임시 보안 자격 증명을 활용한 IAM 권한 관리

woodonggyu·2021년 8월 29일
0

AWS Security

목록 보기
3/4
post-custom-banner

AWS Security Token Service (AWS STS) 를 사용하면 AWS 리소스에 대한 액세스를 제어할 수 있는 임시 보안 자격 증명을 생성하여 신뢰받는 사용자에게 제공할 수 있다.

참고. 기본적으로 AWS STS 는 https://sts.amazonaws.com 에 단일 엔드포인트가 있는 전역 서비스이다.

임시 자격 증명액세스 키 자격 증명 는 모두 동일한 효력을 갖지만, 몇 가지 차이점이 있다.

  1. 임시 보안 자격 증명은 단기로 사용할 수 있는 자격 증명이다. 구성에 따라 몇 분에서 몇 시간까지 지속될 수 있도록 할 수 있다. 자격 증명이 만료된 이후에는 어떤 종류의 액세스도 허용되지 않는다.

  2. 임시 보안 자격 증명은 동적으로 생성되어 요청한 사용자에게 제공된다. 단, 해당 사용자는 자격 증명을 요청할 수 있는 권한이 있어야 한다.


위와 같은 차이점에 따른 임시 보안 자격 증명의 장점은 다음과 같다.

  1. 애플리케이션으로 장기 AWS 보안 자격 증명을 배포 또는 포함할 필요가 없다.

  2. 사용자에 대한 AWS 자격 증명을 정의하지 않고도 AWS 리소스에 대한 액세스 권한을 사용자에게 제공할 수 있다.

  3. 임시 보안 자격 증명은 수명이 제한되어 있어, 자격 증명 변경 또는 명시적으로 취소할 필요가 없다.


* 임시 자격 증명과 관련된 일반적인 시나리오

임시 자격 증명은 자격 증명 연동, 위임, 교차 계정 액세스, IAM 역할 등의 시나리오에서 유용하다.


  1. 자격 증명 연동

AWS 밖의 외부 시스템에서 사용자 자격 증명을 관리할 수 있고 그 시스템으로부터 로그인하는 사용자에게 액세스 권한을 부여하여 AWS 작업을 수행하고 AWS 리소스에 액세스하도록 할 수 있다.

IAM 에서는 두 가지 유형의 자격 증명 연동을 지원하며, 자격 증명은 모두 AWS 외부에 저장된다.

  • 엔터프라이즈 자격 증명 연동
    임시 액세스 권한에 대한 SSO(Single Sign-On) 연동을 통해 조직의 네트워크에서 사용자 인증을 통한 AWS 액세스 권한을 사용자에게 제공할 수 있다. AWS STS 에서는 SAML 2.0 기반 연동 을 지원한다.

  • 웹 자격 증명 연동
    Login with Amazon, Facebook, Google 또는 OpenID Connect(OIDC) 2.0 호환 공급자와 같은 유명한 타사 자격 증명 공급자를 사용해 사용자가 로그인할 수 있다.


  1. 교차 계정 액세스를 위한 역할
    많은 엔터프라이즈 조직에서는 1개 이상의 AWS 계정을 사용한다. 역할 및 교차 계정 액세스를 사용하면 하나의 계정에서 사용자 자격 증명을 정의하고 그 자격 증명을 사용해 조직에 속한 다른 계정의 AWS 리소스에 액세스할 수 있다.

  1. Amazon EC2의 역할
    Amazon EC2 인스턴스에서 애플리케이션을 실행할 때, 해당 애플리케이션이 AWS 리소스에 대한 액세스 권한이 필요한 경우 인스턴스 시작 시 인스턴스에 대한 임시 보안 자격 증명을 제공할 수 있다.
post-custom-banner

0개의 댓글