Architecting on AWS (2) 계정 보안

보안 주체과 자격 증명

IAM (Identity and Access Management)

• 사용자, 그룹 및 역할 생성과 관리
• AWS 서비스와 리소스 액세스 관리
• 액세스 제어 분석
• IAM 사용자는 AWS 계정 내의 사용자

User

• Console Access - 관리 콘솔 (Management Console) : ID / PWD - 영구 자격증명
• 프로그래밍 방식 Access : Access Key ID / Secret Access Key
  • CLI
  • SDK

Group

• IAM 사용자를 IAM 사용자 그룹에 할당
• IAM 사용자 그룹에 정책을 연결하면 해당 그룹 내의 모든 사용자에게 정책이 적용됨

Policy (권한) - 인가 개념

• json 문서
• 자격증명 기반 정책
• 리소스 기반 정책
• 우선순위 : 명시적 Deny > 명시적 Allow > 묵시적 Deny (명시적으로 deny, allow 둘다 없다면 묵시적 deny)
• managed (1:N)
  • aws
  • custormer (권장 - 이유 : 새로운 서비스가 생겼을 때 막아야하므로 고객별로 지정(?)) 
• inline policy (1:1)
  • user
  • resource

Role (역할)

• 최소 권한의 원칙 
• 모자 권한에 의해 기존 권한은 불가하게 되고 권한이 change됨
• 기존에 EC2 권한이 있었고 모자로 S3 권한을 주면 EC2 + S3 권한 둘다 쓸 수 있는게 아닌 S3 권한만 쓸 수 있고 모자를 벗어던지면 EC2 권한으로 다시 돌아오게 됨
• 교차 계정 access : 다른 계정으로 타 계정에 access
• 허락 : Trust Relationship을 가진 계정
•  Secret Token Service (STS)
  • Access Key ID와 Secret Access Key + expired time (15 min ~ 36 hour)
  • 임시로 받아와서 STS 호출
  • 임시 자격증명
• 권한을 특정 사용자 또는 서비스에 위임
• 사용자는 다른 사용자와 자격 증명을 공유하지 않고 역할을 수임
• 권한은 수임할 역할로 작업을 수행하는 동안만 유효
• 사용자나 리소스에 부여할 수 있으나 그룹에 부여할 수는 없음

AWS 계정 루트 사용자

• 모든 aws 서비스에 대한 전체 액세스 권한 보유
• 단일 계정 모델에서는 제한할 수 없음
• aws와의 일상적인 상호 작용에 사용하면 안 됨

보안 정책

자격 증명 기반 정책 예제

• Version
• Statement
  • Effect : Allow / Deny
  • Action
  • Resource
    • arn : Amazon Resource Name
  • Condition (선택)
    
    • StringEquals ...

리소스 기반 정책 사용

• Version
• Statement
  • Sid
  • Effect
  • Principal
  • Action
  • Resource

심층 방어

IAM 권한 경계

IAM 권한 정책과 IAM 자격 증명 기반 정책의 교집합으로 허용되는 작업 제한

다중 계정 관리

AWS Organizations

• 계정을 조직 단위(OU, Organization Unit)로 그룹화하여 계층 구조를 생성
• 서비스 제어 정책(SCP)을 적용하여 OU에 속한 모든 계정의 최대 권한을 제어
• 통합 결제의 장점 활용
• AWS 계정은 user와 유사 / OU는 Group과 유사 / SCP는 policy와 유사

IAM 정책과 SCP의 상호 작용 방식

• Organizations SCP와 IAM 자격 증명 기반 권한의 교집합 권한만 허용
• SCP 적용 시에는 IAM 권한과 SCP에 공통적으로 포함되는 권한만 허용
• SCP는 권한을 부여하는 것이 아니라 필터 역할로 사용

정책을 사용하여 계층형 방어 적용