AWS권한 경계사용자 또는 역할이 가질 수 있는 최대 권한을 정의할 수 있는 관리형 정책을 사용하는 고급 기능입니다. 이렇게 하면 관리자가 과도한 권한(정책이나 그룹을 통해)을 부여하더라도 권한 경계는 경계에서 명시적으로 허용한 권한으로만 효과적인 권한을 제한합니다. AWS 관리 정책이나 고객 관리 정책을 사용하여 IAM 엔터티(사용자 또는 역할)에 대한 경계를 설정할 수 있습니다. 이 정책은 사용자 또는 역할에 대한 최대 권한을 제한합니다. 정책을 사용하여 사용자의 권한 경계를 설정하는 경우 사용자의 권한은 제한되지만 권한 자체는 제공되지 않습니다.
권한 경계의 작동 방식
- 정의: 권한 경계는 사용자 또는 역할에 연결된 IAM 정책입니다.
- 평가하다: 사용자 또는 역할이 작업을 수행하려고 하면 AWS는 다음을 확인합니다.
- 신원 기반 정책(예: 사용자 또는 역할에 첨부됨)
- 권한 경계(해당되는 경우)
- 이것들의 교차점은 다음을 결정합니다.그것은효과적인 권한.
- 주요 제한 사항: 권한 경계는 권한을 추가하지 않습니다. 단지 권한을 제한할 뿐입니다.
예를 들어:
- 사용자 A에게는 권한이 있습니다
s3:*모든 S3 버킷에 대한 정책입니다. - 권한 경계는 다음으로 제한됩니다.
s3:*양동이 안에엑스. 엑스신원 정책에도 불구하고 사용자 A의 유효 권한은 여전히 버킷으로 제한됩니다.
리소스 기반 정책에 대한 권한 경계
자원 기반 정책——지정된 주체가 정책이 첨부된 리소스에 액세스하는 방법을 제어합니다.
동일한 계정 내에서 IAM 사용자 ARN(연합 사용자 세션 아님)에 권한을 부여하는 리소스 기반 정책은 ID 기반 정책이나 권한 경계에서 암묵적으로 거부되지 않습니다.
조직 SCP 권한 경계
조직 SCP – AWS 계정 전체에 적용됩니다. 이들은 계정 내에서 주체가 만든 각 요청에 대한 권한을 제한합니다. IAM 엔터티(사용자 또는 역할)는 SCP, 권한 경계 및 ID 기반 정책의 영향을 받는 요청을 할 수 있습니다. 이 경우 세 가지 정책 유형 모두에서 허용하는 경우에만 요청이 허용됩니다. 효과적인 권한은 세 가지 정책 유형의 교차점입니다. 이러한 정책 중 하나에서 명시적으로 거부하면 허용이 무시됩니다.
세션 정책에 대한 권한 경계
세션 정책– 역할이나 페더레이션 사용자에 대한 임시 세션을 프로그래밍 방식으로 생성할 때 매개변수로 전달하는 고급 정책입니다. 세션에 대한 권한은 세션을 생성하는 데 사용된 IAM 엔터티(사용자 또는 역할)와 세션 정책에서 제공됩니다. 엔터티의 ID 기반 정책 권한은 세션 정책과 권한 경계에 의해 제한됩니다. 이 그룹 정책 유형에 대한 유효 권한은 세 가지 정책 유형의 교집합입니다. 이러한 정책 중 하나에서 명시적으로 거부하면 허용이 무시됩니다. 세션 정책에 대한 자세한 내용은 세션 정책을 참조하세요.
권한 경계 사용을 위한 모범 사례
- 위임 행정을 구현하기 위한 가드레일:
- IAM 사용자 또는 관리자가 만든 역할의 권한을 제한하려면 권한 경계를 사용합니다. 예를 들어, 사용자가 역할을 만들도록 허용할 수 있지만, 사용자가 만든 역할이 경계에 지정된 범위를 벗어나는 권한을 가질 수 없도록 할 수 있습니다.
- 특권 작업 격리:
- 중요한 인프라를 수정하는 등의 민감한 작업은 범위가 제한된 권한만 허용하는 경계를 설정하여 제한합니다.
- 보안을 유지하면서 셀프 서비스를 활성화하세요:
- 팀이나 개발자가 리소스를 자율적으로 관리할 수 있도록 허용하지만, 권한 경계를 통해 작업을 제한합니다(예: EC2 인스턴스 크기 제한 또는 특정 지역에서 리소스를 생성하는 기능).
- SCP 및 ID 정책과 함께 사용:
- AWS Organizations에서 권한 경계 사용서비스 제어 정책(SCP)이 두 가지를 결합하면 다중 계정 환경에 보안을 한층 더 강화할 수 있습니다.
- 감사 및 검토 범위:
- 조직의 필요 사항과 규정 준수 요구 사항을 여전히 충족하는지 확인하기 위해 권한 경계를 정기적으로 검토하세요.
권한 경계를 사용하는 경우
- 접근 관리의 통제된 위임:
- 특정 사용자나 그룹이 IAM 역할이나 정책을 만들고 관리할 수 있도록 허용하면 권한 경계가 설정되어 해당 사용자가 경계에서 허용하는 범위를 넘는 권한을 부여할 수 없습니다.
- 타사 통합:
- AWS 환경과 통합되는 타사 도구나 애플리케이션에 부여되는 권한을 제한하려면 권한 경계를 사용하세요.
- 임시 또는 프로젝트 기반 역할에 대한 권한 범위:
- 특정 작업이나 프로젝트에 사용되는 임시 역할에 대한 권한을 제한하기 위해 경계를 적용합니다.
- 최소 권한 적용:
- 권한 경계는 새로운 팀을 합류시키거나 외부 협업자와 통합할 때 최소 권한의 원칙을 효과적으로 시행하는 데 도움이 됩니다.
- 대규모 분산 팀에 대한 권한 제한:
- AWS 리소스를 분산적으로 관리하는 조직에서는 경계를 통해 분산된 팀이 사전 정의된 권한 한도 내에서 운영되도록 할 수 있습니다.
일반적인 사용 사례
- 개발자가 IAM 역할을 생성합니다.:
- 개발자는 작업 부하를 지원하기 위해 역할을 생성할 수 있지만, 경계로 인해 과도한 권한이 있는 정책을 첨부할 수 없습니다.
- AWS Organizations의 다중 계정 환경:
- 권한 경계는 SCP를 보완하여 특정 계정의 사용자가 할당된 권한을 초과할 수 없도록 보장합니다.
- 특정 AWS 지역 또는 서비스에 대한 액세스 제한:
- 규정 준수상의 이유로 사용자가 허용되지 않은 지역에서 리소스를 생성하거나 작업을 수행하는 것을 방지합니다.
- 제어 자동화 프레임워크:
- CI/CD 파이프라인, 자동화 스크립트 또는 IaC(Infrastructure as Code) 도구에 부여되는 권한 범위를 제한합니다.
권한 경계 정책은 AWS에서 권한 관리에 대한 보안 계층을 추가하여 조직이 더욱 엄격한 권한 제어를 구현하는 데 도움이 됩니다. 권한 경계를 기존 IAM 정책과 결합함으로써 기업은 사용자와 역할에 대한 액세스 범위를 보다 정확하게 제어할 수 있으며, 이를 통해 보안 위험을 줄이고 클라우드 환경에서의 작업이 사전 결정된 보안 요구 사항과 규정 준수 표준을 충족하도록 할 수 있습니다.
