AWS의 자격 증명 액세스 관리란 무엇입니까?

Amazon Web Services(AWS)는 인터넷 인프라의 방대한 부분입니다. TheVerge가 보고한 추정에 따르면 전체 인터넷 트래픽의 약 40%가 AWS에서 실행됩니다. 수백만 명이 사용하는 가장 인기 있는 인터넷 서비스는 Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify 등을 포함하여 AWS에서 실행되고 있습니다. 인기 있는 전체 웹 사이트와 온라인 서비스가 AWS에서 실행될 뿐만 아니라; 많은 웹 사이트에서 AWS를 온라인 존재의 일부로 지원합니다.

AWS가 다운되면 가끔 발생하는 것처럼 인터넷으로 인식되는 거대한 부분이 작동을 멈춥니다. 기술적인 문제 및 보안 위반으로 인해 이러한 오류가 발생할 수 있습니다. 이는 Amazon이 보안 문제를 매우 중요하게 여긴다는 것을 의미합니다. AWS는 강력한 자격 증명 액세스 관리를 사용하여 네트워크와 클라이언트를 무단 액세스로부터 보호합니다.

ID 액세스 관리란 무엇입니까?

IAM(Identity Access Management)은 네트워크 리소스에 대한 액세스를 안전하게 제어하는 ​​데 사용되는 소프트웨어 프로그램 또는 웹 기반 서비스입니다. IAM 시스템은 먼저 암호로 보호된 로그인 프로세스를 통해 사용자를 인증한 다음 사용자가 승인된 사용 권한에 따라 네트워크 리소스에 액세스할 수 있도록 합니다.

클라우드 기반 서비스의 경우 클라우드 사용자 액세스 관리는 클라우드 기반 인증 시스템을 사용하여 사용자의 신원을 확인한 다음 승인된 액세스를 허용합니다. Amazon Web Services(AWS)에는 AWS 클라우드 시스템과 함께 작동하는 자격 증명 액세스 관리 시스템이 있습니다.

AWS 자격 증명 및 액세스 관리

AWS 자격 증명 및 액세스 관리는 AWS 계정 생성으로 시작됩니다. 처음에는 사용자에게 해당 계정의 AWS 서비스에 대한 전체 액세스 권한이 있는 루트 사용자를 생성하는 고유한 로그인 자격 증명이 있습니다. 루트 사용자 계정은 인증을 위해 생성한 개인의 이메일 주소와 비밀번호를 사용합니다.

AWS 사용자는 이 루트 사용자 계정 정보를 모든 것에 액세스할 수 있는 계정이므로 매우 신중하게 보호해야 합니다. 이 정보를 가장 잘 보호하는 방법을 알아보려면 아래의 모범 사례 섹션을 참조하십시오.

일부 AWS IAM 기능은 다음과 같습니다.

• 공유 액세스 — 이를 통해 다른 사용자가 자신의 로그인 자격 증명을 사용하여 AWS 계정에 액세스할 수 있습니다.
• 세분화된 승인 권한 — 사용자는 전체 액세스에서 그룹 액세스, 애플리케이션 액세스, 특정 암호로 보호된 파일 액세스 및 그 사이의 모든 것에 이르기까지 매우 구체적으로 선택된 권한에 따라 액세스를 부여할 수 있습니다.
• 2단계 인증 — 이 선택적 보안 선택을 사용하려면 승인된 사용자가 올바른 암호/액세스 키를 사용하고 장치 또는 사용자의 스마트폰 또는 이메일 계정과 같은 이메일 주소로 전송된 문자 메시지 코드에 응답해야 합니다.
• 보안 API — 보안 애플리케이션 프로그래밍 인터페이스는 소프트웨어 프로그램이 기능을 수행하는 데 필요한 AWS 시스템의 데이터 및 서비스에 연결할 수 있는 기능을 제공합니다.
• ID 연합 — 인증된 사용자의 비밀번호를 식별에 사용되는 다른 시스템의 다른 곳에 저장할 수 있습니다.
• 사용 감사 — AWS CloudTrial 서비스를 사용하면 IT 보안 감사를 위해 사용자 계정 액세스 활동의 전체 로그가 기록됩니다.

AIM이 AWS에서 작동하는 방식 이해

Amazon 자격 증명 액세스 관리는 리소스, 자격 증명, 엔터티 및 보안 주체를 포함하는 계층화된 권한 구조의 원칙을 기반으로 합니다.

#자원

AWS IAM 시스템에서 리소스를 추가, 편집 또는 제거할 수 있습니다. 리소스는 시스템에서 저장하는 ID 공급자에 대한 사용자, 그룹, 역할, 정책 및 개체입니다.

#아이덴티티

이는 사용자, 역할 및 그룹을 정의하기 위해 자격 증명에 정책을 연결하는 AWS IAM 리소스 객체입니다.

#엔티티

이는 AWS IAM 시스템이 인증 목적으로 리소스 객체로 사용하는 것입니다. AWS 시스템에서 그들은 사용자이자 승인된 역할입니다. 옵션으로 웹 기반 신원 확인을 제공하는 연합 식별 시스템 또는 SAML에서 가져올 수 있습니다.

#교장

이는 개별 사용자이거나 AWS IAM 사용자로 인식되는 승인된 소프트웨어 애플리케이션이거나 로그인할 권한이 있고 데이터 및 서비스에 대한 액세스를 요청한 IAM 역할일 수 있습니다.

AWS 관리 모범 사례

다음은 AWS 관리를 위해 따라야 할 몇 가지 모범 사례입니다.

1. 루트 사용자 계정 보안

AWS를 처음 사용할 때 생성된 루트 사용자 계정은 가장 강력한 권한을 가지며 AWS 계정의 "마스터 키"입니다. 계정을 설정하고 필요한 몇 가지 계정 및 서비스 관리 작업에만 사용해야 합니다. 초기 로그인에는 이메일 주소와 비밀번호가 필요합니다.

이 루트 계정을 보호하기 위한 모범 사례는 "@" 기호 앞에 최소 8자(기호, 대문자, 소문자 및 숫자 포함)가 있는 매우 복잡한 일회용 이메일 주소를 사용하는 것입니다. 또한 기호, 숫자, 대문자, 소문자를 포함하는 8자 이상의 이메일 주소와 다른 고유한 비밀번호를 사용하십시오. 암호는 길수록 좋습니다.

AWS 계정이 완전히 설정되고 설정되면 일반 사용을 위해 다른 관리 계정이 생성됩니다.

모든 것을 시작하기 위해 루트 사용자 계정에 대한 필요성이 완료되면 암호화로 잠근 USB 드라이브에 루트 계정 액세스 정보를 저장한 다음 암호화 키를 별도로 보관합니다. USB 드라이브를 나중에 필요할 때까지 안전하게 보관할 수 있는 잠긴 금고에 오프라인으로 두십시오.

2. 권한 제한

사용자와 애플리케이션에 작업을 수행하는 데 필요한 정확한 권한만 부여하십시오. 기밀 정보 및 미션 크리티컬 서비스에 대한 액세스 권한을 부여할 때는 주의하십시오.

3. 보안 문제

보안은 지속적인 문제입니다. 견고한 사용자 액세스 설계 구조로 시작한 다음 지속적인 감사를 통해 무단 액세스 시도를 감지하고 충분한 복잡성과 정기적인 암호 변경을 위해 사용자 암호를 관리합니다. 더 이상 필요하지 않거나 원하지 않는 사용자 액세스를 신속하게 종료하는 것이 중요합니다. 감사 목적으로 AWS CloudTrial을 사용하는 것이 좋습니다.

4. 암호화

인터넷을 사용하는 디바이스에서 AWS에 대한 액세스 권한을 부여할 때 SSL과 같은 지점 간 암호화를 사용하여 전송 중에 데이터가 손상되지 않도록 해야 합니다.

5. AWS Identity Access Management에 대한 FAQ

AWS 자격 증명 액세스 관리에 대해 자주 묻는 질문에서는 AWS 액세스 관리에 도움이 되는 문제를 처리하기 위한 몇 가지 질문을 다룹니다.

AWS Access Management의 기술 세부 정보

AWS 액세스 관리에는 IAM 프로토콜이 전체 AWS 클라우드 기반 시스템과 어떻게 상호 작용하는지 보여주는 차트가 있습니다. IAM 프로토콜에는 자격 증명 기반 정책, 리소스 기반 정책 및 권한 부여에 사용되는 기타 정책이 포함됩니다.

권한 부여 프로세스 중에 AWS 시스템은 정책을 확인하여 액세스 허용 또는 거부를 결정합니다.

전체 정책 구조는 다음을 포함하는 계층화된 핵심 원칙 세트를 기반으로 합니다.

• 루트 계정 사용자만 전체 액세스 권한을 갖습니다. 기본적으로 다른 모든 액세스 요청은 거부됩니다.
• 명시적 ID 또는 리소스 정책만 시스템 기본값을 재정의할 수 있습니다.
• 세션 또는 조직의 구조적 정책(SCP)에 대한 권한 제한은 자격 증명 기반 또는 리소스 기반 정책에서 부여한 액세스 권한을 재정의할 수 있습니다.
• 특정 거부 규칙은 다른 매개변수에서 허용된 모든 액세스를 재정의합니다.

AWS IAM 자습서

Amazon은 AWS에서 자격 증명 및 액세스 관리를 설정하는 방법에 대해 자세히 알아보려는 사람들을 위한 자습서를 제공합니다.

AWS IAM을 설정하고 올바르게 사용하는 것과 관련된 문제는 복잡합니다. 신규 고객이 시스템을 더 쉽게 사용할 수 있도록 Amazon은 다음과 같은 유용한 자습서를 많이 제작했습니다.

• 결제 콘솔에 대한 결제 콘솔 액세스 권한 위임
• AWS 계정에 대한 IAM 역할을 사용하여 액세스 위임
• 첫 번째 고객 관리 정책 생성
• 사용자가 자격 증명 및 MFA 설정을 구성할 수 있도록 설정

AWS는 여러 가지 이유로 업계 리더입니다. Amazon은 운영을 위해 이러한 클라우드 서비스가 필요했습니다. 이러한 서비스를 다른 사람에게 제공하는 것이 잠재력이 높은 Amazon의 비즈니스 기회임이 분명해졌습니다. 이제 Amazon의 부업으로 시작한 것이 전 세계 인터넷 인프라의 주요 부분이 되었습니다.

AWS 시스템을 사용하는 것은 인터넷을 전체적으로 사용하는 것과 거의 유사합니다. 시간을 내어 IAM 정책을 설정하여 세부 사항에 주의하여 보안을 보호하십시오. IAM 시스템 관리는 네트워크 관리자에게 높은 우선 순위입니다. 이를 정기 IT 보안 감사와 결합하여 잠재적인 문제를 찾아냅니다.