개별 리소스에 대한 ABAC

IAM Identity Center 사용자 및 IAM 역할은 태그를 기반으로 작업 및 리소스에 대한 액세스를 정의할 수 있는 속성 기반 액세스 제어(ABAC)를 지원합니다. ABAC를 사용하면 권한 정책을 업데이트해야 할 필요성을 줄이고 회사 디렉터리의 직원 속성을 기반으로 액세스할 수 있습니다. 이미 다중 계정 전략을 사용하고 있는 경우 역할 기반 액세스 제어(RBAC)와 함께 ABAC를 사용하여 동일한 계정을 운영하는 여러 팀이 서로 다른 리소스에 세밀하게 액세스할 수 있도록 할 수 있습니다. 예를 들어 IAM Identity Center 사용자 또는 IAM 역할에는 특정 Amazon EC2 인스턴스에 대한 액세스를 제한하는 조건이 포함될 수 있습니다. 그렇지 않으면 액세스하려면 각 정책에 명시적으로 나열되어야 하는 조건이 있습니다.

ABAC 인증 모델은 태그에 따라 운영 및 리소스에 액세스하므로 의도하지 않은 액세스를 방지하는 가드레일을 제공하는 것이 중요합니다. SCP는 특정 조건에서만 태그 수정을 허용하여 조직 전체에서 태그를 보호하는 데 사용할 수 있습니다. AWS Organizations에서 서비스 제어 정책을 사용하여 권한 부여에 사용되는 리소스 태그 보호 및 IAM 엔터티의 권한 경계 블로그에서는 이를 구현하는 방법에 대한 정보를 제공합니다.

수명이 긴 Amazon EC2 인스턴스를 사용하여 보다 전통적인 운영 방식을 지원하는 경우 이 접근 방식을 활용할 수 있습니다. Amazon EC2 인스턴스용 IAM Identity Center ABAC 구성 및 Systems Manager Session Manager 블로그에서는 이러한 형태의 속성 기반 액세스 제어에 대해 자세히 설명합니다. 앞서 언급했듯이 모든 리소스 유형이 태그 지정을 지원하는 것은 아니며 지원하는 리소스 유형도 모두 태그 정책을 사용한 적용을 지원하는 것은 아니므로 이 전략을 AWS 계정에 구현하기 전에 먼저 이를 평가하는 것이 좋습니다.

ABAC를 지원하는 서비스에 대해 알아보려면 IAM을 사용하는AWS 서비스를 참조하세요.