AWS Identity and Access Management
AWS 계정을 생성하면 AWS 계정에 대한 루트 사용자 계정이 자동으로 생성됩니다. 이 사용자 계정은 AWS 계정에 있는 모든 AWS 서비스와 리소스에 대한 완전한 액세스 권한을 가지고 있습니다. 일상적인 작업에 이 계정을 사용하는 대신, 처음에 추가 역할 및 사용자 계정을 만들 때와 이 계정이 필요한 관리 활동에만 이 계정을 사용해야 합니다. AWS에서는 처음부터 최소 권한의 원칙을 적용하는 것이 좋습니다. 이렇게 하려면 작업마다 다른 사용자 계정과 역할을 정의하고 각 작업을 완료하는 데 필요한 최소 권한 집합을 지정합니다. 이 접근 방식은 GDPR에 도입된 핵심 개념인 설계를 통한 데이터 보호를 조정하기 위한 메커니즘입니다. AWS Identity and Access Management
사용자와 역할은 특정 권한이 있는 IAM 자격 증명을 정의합니다. 권한 있는 사용자는 IAM 역할을 수임하여 특정 작업을 수행할 수 있습니다. 역할을 수임하면 임시 자격 증명이 생성됩니다. 예를 들어, IAM 역할을 사용하여 Amazon S3 버킷 및 Amazon Relational Database Service
고객이 리소스 정책을 모니터링하고 의도하지 않은 퍼블릭 또는 교차 계정 액세스 권한이 있는 리소스를 식별할 수 있도록 IAM Access Analyzer
Access Analyzer for S3은 인터넷에 있는 모든 사용자 또는 조직 외부의 AWS 계정을 포함한 다른 AWS 계정에 대한 액세스를 허용하도록 버킷이 구성된 경우 사용자에게 알립니다. Amazon S3용 Access Analyzer에서 위험 버킷을 검토할 때 클릭 한 번으로 버킷에 대한 모든 퍼블릭 액세스를 차단할 수 있습니다. AWS에서는 특정 사용 사례를 지원하기 위해 퍼블릭 액세스가 필요한 경우를 제외하고 버킷에 대한 모든 액세스를 차단하는 것이 좋습니다. 모든 퍼블릭 액세스를 차단하기 전에 애플리케이션이 퍼블릭 액세스 없이 계속 올바르게 작동하는지 확인하세요. 자세한 내용은 Amazon S3을 사용하여 퍼블릭 액세스 차단을 참조하세요.
또한 IAM은 마지막으로 액세스한 정보를 제공하여 사용되지 않는 권한을 식별할 수 있도록 지원하므로 연결된 보안 주체에서 해당 권한을 제거할 수 있습니다. 마지막으로 액세스한 정보를 사용하면 정책을 구체화하고 필요한 서비스와 작업에만 액세스를 허용할 수 있습니다. 그러면 최소 권한 모범 사례를 더 효과적으로 준수하고 적용할 수 있습니다. IAM에 또는 전체 AWS Organizations
