AWS STS Get-Caller-Identity: 권한 디버깅 및 ID 확인의 첫 단계

기업 클라우드 도입 및 다중 계정 거버넌스 실무에서신원 및 권한이는 항상 가장 중요하고 문제가 발생하기 가장 쉬운 부분입니다. 일상적인 유지 관리, 자동화된 스크립트, 계정 간 액세스 및 엔터프라이즈급 SSO 통합 등 어떤 경우든"현재 AWS API를 호출하는 사람은 누구입니까?"이는 종종 문제 해결의 첫 번째 핵심 사항입니다.

AWS가 제공하는 다양한 보안 기능 중,AWS STS 호출자 ID 가져오기 매우 기본적이지만 필수적인 명령입니다. 복잡한 구성이나 리소스 변경이 필요하지 않지만, 실제 프로젝트에서 "신원 확인 앵커" 역할을 합니다.

AWS STS GetCallerIdentity란 무엇인가요?

발신자 ID 가져오기 AWS 보안 토큰 서비스(STS)에서 제공하는 인터페이스로...현재 발신자의 신원 정보이 인터페이스를 통해 사용자는 현재 요청을 시작한 IAM 사용자, 역할 또는 루트 계정을 명확하게 식별할 수 있습니다.

AWS CLI에서는 단 하나의 명령으로 결과를 얻을 수 있습니다.

AWS STS 호출자 ID 가져오기

일반적으로 반환되는 콘텐츠는 다음과 같습니다.

{ "UserId": "AIDAEXAMPLE123456789", "Account": "123456789012", "Arn": "arn:aws:iam::123456789012:user/dev-user" }

이 세 가지 필드는 함께 현재 액세스 ID의 "신원 확인"을 구성합니다.

• 계정현재 AWS 계정 ID
• 아르발신자의 전체 신원 경로
• 사용자 IDAWS에서 내부적으로 사용하는 고유 식별자

ARN을 사용하여 현재 ID 유형을 빠르게 식별합니다.

실제 사용에서는정말 가치 있는 것은 ARN입니다.ARN을 살펴보는 것만으로도 수석 엔지니어는 현재 권한 부여 체인이 올바른지 판단할 수 있습니다.

1. IAM 사용자 ID

arn:aws:iam::123456789012:사용자/개발자-사용자

이는 일반적으로 개발 및 디버깅에는 적합하지만 프로덕션 환경에는 권장되지 않는 장기 AK/SK 인증서가 사용되고 있음을 의미합니다.

2. 역할 정체성 가정

arn:aws:sts::123456789012:가정된 역할/관리자 역할/세션 이름

이는 비즈니스 환경에서 가장 일반적인 형태이며 널리 사용됩니다.

• AWS SSO
• 교차 계정 액세스
• ECS / EC2 / Lambda의 실행 역할

3. 루트 사용자 ID

arn:aws:iam::123456789012:루트

이는 일반적으로 안전 위험이나 부적절한 작동을 나타내므로 생산 환경에서는 반드시 피해야 합니다.

 

디버깅 권한의 "시작점"이 되는 이유는 무엇입니까?

실제 고객 프로젝트에서 우리는 많은 권한 문제가 정책 작성 오류로 인해 발생하는 것이 아니라...ID 링크에 오류가 발생했습니다..예를 들어:

• 여러 개의 CLI 프로필이 구성되었지만 잘못된 계정이 사용되었습니다.
• SSO 로그인은 성공했지만 AssumeRole이 적용되지 않았습니다.
• ECS 작업 역할이 올바르게 바인딩되지 않았습니다.
• 자동화된 스크립트가 잘못된 실행 역할로 실행되고 있습니다.

이러한 시나리오에서는발신자 ID 가져오기 그들은 종종 두 가지 핵심 질문에 즉시 답할 수 있습니다.

1. 현재 작업은 실제로 어떤 AWS 계정에서 발생했습니까?
2. 현재 API 호출을 시작한 IAM ID는 무엇입니까?

이는 이후의 전략 분석과 문제 식별을 위한 명확한 전제를 제공합니다.

 

기업 수준 시나리오의 일반적인 응용 프로그램

1. 다중 계정 및 교차 계정 거버넌스

랜딩 존과 다중 계정 아키텍처에서 역할의 정확성을 검증하는 것(Assume)은 규정 준수 및 보안 감사를 위한 기본적인 작업입니다.

2. 자동화 및 CI/CD

파이프라인 배포 및 Terraform 실행 전에 실행 ID를 확인하면 오작동 위험을 크게 줄일 수 있습니다.

3. 컨테이너 및 서버리스 환경

ECS, EKS 및 Lambda에서 권한 문제를 해결할 때 이 명령은 실행 역할이 예상과 일치하는지 확인하는 데 자주 사용됩니다.

 

권한 및 비용 영향

발신자 ID 가져오기 추가 라이선스가 필요하지 않으며, AWS 리소스가 수정되거나 생성되지 않습니다. API 호출은 무료이며 과금에 영향을 미치지 않으므로 다양한 환경에서 자주 사용하기에 적합합니다.

 

AWS 리셀러가 되기 위한 권장 사항

공식 AWS 파트너로서, 우리는 고객에게 다음을 권장합니다. 발신자 ID 가져오기 다음 표준 프로세스에 통합하세요.

• 권한 문제 해결을 위한 첫 번째 단계
• 자동 스크립트 실행 전 신원 확인
• 기업 안전 및 잘 설계된 검토의 기본 검사 항목

ID 체인을 명확하게 이해하면 권한에 대한 잘못된 판단, 무단 액세스, 운영상의 복잡성으로 인한 위험을 효과적으로 줄일 수 있습니다.

 

결론

AWS 보안 시스템에서는 복잡성이 문제의 근원이 아닌 경우가 많습니다. 오히려 신원을 식별할 수 없는 것이 문제의 근원입니다.AWS STS 호출자 ID 가져오기 이는 "신원 인식"을 "권한 구성"과 연결하는 데 중요한 단계입니다.

AWS 리셀러로서 우리는 기업이 명확하고, 통제 가능하며, 감사 가능한 클라우드 ID 시스템을 구축하도록 지속적으로 지원하며, 모든 API 호출에 명확한 출처와 합리적인 권한이 부여되도록 보장하여 클라우드 거버넌스를 간단하고 안정적으로 만듭니다.