공동 책임 모델
aws에서 비지니스 보안을 다룰 때 보안의 최종 책임자는 고객과 aws 모두의 책임입니다. 건설 회사가 벽 4개와 문 1개가 있는 집을 짓습니다. 튼튼한 벽과 단단한 문을 만드는 건 건설 회사의 책임이죠. 집주인은 문을 닫고 잠그는 일을 책임집니다. 이런 모델과 유사하다고 보면 됩니다.
AWS 환경을 단일 객체로 취급하지 않습니다.
사용자 권한과 엑세스
AWS 계정을 생성하면 처음에 루트 계정 사용자라는 권한이 부여됩니다.
루트 계정 사용자는 해당 계정에서 무엇이든 할 수 있습니다. 무엇이든 할 수 있다는 것은 돈도 막 쓸 수 있다는 것이기 때문에 Multi-Factor Authentication, 즉 MFA를 활성화해서 이메일과 비밀번호뿐만이 아니라 추가적인 일회용 토큰까지 있어야지만 로그인을 할 수 있게끔 하는 것이 좋습니다.
AWS Identity and Access Management 즉 IAM이라고 하는 서비스를 사용하시면 액세스를 굉장히 세부적으로 제어할 수 있습니다. IAM 사용자는 기본적으로는 어떤 권한도 없습니다. (심지어 로그인 기능까지도) 이 계정에서 작업을 하려면 권한을 줘야 합니다.
IAM 역할은 임시로 권한에 액세스하기 위해 수임할 수 있는 자격 증명입니다.
AWS Organizations
AWS Organizations에서는 서비스 제어 정책(SCP)(opens in a new tab)을 사용하여 조직의 계정에 대한 권한을 중앙에서 제어할 수 있습니다.
조직을 분리해서 서비스 별로 여러 계정을 운영하되, 중앙에서 관리하고 결제 또한 통합하여(대량할인)으로 결제 할 수 있습니다. 통합 결제를 하게 되면 여러 계정이라도 할인 받을 수 있습니다.
보안적인 측면에서도, 보안, 규정 준수 또는 예산 요구 사항에 맞게 계정의 계층적 그룹화를 구현할 수 있습니다.
또한 권한도 지정할 수 있습니다.
