System
Amazon Web Services
AWS SAA 시험정리
6장 인증과 권한

6장 인증과 권한

6장 인증과 권한 부여 - AWS Identity and Access Management

6장의 목표

  • 안전한 애플리케이션 및 아키텍처 설명

    • 어떻게 애플리케이션 티어를 보호할지 결정한다.

    • 어떻게 데이터르 보호하맂 결정한다.

 

  • AWS 리소스는 기업의 소중한 자산이므로 엄격하게 보호돼야 한다.

  • 그렇다고 관리자와 고객조차 액세스 할 수 없을 정도로 보안 수준을 높일 수도 없다.

  • 높은 보안 수준을 유지하면서 관리자와 고객의 액세스는 허용할 수 있는 완벽한 절충점이 IAM이다.

  • IAM은 사용자의 요청을 인증 (Authentification),해서 정당하게 사용하는 것을 확인하고 권한 부여 (Authorization)로 필요한 만큼 정확하게 액세스 할 수 있게 할 수 있다.

  • AWS는 주로 IAM으 통해 자격을 인증학 권한을 부여한다.

  • 6장에서는 IAM 자격증명, 보안 주체를 학습하며 자격 증면은 AWS의 사용자의 역할을 나타내고, 여기서의 역할이란 애플리케이션 서비스, 사용자, 그룹에 일시적으로 할당할 수 있는 자격 증명을 의미한다.

  • 자격증명은 다른 서비스와 연동해서 사용할 수 있으며, AWS 계정 외부의 사용자나 애플리케이션을 인증하고, AWS 리소스에 임시 액세스하는 데 Kerberos, Microsoft Active Directory, LDAP (Lightweight Directory Access Protocol)과 같은 외부 서비스를 사용할 수 있다.

  • 정책을 통해서 AWS 계정의 모든 리소스아 상호 작용할 수 있는 방법을 정교하게 정의해서 자격 증명을 제어할 수 있다.

  • 정책은 보안 주체(Principal, 자격 증명 기반) 또는 리소스에 연결한다.

    • 계정에서 보안 주체의 작업을 자세히 통제하기 위한 정책 수립

    • 보안 주체의 자격을 증명하기 위해 사용되는 다양한 종류의 키 또는 토큰 관리

    • 자격 증명 연동을 사용해서 IAM을 외부 공급자와 통합하기 위한 Single Sign-On 솔루션 제공

    • 리소스를 적절하게 보호하기 위해 계정과 역할을 구성하는 모범 사례 구현

 

IAM 자격 증명

  • 새 AWS 계정을 만들면 하나의 자격 증명이 같이 만들어지며, 이 자격 증명은 루트 사용자이다.

  • 루트는 기본적으로 계정에 연결된 서비스와 리소스 전체에 완전한 권한을 가지고 있으며, 오직 루트 사용자만이 모든 서비스에 완벽하게 액세스 할 수 있다.

  • 루트의 모든 권한을 가지고 있는 사용자는 해커에 공격에 매우 위험하며, 이 경우 계정 전체가 위험에 빠질 수 있다.

  • AWS는 보안 취약점 노출을 줄이기 위해 루트 계정을 철저하게 보호하고 일상적 작업에 필요한 구체적 권한을 다른 사용자에게 위임하는 것을 제안한다.

 

  • IAM 정책
RSS Feed
마지막 수정일자
5장 데이터베이스aws SAA 총정리