[AWS IAM 사용자 및 그룹]
클라우드에서 리소스를 보호하는 방법의 기본은 접근 자격 증명을 관리하는 것입니다. AWS 계정을 개설하면 시작할 때 사용하는 자격 증명으로 해당 계정의 모든 AWS 서비스와 리소스에 액세스할 수 있으며, 이 자격 증명을 사용하여 IAM에서 권한이 있는 사용자와 역할 기반 액세스를 설정합니다. IAM은 AWS 계정 내에서 각 사용자와 사용자 권한을 생성 및 관리하기 위한 중앙 집중식 메커니즘입니다.
IAM 그룹은 사용자 모음으로, 그룹을 사용하여 유사한 유형의 사용자에 대한 권한을 지정할 수 있습니다.
계정별로 최소 필요 권한을 부여하려면 많은 노동이 필요하겠지만, 그룹별 최소 필요 권한을 지정하여 관리자 그룹, 모니터링 그룹, 개발자 그룹, 테스터 그룹 등을 생성하여 관리하면 노동을 최소화할 수 있습니다. IAM이 계정의 서비스와 사용자를 제어할 수 있는 지휘 본부가 되는 것입니다.
[AWS 자격 증명의 유형]
1) 사용자 이름 및 암호
- 암호 정책은 IAM 사용자가 설정할 수 있는 암호 유형을 정의한 규칙 세트입니다. 패스워드 규칙(EX. 3가지 조합(영문,숫자, 특수문자) 8자리이상), 90일 마다 패스워드 변경, 일련의 문자열 사용 금지 등의 설정을 할 수 있습니다.
2) MULTI-FACTOR AUTHENTICATION(MFA)
- 추가 보안 계층입니다. 이 인증방법에서는 사용자 이름 및 암호화 MFA 디바이스의 1회용 코드로 구성되는 2개 이상의 인증 팩터를 확인한 후 액세스 권한을 부여합니다.
3) 사용자 액세스 키
- *AWS CLI, *AWS SDK 또는 개별 AWS 서비스의 API를 직접 HTTP 호출을 통해 AWS를 프로그래밍 방식으로 호출하려면 사용자의 개별 액세스 키가 필요합니다. 액세스 키는 AWS 서비스에 대한 API 호출의 디지털 서명에 사용됩니다.
* AWS CLI : Command Line Interface의 약자로 명령어를 통해서 AWS를 제어하는 방법
* AWS SDK : Software Development Kit의 약자로 특정한 소프트웨어나 플랫폼을 이용해서 소프트웨어를 개발할 때 이를 돕는 개발도구의 집합이다.
4) AMAZON EC2 키 페어
- Amazon Elastic Cloud Compute(EC2) 인스턴스에 대한 SSH 또는 RDP 연결을 활설화할 때 AWS에서는 퍼블릭 키 인프라를 사용하여 로그인 요청에 서명합니다. 퍼블릭 키와 프라이빗 키를 키페어라고 하며, 인스턴스에 로그인하려면 키 페어를 생성하거나 키존 키페어를 사용하고 인스턴스에 연결할 때 프라이빗 키를 제공해야 합니다. AWS를 통해 EC2 키 페어를 생성하고나 자체 키세트를 가져올 수 있습니다.
[IAM 보안 체크리스트]
1) AWS 계정 루트 사용자 액세스 키를 가급적 생성을 지양하고, 불가피하게 생성하였다면, 액세스 키를 주기적으로 변경, 공유 금지, 안전한 패스워드 정책, MFA를 적용하였는가?
2) 공용 계정을 금지하였는가?
3) 그룹을 사용하여 필요 최소한의 권한만을 부여하여 사용자에게 제공하는가?
4) IAM 권한을 검토하고 있는가?
5) MFA를 활성화하고 있는가?
6) 액세스 키를 공유를 금지하고 있는가?
7) 자격 증명을 정기적으로 교체하고 있는가?
8) 불필요한 자격 증명을 제거하고 있는가?
9) 추가 보안을 위한 정책 조건을 사용하고 있는가?(EX. IP접근제어, MFA, SSL 등)
10) AWS 계정의 활동을 모니터링하고 있는가?
'AWS Security' 카테고리의 다른 글
| 3. 인프라 보호 (0) | 2020.10.01 |
|---|---|
| 2. 탐지 제어 (0) | 2020.09.29 |