IAM 사용자를 위한 서비스별 자격 증명 - AWS Identity and Access Management
서비스별 자격 증명 교체서비스별 자격 증명 모니터링

IAM 사용자를 위한 서비스별 자격 증명

서비스별 자격 증명은 특정 AWS 서비스를 위해 설계된 특수 인증 메커니즘입니다. 해당 자격 증명은 표준 AWS 자격 증명에 비해 간소화된 인증을 제공하며 개별 AWS 서비스의 인증 요구 사항에 맞게 조정됩니다. 다수의 AWS 서비스에서 사용할 수 있는 액세스 키와는 다르게 서비스별 자격 증명은 해당 자격 증명이 생성된 서비스에서만 사용하도록 설계되었습니다. 이 타겟팅된 접근 방식은 자격 증명의 범위를 제한하여 보안을 강화합니다.

서비스별 자격 증명은 일반적으로 사용자 이름과 암호 쌍 또는 특정 서비스의 요구 사항에 따라 형식이 지정된 특수 API 키로 구성됩니다. 서비스별 자격 증명을 생성하면 기본적으로 활성화 상태이며 즉시 사용할 수 있습니다. IAM 사용자당 지원되는 각 서비스에 대해 최대 2개의 서비스별 보안 인증 세트를 보유할 수 있습니다. 이 제한을 통해, 필요한 경우 새 세트로 교체하는 동안 활성 세트 하나를 유지할 수 있습니다. 현재 AWS가 서비스별 자격 증명을 지원하는 서비스는 다음과 같습니다.

서비스별 자격 증명 교체

서비스별 자격 증명을 정기적으로 교체하는 것이 보안 모범 사례입니다. 애플리케이션을 중단하지 않고 자격 증명 교체:

  1. 동일한 서비스 및 IAM 사용자에 대한 서비스별 자격 증명 두 번째 세트 생성

  2. 모든 애플리케이션이 새 자격 증명을 사용하도록 업데이트하고 올바르게 작동하는지 확인합니다.

  3. 기존 자격 증명의 상태를 '비활성화'로 변경합니다.

  4. 모든 애플리케이션이 제대로 작동하는지 확인

  5. 더 이상 필요하지 않다고 확인한 후 비활성화된 서비스별 자격 증명을 삭제합니다.

서비스별 자격 증명 모니터링

AWS CloudTrail을 사용하여 AWS 계정의 서비스별 자격 증명 사용을 모니터링할 수 있습니다. 서비스별 자격 증명 사용과 관련된 CloudTrail 이벤트를 보려면 CloudTrail 로그에서 자격 증명이 사용된 서비스의 이벤트를 검토합니다. 자세한 내용은 AWS CloudTrail을 사용하여 IAM 및 AWS STS API 호출 로깅 섹션을 참조하세요.

추가 보안을 위해 CloudWatch 경보가 무단 액세스 또는 기타 보안 문제를 보여줄 수 있는 특정 자격 증명 사용 패턴을 알리도록 설정하는 것이 좋습니다. CloudWatch Logs에 대한 자세한 정보는 AWS CloudTrail 사용 설명서Amazon CloudWatch Logs로 CloudTrail 로그 파일 모니터링을 참조하세요.

다음 주제에서는 서비스별 자격 증명에 대한 정보를 제공합니다.

주제