드 코딩 또는 저장합니다.
-
각 사용자에 대한 사용자 지정 권한을 부여합니다.
-
장기 자격 증명을 사용합니다.
이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음
구현 가이드
관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다.
페더레이션 액세스 또는 중앙 집중식 자격 증명 공급자를 사용하여 조직 AWS 계정 내 에 대한 정기적인 액세스를 제공해야 합니다.https://aws.amazon.com/identity/federation/
비인적 자격 증명에 대한 액세스 요구 사항을 정의할 경우 어떤 애플리케이션 및 구성 요소가 액세스해야 하는지 그리고 어떻게 권한이 부여되는지 결정합니다. 최소 권한 액세스 모델로 구축된 IAM 역할을 사용하는 것이 좋습니다. AWS 관리형 정책은 가장 일반적인 사용 사례를 다루는 사전 정의된 IAM 정책을 제공합니다.
AWS AWS Secrets Manager
AWS Identity and Access Management Roles Anywhere를 사용하여 외부에서 실행되는 워크로드에 대해 에서 임시 보안 자격 증명을 IAM얻을 수 있습니다 AWS. 워크로드는 AWS 애플리케이션에 사용하는 것과 동일한IAM 정책 및IAM 역할을 사용하여 AWS 리소스에 액세스할 수 있습니다.
가능한 경우, 장기적이고 정적인 자격 증명보다는 단기적이고 임시적인 자격 증명을 사용하는 것이 좋습니다. 사용자가 프로그래밍 방식 및 장기 자격 증명을 사용해야 하는 시나리오의 경우 액세스 키의 마지막 사용 정보를 사용하여 액세스 키를 교체하고 제거합니다.
사용자는 AWS 외부에서 와 상호 작용하려는 경우 프로그래밍 방식으로 액세스해야 합니다 AWS Management Console. 프로그래밍 방식 액세스를 부여하는 방법은 에 액세스하는 사용자 유형에 따라 다릅니다 AWS.
사용자에게 프로그래밍 방식 액세스 권한을 부여하려면 다음 옵션 중 하나를 선택합니다.
| 프로그래밍 방식 액세스가 필요한 사용자는 누구인가요? | To | 액세스 권한을 부여하는 사용자 |
|---|---|---|
|
작업 인력 ID (IAMID 센터에서 관리하는 사용자) |
임시 자격 증명을 사용하여 AWS CLI AWS SDKs, 또는 에 대한 프로그래밍 요청에 서명합니다 AWS APIs. |
사용하고자 하는 인터페이스에 대한 지침을 따릅니다.
|
| IAM | 임시 자격 증명을 사용하여 AWS CLI AWS SDKs, 또는 에 대한 프로그래밍 요청에 서명합니다 AWS APIs. | IAM 사용 설명서의 AWS 리소스와 함께 임시 자격 증명 사용의 지침을 따릅니다. |
| IAM | (권장되지 않음) 장기 보안 인증 정보를 사용하여 AWS CLI AWS SDKs, 또는 에 대한 프로그래밍 요청에 서명합니다 AWS APIs. |
사용하고자 하는 인터페이스에 대한 지침을 따릅니다.
|
리소스
관련 문서:
관련 비디오:
