AWS Security Token Service (AWS STS) 를 사용하면 AWS 리소스에 대한 액세스를 제어할 수 있는 임시 보안 자격 증명을 생성하여 신뢰받는 사용자에게 제공할 수 있다.
참고. 기본적으로 AWS STS 는 https://sts.amazonaws.com 에 단일 엔드포인트가 있는 전역 서비스이다.
임시 자격 증명 과 액세스 키 자격 증명 는 모두 동일한 효력을 갖지만, 몇 가지 차이점이 있다.
-
임시 보안 자격 증명은 단기로 사용할 수 있는 자격 증명이다. 구성에 따라 몇 분에서 몇 시간까지 지속될 수 있도록 할 수 있다. 자격 증명이 만료된 이후에는 어떤 종류의 액세스도 허용되지 않는다.
-
임시 보안 자격 증명은 동적으로 생성되어 요청한 사용자에게 제공된다. 단, 해당 사용자는 자격 증명을 요청할 수 있는 권한이 있어야 한다.
위와 같은 차이점에 따른 임시 보안 자격 증명의 장점은 다음과 같다.
-
애플리케이션으로 장기 AWS 보안 자격 증명을 배포 또는 포함할 필요가 없다.
-
사용자에 대한 AWS 자격 증명을 정의하지 않고도 AWS 리소스에 대한 액세스 권한을 사용자에게 제공할 수 있다.
-
임시 보안 자격 증명은 수명이 제한되어 있어, 자격 증명 변경 또는 명시적으로 취소할 필요가 없다.
* 임시 자격 증명과 관련된 일반적인 시나리오
임시 자격 증명은 자격 증명 연동, 위임, 교차 계정 액세스, IAM 역할 등의 시나리오에서 유용하다.
- 자격 증명 연동
AWS 밖의 외부 시스템에서 사용자 자격 증명을 관리할 수 있고 그 시스템으로부터 로그인하는 사용자에게 액세스 권한을 부여하여 AWS 작업을 수행하고 AWS 리소스에 액세스하도록 할 수 있다.
IAM 에서는 두 가지 유형의 자격 증명 연동을 지원하며, 자격 증명은 모두 AWS 외부에 저장된다.
-
엔터프라이즈 자격 증명 연동
임시 액세스 권한에 대한 SSO(Single Sign-On) 연동을 통해 조직의 네트워크에서 사용자 인증을 통한 AWS 액세스 권한을 사용자에게 제공할 수 있다. AWS STS 에서는 SAML 2.0 기반 연동 을 지원한다. -
웹 자격 증명 연동
Login with Amazon, Facebook, Google 또는 OpenID Connect(OIDC) 2.0 호환 공급자와 같은 유명한 타사 자격 증명 공급자를 사용해 사용자가 로그인할 수 있다.
- 교차 계정 액세스를 위한 역할
많은 엔터프라이즈 조직에서는 1개 이상의 AWS 계정을 사용한다. 역할 및 교차 계정 액세스를 사용하면 하나의 계정에서 사용자 자격 증명을 정의하고 그 자격 증명을 사용해 조직에 속한 다른 계정의 AWS 리소스에 액세스할 수 있다.
- Amazon EC2의 역할
Amazon EC2 인스턴스에서 애플리케이션을 실행할 때, 해당 애플리케이션이 AWS 리소스에 대한 액세스 권한이 필요한 경우 인스턴스 시작 시 인스턴스에 대한 임시 보안 자격 증명을 제공할 수 있다.
