AWS 보안 토큰 서비스(Security Token Service) 에스티에스)는 AWS에서 제공하는 보안 도구입니다.제한된 권한이 기능을 사용하면 사용자는 통제된 단기 범위 내에서 권한이 있는 역할에 액세스할 수 있으므로 비즈니스 요구 사항을 충족하는 동시에 장기 자격 증명 노출과 관련된 보안 위험을 줄일 수 있습니다.
AWS 계정의 중요한 리소스에 대한 보안 검사를 수행해야 하는 경우단기 운영STS는 서버 측 인증 서비스를 사용하려고 하지만 이 목적으로만 IAM 사용자를 생성하고 유지하고 싶지 않을 때 이상적인 선택입니다. STS에서 발급하는 자격 증명은 일반 IAM 액세스 키와 동일한 기능을 제공하지만 사용자 측에 저장되지 않습니다.유효기간 제한—일반적으로 몇 분에서 몇 시간 정도 소요되지만 최대 36시간까지 지속될 수 있습니다.
AWS 보안 토큰 서비스(STS)란 무엇인가요?
AWS STS는 웹 서비스AWS Identity and Access Management(IAM) 사용자 또는 페더레이션 사용자에게 권한이 제한된 임시 자격 증명을 발급합니다. 이러한 임시 자격 증명은 다음에서 사용됩니다.액세스 키 ID,비밀 액세스 키게다가세션 토큰장기 액세스 키를 사용하지 않고도 유효 기간 동안 지정된 AWS 리소스에 안전하게 액세스할 수 있습니다.
STS의 일반적인 적용 분야는 다음과 같습니다.
- 교차 계정 액세스
- 아이덴티티 페더레이션(예: SAML, OIDC, Google Workspace, Azure AD)
- 단기 특권 확대
이러한 임시 자격 증명의 유효 기간은 비즈니스 시나리오 및 구성에 따라 몇 분에서 몇 시간까지 다양합니다. 이러한 방식으로 STS는 장기적인 키 유출 위험을 효과적으로 줄이고 AWS 서비스를 지원할 수 있습니다.세분화된 시간 제한 액세스.
STS와 IAM 역할의 차이점
STS 및 IAM 역할서로를 보완하다.
IAM 역할은 특정 AWS 기능에 대한 액세스를 허용하는 일련의 권한 정책이 포함된 AWS ID입니다. 일반적으로 AWS 사용자에게 직접 역할을 할당하지만, 이렇게 하면 장기적인 권한 초과 위험이 발생합니다.
예를 들어, S3 버킷을 삭제하는 것은 대부분의 조직에서 민감하고 드문 작업입니다. 이 권한이 있는 역할이 사용자에게 직접 할당되면 사용자는 버킷을 영구적으로 삭제할 수 있게 되어 보안 위험이 발생할 수 있습니다.
STS를 사용하면 사용자는 다음만 하면 됩니다.실제 필요 사항이 작업을 수행하면 사용자는 일시적으로 권한이 있는 역할을 수행하게 됩니다. 자격 증명은 잠시 후 자동으로 만료되므로 사용자는 매일 최소한의 권한만 보유하게 됩니다.위험을 크게 줄입니다.
AWS STS를 언제 사용해야 하나요?
STS는 다양한 AWS 권한 부여 프로세스의 핵심 구성 요소입니다. 일반적인 시나리오는 다음과 같습니다.
1. 권한이 있는 AWS 리소스에 대한 단기 액세스
일시적으로 높은 권한이 필요한 작업에 적합합니다. 예를 들어, 시스템 관리자는 유지 관리 기간 동안 데이터베이스 마이그레이션이나 CloudTrail 고급 로깅 활성화와 같은 작업을 수행해야 할 수 있지만, 이러한 권한을 매일 보유해서는 안 됩니다. STS를 사용하면 작업 시작 시 임시 자격 증명을 요청할 수 있으며, 이는 완료 시 자동으로 만료됩니다.
2. 애플리케이션에서 AWS에 액세스하세요
비즈니스 애플리케이션이나 도구가 AWS 리소스에 액세스해야 하는 경우, 장기 IAM 자격 증명을 직접 사용하는 것은 매우 위험한 접근 방식입니다. 자격 증명이 유출되면 영구적으로 노출됩니다. STS를 사용하면 런타임에 임시 자격 증명을 동적으로 획득할 수 있으므로 코드에 키를 하드코딩하지 않고도 언제든지 권한을 조정할 수 있습니다.
3. ID 페더레이션 시나리오
기업은 중앙 집중식 사용자 관리를 위해 기존 ID 시스템(예: Azure AD, Google Workspace, Okta)을 사용하는 경우가 많습니다. STS와 SAML/OIDC 프로토콜을 활용하면 사용자는 회사 계정으로 AWS에 로그인할 수 있으므로 별도의 IAM 사용자를 생성할 필요가 없습니다. 이 모델은 사용자 경험을 향상시킬 뿐만 아니라 운영 비용도 절감합니다.
4. 교차 계정 및 위임된 액세스
다중 계정 아키텍처(대기업이나 MSP에서 일반적으로 사용됨)에서 STS는 단일 계정 내 사용자 신원을 중앙에서 관리하고, 계정 간 신뢰 정책을 통해 사용자가 다른 계정의 리소스에 안전하게 액세스할 수 있도록 지원합니다. 이를 통해 중복 계정 생성의 필요성이 줄어들고 감사 및 보안 정책이 중앙에서 관리됩니다.
AWS STS 작동 방식
완전한 STS 임시 액세스 프로세스에는 다음 단계가 포함됩니다.
- 캐릭터를 생성하세요: AWS 관리자는 필요한 권한이 포함된 IAM 역할을 생성합니다.
- 신뢰 정책 설정: 대상 사용자 또는 ID 공급자에 대한 역할 신뢰 정책을 구성합니다.
- 역할 요청: 사용자는 STS API를 호출하고 대상 역할을 맡도록 요청합니다.
- 검증 및 발급: STS는 신뢰 정책을 확인하고, 요청의 유효성을 검증하고, 임시 자격 증명을 생성합니다.
- 리소스 접근: 사용자는 자격 증명이 만료될 때까지 임시 자격 증명을 사용하여 AWS API를 호출합니다.
예: 운영 담당자가 제한된 S3 버킷에서 데이터 마이그레이션을 수행해야 합니다. 작업 전에 AssumeRole을 통해 임시 액세스 자격 증명을 받게 되며, 이 자격 증명은 작업 완료 후 자동으로 만료되어 나중에 버킷에 다시 액세스할 수 없습니다.
엔터프라이즈 구현 및 모범 사례
실제 기업 클라우드 마이그레이션 및 운영 및 유지 관리 시나리오에서 AWS STS의 가치는 다음과 같습니다.보안 강화, 그리고 다음 측면에도 반영됩니다.
- 규정 준수 위험 감소: 단기 자격증명은 최소 권한 및 자격증명 관리에 대한 ISO 27001, GDPR 및 기타 보안 규정의 요구 사항을 충족할 수 있습니다.
- 간소화된 감사: 임시 자격 증명의 사용 기록은 CloudTrail을 통해 완벽하게 추적할 수 있으므로 보안 감사와 문제 추적이 용이해집니다.
- 유연한 승인: 비즈니스 요구 사항이 변경되는 경우(예: 임시 아웃소싱 팀의 참여) 외부 인력에 대한 액세스 권한을 신속하게 생성할 수 있으며 프로젝트가 종료되면 자동으로 만료됩니다.
- 키 누출 방지: 장기 액세스 키를 코드, 구성 파일 또는 타사 플랫폼에 저장할 필요가 없으므로 자격 증명 유출 위험이 크게 줄어듭니다.
산업 사례:
한 금융 고객은 분기 결산 기간 동안 감사팀이 거래 로그가 포함된 S3 버킷에 접근해야 했습니다. 해당 버킷에 다량의 민감한 정보가 포함되어 있었기 때문에, 감사팀이 장기간 접근하는 것을 원치 않았습니다. STS를 사용하여 감사팀에 감사 기간 동안 12시간 동안만 유효한 읽기 전용 자격 증명을 할당하여 작업 완료 후 접근 권한이 즉시 만료되도록 했습니다.잔여 권한 없음목표.
요약 및 권장 사항
AWS STS는 클라우드에 구현됩니다.최소 권한의 원칙그리고안전 및 규정 준수임시 액세스, 계정 간 협업, ID 연합 등을 통해 기업은 보안을 보장하는 동시에 민첩성을 유지할 수 있습니다.
공식 AWS 에이전트로서 우리는 기업이 다음과 같은 상황에서 STS를 우선시할 것을 권장합니다.
- 매우 민감한 리소스와 관련된 작업에 액세스
- 다중 계정 협업 또는 아웃소싱 팀 액세스
- 개발 환경이나 자동화 도구에는 동적 권한이 필요합니다.
- 장기 키 노출을 최소화하여 보안을 강화하고자 합니다.
클라우드로 마이그레이션 중이시거나 이미 AWS 환경을 구축했지만 권한 관리에 대한 우려가 있으시다면 저희 클라우드 전문가 팀에 문의해 주세요. STS 기반 보안 액세스 솔루션을 맞춤 설계하고 기존 아키텍처에 원활하게 통합할 수 있도록 도와드리겠습니다.
