BLOG
AWS는 고객의 디폴트 보안을 향상시키기 위해 AWS 계정의 AWS IAM(Identity and Access Management) 사용자를 위한 디폴트 암호 정책을 추가하고 있습니다. 이 업데이트는 2020년 8월 3일에 IAM 서비스를 사용할 수 있는 모든 지역에 적용될 예정입니다. 본 글을 읽고 계신 사용자이시라면 지금 AWS 계정에 IAM 암호 정책을 생성하여 업데이트된 정책을 적용하시기 바랍니다. 이 변경으로 기존 IAM 암호 정책을 사용하는 AWS 계정에 별다른 영향은 없지만, 아래의 정보를 검토하여 본인의 환경에 업데이트된 정책이 필요하진 않는지 꼭 평가해 보시길 바랍니다.
IAM 암호 정책이 뭔가요?
IAM 암호 정책은 루트 사용자를 제외한 모든 IAM 사용자에게 적용되는 계정 설정입니다. 필수 로테이션 기간 설정과 함께 최소 암호 길이 및 특정 문자 유형 요구와 같은 작업을 수행하는 정책을 만들 수 있습니다. 이 암호 설정은 IAM 사용자에게 할당된 암호에만 적용되며 사용자가 가질 수 있는 액세스 키에는 영향을 미치지 않습니다.
업데이트된 새로운 기본 정책 항목은 무엇인가요?
새로운 기본 IAM 정책은 다음과 같은 최소 요구 사항을 갖습니다.
- 최소 8자 이상
- 대문자, 소문자, 숫자, 특수 기호 (예: ! @ # $ % ^ & * () _ +-[] {} | ‘)의 최소 세 가지 조합
- AWS 계정 이름 또는 이메일 주소와 다르게 설정
사용자 정의 정책을 설정하여 고유한 암호 요구 사항을 판별할 수 있습니다. 이 변경 사항은 별도의 암호 정책이 있는 루트 사용자에게는 적용되지 않습니다.
업데이트를 위해 무엇을 준비하면 되죠?
암호 정책이 적용되지 않은 AWS 계정 — 사용자 암호를 업데이트할 때까지 환경이 변경되지 않습니다. 새 암호는 기본 정책의 최소 요구 사항과 일치해야 합니다. 마찬가지로 이러한 AWS 계정에서 새 IAM 사용자를 생성할 때 암호는 기본 정책의 새로운 최소 요구 사항을 충족해야 합니다. 기본 암호 정책은 현재 계정이 없는 모든 AWS 계정에 대해 설정됩니다.
기존 암호 정책이 있는 AWS 계정 – 신규 및 기존 사용자 암호는 변경되지 않으며 이 업데이트의 영향을 받지 않습니다. 기존 암호 정책을 비활성화하면 이후부터 생성된 새로운 IAM 사용자는 기본 정책의 최소 요구 사항을 충족하는 암호가 필요합니다.
IAM 사용자를 생성하는 자동화 워크 플로우를 사용하는 AWS 계정 — 새롭게 요구되는 정책 요구 사항을 충족하는 암호를 생성하지 않고, 자체 사용자 지정 정책을 구현하지 않은 자동화된 사용자 생성 워크 플로우를 구현한 경우에는 영향을 받습니다. 따라서 기존 워크 플로우를 검사하고 평가해야 하며 지속적인 운영을 위해 기본 암호 정책을 충족하도록 업데이트하거나 8월 3일 전에 사용자 지정 정책을 설정해야 합니다.
언제부터 완전히 변경되나요?
AWS는 고객이 이러한 변경으로 인한 잠재적인 영향을 평가해 볼 수 있도록, 90일 정도 후인 2020년 8월 초에 기본 암호 정책을 새로운 버전으로 업데이트 할 예정입니다. 따라서 모든 고객이 새로운 암호 정책에 맞지 않는 IAM을 생성하는 자동화 워크 플로우를 평가하고 수정해 보실 것을 적극적으로 권장 드립니다
이미 새로운 정책으로 업데이트된 건지 아닌지 여부는 어떻게 확인하나요?
AWS IAM 콘솔의 Account settings(계정 설정)에서 계정에 암호 정책이 설정되어 있는지의 여부를 확인할 수 있습니다. 해당 페이지에서 AWS CLI(Command Line Interface)를 통해 이를 체크하는 방법을 확인하실 수 있습니다. API를 사용하여 이를 체크하는 방법은 설명서를 살펴봐 주시기 바랍니다.
AWS 계정이 여러개인 경우엔 AWS SSO를 활용해 보세요!
참고: 여러 계정에서 IAM 사용자를 자격 증명으로 사용하는 경우 AWS SSO를 평가하여 각 계정에서 개별 암호를 제거함으로써 사용자 경험을 단순화하고 보안을 향상시킬 수 있습니다. 또한 AWS Organizations, 비즈니스 클라우드 애플리케이션과 SAML(Security Assertion Markup Language) 2.0을 지원하는 사용자 지정 애플리케이션으로 관리되는 AWS 계정에 대한 액세스 권한을 직원에게 빠르고 쉽게 할당할 수 있습니다. 자세한 내용은 AWS Single Sign-on 페이지를 방문해 주십시오.
이 외에 더 궁금한 사항이 있으신가요?
AWS 고객은 AWS IQ를 통해 온 디맨드 프로젝트 작업을 위한 AWS 인증 타사 전문가를 찾고 안전하게 협업하고 비용을 지불할 수 있습니다. 요청서를 제출하고 전문가로부터 응답을 받으며 올바른 기술과 경험을 갖춘 전문가를 선택하는 방법이 궁금하시다면 AWS IQ 페이지를 방문해 주시기 바랍니다. 콘솔에 로그인하고 AWS IQ 시작을 선택하여 요청서를 작성해 보십시오.
.
AWS 기술 지원 계층은 다른 주요 스택 구성 요소와 함께 AWS 제품 및 서비스의 개발 및 생산 문제를 다룹니다. AWS Support에는 클라이언트 애플리케이션을 위한 코드 개발이 포함되어 있지 않습니다.
문의 사항이 있거나 문제가 발생한 경우 AWS IAM 포럼 에서 새 스레드를 시작하거나 AWS Support 또는 기술 계정 관리자(TAM)에 문의해 주십시오.
더 많은 AWS의 소식을 원하신다면 AWS의 트위터나 메가존클라우드의 채널을 팔로우 해주십시오.
** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.