Skip to content

Latest commit

 

History

History
70 lines (36 loc) · 5.72 KB

IAM-권한경계.md

File metadata and controls

70 lines (36 loc) · 5.72 KB
Raw

IAM 권한 경계

문제

문제

회사에는 개발팀이 있으며, AWS 관리형 정책을 계정에 연결하여 빠르게 테스트할 수 있도록 보장하려고 합니다. 그러나 사용자에게 AdministratorAccess 관리 정책을 부여하여 권한 상승은 방지하려고 합니다.

어떻게 진행해야 할까요?

정답

각 개발자마다 자신에게 연결할 수 있는 관리형 정책을 제한하는 IAM 권한 경계를 정의합니다.

설명

AWS Identity and Access Management(IAM)는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다

AWS에서는 IAM 엔터티(사용자 또는 역할)에 대한 권한 경계를 지원합니다. 권한 경계는 관리형 정책을 사용하여 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 고급 기능입니다. 엔터티의 권한 경계는 자격 증명 기반 정책 및 관련 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다.

AWS 관리형 정책 또는 고객 관리형 정책을 사용하여 IAM 엔터티(사용자 또는 역할) 경계를 설정할 수 있습니다. 이 정책은 사용자 또는 역할에 대해 최대 권한을 제한합니다.

IAM 엔터티(사용자 또는 역할)에 대한 권한 경계는 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 사용자 또는 역할에 대한 효과적 권한을 변경할 수 있습니다. 사용자 또는 역할에 영향을 주는 모든 정책을 통해 부여되는 권한이 객체에 대한 유효 권한입니다. 계정 내에서 엔터티에 대한 권한은 자격 증명 기반 정책, 리소스 기반 정책, 권한 경계, 조직 SCP 또는 세션 정책에 영향을 받을 수 있습니다.

이러한 정책 유형 중 하나에서 작업에 대한 액세스가 명시적으로 거부된 경우 해당 요청이 거부됩니다.

오답

  • 개발자에게 IAM 정책을 연결하면 관리자 액세스 정책이 연결되지 않습니다.
  • AWS 계정에서 개발자가 관리자 액세스 정책을 첨부하지 못하도록 제한하는 서비스 제어 정책(SCP)을 생성합니다.
  • 개발자를 IAM 그룹에 넣은 다음 그룹에 IAM 권한 경계를 정의하여 자신에게 연결할 수 있는 관리형 정책을 제한합니다.

AWS 관리형 정책

AWS 관리형 정책은 AWS에서 생성 및 관리하는 독립적인 정책입니다.

독립적인 정책이란 정책 스스로 정책 이름이 포함된 Amazon 리소스 이름(ARN)을 갖고 있다는 것을 의미합니다. 예로 IAMFullAccess나 AmazonS3FullAccess와 같은 액세스 정책 등이 있습니다.

AWS 관리형 정책에서 특히 유용한 범주 중 하나로, 직무 기능에 대한 범주를 들 수 있습니다. 이러한 정책은 IT 업계에서 일반적으로 사용되는 직무 기능과 긴밀하게 연결됩니다. 이러한 일반적인 직무 기능에 대한 권한 부여를 쉽게 만들기 위해서입니다. 직무 정책을 사용하는 큰 장점 중 하나는 새로운 서비스와 API 작업이 도입될 때마다 AWS가 이를 유지하고 업데이트할 수 있다는 점입니다.

AdministratorAccess 관리 정책

사용 사례: 이 사용자는 모든 액세스를 가지며 AWS 내 모든 서비스와 리소스에 권한을 위임할 수 있습니다.

정책 업데이트: AWS은(는) 이 정책을 유지 관리하고 업데이트합니다. 이 정책의 변경 내역을 보려면 IAM 콘솔에서 정책을 확인한 다음 정책 버전(Policy versions) 탭을 선택합니다. 작업 기능 정책 업데이트에 대한 자세한 내용은 직무 기능에 대한 AWS 관리형 정책으로 업데이트 단원을 참조하세요.

정책 설명: 이 정책은 모든 AWS 서비스와 계정 내 모든 리소스에 대한 모든 작업을 허용합니다.

권한 경계

AWS에서는 IAM 엔터티(사용자 또는 역할)에 대한 권한 경계를 지원합니다. 권한 경계는 관리형 정책을 사용하여 자격 증명 기반 정책을 통해 IAM 엔터티에 부여할 수 있는 최대 권한을 설정하는 고급 기능입니다. 엔터티의 권한 경계는 자격 증명 기반 정책 및 관련 권한 경계 모두에서 허용되는 작업만 수행하도록 허용합니다.

AWS 관리형 정책 또는 고객 관리형 정책을 사용하여 IAM 엔터티(사용자 또는 역할) 경계를 설정할 수 있습니다. 이 정책은 사용자 또는 역할에 대해 최대 권한을 제한합니다.

정답인 이유와 오답인 이유

개발자를 IAM 그룹에 넣은 다음 그룹에 IAM 권한 경계를 정의하여 자신에게 연결할 수 있는 관리형 정책을 제한합니다.

위 문항이 정답과 가장 헛갈렸던 문항이었습니다. 정답과의 차이는 정답은 '사용자에게 권한 경계를 설정한다'이고, 오답은 '그룹에 권한 경계를 설정한다'입니다.

결론은 IAM 그룹에는 권한 경계를 설정할 수 없으므로 오답이 됩니다.

사용자의 경우 아래 이미지와 같이 권한 경계를 설정할 수 있습니다.

image

그러나 그룹의 경우 따로 권한 경계를 설정하는 것이 불가능합니다.

image