BLOG
| [SEC313] Harness the power of IAM policies & rein in permissions with Access Analyzer
연사 : Brigid Johnson 일시 : 2022.11.29 10:45 ~ 11:45 장소 : Wynn Convention Promenade, Cristal 7 작성자 : 메가존클라우드 Mass Migration Center 김덕수 매니저 |
IAM 정책의 기능과 IAM Access Analyzer를 사용하여 권한을 설정, 확인 및 세분화하는 방법에 대한 세션이었습니다.
AWS 에서의 권한은 누가, 무엇을, 어떻게 사용할 것인가에 대한 정의를 하는 것이며, 권한 및 공유 보안 모델을 만들기 위해서는 정당한 접근제어, 집행, 안내가 되어야하기 때문에 계속해서 설정하고 검증하여 정제하면서 비즈니스에 맞는 접근제어를 만들어야 합니다.
그렇게 하기 위해서는 정책, 제한, 특정 서비스에 대한 구체적인 이해가 필요합니다.
Organizations 내의 계정과 리소스에 대해서는 기본적으로 Deny를, 바운더리와 세션에 대해서는 Allow를 부여해야합니다. SCP와 퍼미션 바운더리는 건드리지 않도록 합니다.
권한에 대해서 AWS 관리형 권한, 툴을 위한 알맞은 사이즈 권한, 고객이 만드는 권한으로 나누어지며 AWS 관리형 권한을 제외한 나머지 권한에 대해서 IAM Access Analyzer로 권한 분석을 통해서 검증할 수 있습니다.
IAM Access Analyzer 를 통한 검증은 14가지 리소스 유형에 대한 액세스 제어를 지속적으로 모니터링하고 검토합니다. 컴퓨터를 사용하여 몇 초 안에 무한한 수의 경로에 대해 추론할 수 있는 능력인 자동화된 추론을 사용하여 공용 또는 교차 계정 액세스를 결정하고 검토합니다.
IAM Role 동작 방식은 아래와 같습니다.
- 계정의 리소스에 대한 작업을 수행할 수 있는 액세스 권한을 가진 역할 생성
- ID 제공자, 서비스 등을 포함하여 역할을 맡을 엔터티를 지정
- 엔티티는 AWS Security Token Service를 호출합니다. (AWS STS) 역할 수임
- STS는 엔터티가 요청에 따라 역할을 맡을 수 있는지 확인하고 임시 자격 증명을 반환
- 엔터티는 자격 증명을 사용하여 AWS 요청
이로 인한 이익은 아래와 같습니다.
- 임시 자격 증명
- 제어 엔터티에 대한 세분화된 액세스
- 역할을 맡을 수 있는 가정된 세분화된 권한
- AWS CloudTrail을 사용하여 감사 가능
- AWS 서비스도 이를 사용하여 액세스
IAM Access Analyzer를 이용하게 되면 매우 효율적으로 정책을 만들거나 수정이 가능하지만 아직까지는 한계가 있기 때문에 어느정도 권한 부여에 대한 이해를 하고 사용해야 더욱 비즈니스에 맞는 효율적인 권한을 만들 수 있겠다고 느꼈습니다.
👉본 세션 내용 관련하여 추가 문의나 요청 사항이 있으시다면? 우측 링크로 이동하셔서 편하게 의견을 남겨주세요! https://www.megazone.com/contact/
👉 다른 세션 후기글이 궁금하시다면? 아래 링크를 통해 확인해 주세요!
🔷Keynote Report #1. Day1 Monday Night Live with Peter DeSantis 확인하기
🔷Keynote Report #2. Day2 Adam Selipsky Keynote 확인하기
🔷Keynote Report #3. Day3 Swami Sivasubramanian Keynote 확인하기
🔷Keynote Report #4. Day4 Dr.Werner Vogels Keynote 확인하기
✅3. 현대화 (Modernization)세션 후기 확인하기
✅5. 쿠버네티스 세션 후기 확인하기
✅7. 분석 세션 후기 확인하기
✅8. AI/ML 세션 후기 확인하기
✅10. 현대화 (Modernization) 세션 후기 확인하기
✅11. 현대화 (Modernization) 세션 후기 확인하기
✅13. 네트워킹 세션 후기 확인하기
✅14. 마이그레이션3 세션 후기 확인하기
✅16. 보안 세션 후기 확인하기
✅17. SAP 세션 후기 확인하기
✅18. 마이그레이션4 세션 후기 확인하기
✅19. DevOps 세션 후기 확인하기
✅20. 신규업데이트 세션 후기 확인하기
✅21. 스토리지 세션 후기 확인하기
✅22. Amazon 세션 후기 확인하기
✅23. 신규업데이트2 후기 확인하기
✅24. 거버넌스1 후기 확인하기
✅25. 거버넌스2 후기 확인하기
✅26. DevOps2 후기 확인하기
✅27. AI/ML 3 세션 후기 확인하기
✅28. 분석2 세션 후기 확인하기
✅29. 쿠버네티스2 세션 후기 확인하기
✅30. 분석 3 세션 후기 확인하기
✅31. 서버리스 컴퓨팅 세션 후기 확인하기
✅32. 보안2 세션 후기 확인하기
✅33. 분석 4 세션 후기 확인하기
✅34. 보안 3 세션 후기 확인하기
✅35. 분석 5 세션 후기 확인하기
✅36. 모니터링 세션 후기 확인하기
✅37. AI/ML 4 세션 후기 확인하기
✅38. 운영 1 세션 후기 확인하기
✅39. 운영 2 세션 후기 확인하기
✅40. 데이터베이스 1 세션 후기 확인하기
✅41. 데이터베이스 2 세션 후기 확인하기
✅42. 보안 4 세션 후기 확인하기
✅43. SaaS 세션 후기 확인하기
✅44. 컴퓨팅 세션 후기 확인하기
✅45. 신규 업데이트 : AWS SnapStart 세션 후기 확인하기
✅46. 신규 업데이트 : 네트워크 최적화 인스턴스와 최신 Amazon EC2 네트워킹 세션 후기 확인하기
✅47. 아키텍처 세션 후기 확인하기