자격 증명 및 액세스 관리 - AMS 고급 사용 설명서
다중 계정 랜딩 존(MALZ) IAM 보호Amazon Inspector 보안AMS 다중 계정 랜딩 존 EPS 기본값이 아닌 설정AMS 가드레일MALZ 서비스 제어 정책

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자격 증명 및 액세스 관리

AWS Identity and Access Management (IAM)는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. AMS 온보딩 중에 각 관리형 계정 내에서 교차 계정 IAM 관리자 역할을 생성할 책임은 사용자에게 있습니다.

다중 계정 랜딩 존(MALZ) IAM 보호

AMS 다중 계정 랜딩 존(MALZ)은 각 조직(AMS 및 고객 모두)이 자신의 자격 증명 수명 주기를 관리할 수 있도록 AMS 액세스 관리의 기본 설계 목표로 Active Directory(AD) 신뢰가 필요합니다. 이렇게 하면 서로의 디렉터리에 자격 증명이 필요하지 않습니다. 단방향 신뢰는의 관리형 Active Directory가 고객 소유 또는 관리형 AD를 AWS 계정 신뢰하여 사용자를 인증하도록 구성됩니다. 신뢰는 한 가지 방법일 뿐이므로 고객 Active Directory에서 관리형 AD를 신뢰한다는 의미는 아닙니다.

이 구성에서는 사용자 ID를 관리하는 고객 디렉터리를 사용자 포리스트라고 하며 Amazon EC2 인스턴스가 연결된 관리형 AD를 리소스 포리스트라고 합니다. Windows 인증을 위해 일반적으로 사용되는 Microsoft 설계 패턴입니다. 자세한 내용은 포리스트 설계 모델을 참조하세요.

이 모델을 사용하면 두 조직 모두 해당 수명 주기를 자동화할 수 있으며, 직원이 조직을 떠날 경우 AMS와 사용자 모두 액세스를 신속하게 취소할 수 있습니다. 이 모델이 없으면 두 조직이 공통 디렉터리를 사용한 경우(또는 서로의 디렉터리에서 사용자/그룹을 생성한 경우) 두 조직 모두 시작 및 나가는 직원을 고려하기 위해 추가 워크플로와 사용자 동기화를 적용해야 합니다. 이로 인해 해당 프로세스에 지연 시간이 있고 오류가 발생하기 쉬운 위험이 발생합니다.

MALZ 액세스 사전 조건

AWS/AMS 콘솔, CLI, SDK에 액세스하기 위한 MALZ 자격 증명 공급자 통합.

자격 증명 공급자와 AWS IAM, AWS Management Console및 AMS 변경 관리 간의 관계입니다.

AMS 계정의 Amazon EC2 인스턴스에 대한 단방향 신뢰.

신뢰 방향은 Amazon EC2 인스턴스에서 조직의 Active Directory 도메인으로 단방향으로 이동합니다.

Amazon Inspector 보안

Amazon Inspector 서비스는 AMS 관리형 스택의 보안을 모니터링합니다. Amazon Inspector는 배포된 인프라의 보안 및 규정 준수 격차를 식별하는 데 도움이 되는 자동화된 보안 평가 서비스입니다 AWS. Amazon Inspector 보안 평가를 사용하면 Amazon EC2 인스턴스에서 의도하지 않은 네트워크 액세스 가능성 및 취약성을 확인하여 스택의 노출, 취약성 및 모범 사례와의 편차를 자동으로 평가할 수 있습니다. 평가를 수행한 후, Amazon Inspector는 상세한 보안 평가 결과 목록을 제공하며, 이 목록은 심각도 수준에 따라 구성되어 있습니다. Amazon Inspector 평가는 일반적인 보안 모범 사례 및 정의에 매핑된 사전 정의된 규칙 패키지로 제공됩니다. 이러한 규칙은 AWS 보안 연구원이 정기적으로 업데이트합니다. Amazon Inspector에 대한 자세한 내용은 Amazon Inspector를 참조하십시오.

AMS Amazon Inspector FAQs

  • Amazon Inspector는 기본적으로 AMS 계정에 설치되나요?

    아니요. Amazon Inspector는 기본 AMI 빌드 또는 워크로드 수집의 일부가 아닙니다.

  • Amazon Inspector에 액세스하고 설치하려면 어떻게 해야 하나요?

    RFC(관리 | 기타 | 기타 | 생성)를 제출하여 Inspector에 계정 액세스 및 설치를 요청하면 AMS 운영 팀이 Customer_ReadOnly_Role을 수정하여 Amazon Inspector 콘솔 액세스(SSM 액세스 없음)를 제공합니다.

  • 평가하려는 모든 Amazon EC2 인스턴스에 Amazon Inspector 에이전트를 설치해야 합니까? Amazon EC2

    아니요. 네트워크 연결성 규칙 패키지가 포함된 Amazon Inspector 평가는 모든 Amazon EC2 인스턴스에 대해 에이전트 없이 실행할 수 있습니다. 호스트 평가 규칙 패키지에는 에이전트가 필요합니다. 에이전트 설치에 대한 자세한 내용은 Amazon Inspector 에이전트 설치를 참조하세요.

  • 이 서비스에 대한 추가 비용이 있습니까?

    예. Amazon Inspector 요금은 Amazon Inspector 요금 사이트에서 확인할 수 있습니다.

  • Amazon Inspector 조사 결과란 무엇입니까?

    결과는 선택한 평가 대상의 Amazon Inspector 평가 중에 발견된 잠재적 보안 문제입니다. 결과는 Amazon Inspector 콘솔 또는 API에 표시되며 보안 문제에 대한 자세한 설명과 문제 해결을 위한 권장 사항을 모두 포함합니다.

  • Amazon Inspector 평가 보고서를 사용할 수 있나요?

    예. 평가 보고서는 평가 실행에서 테스트한 내용과 평가 결과를 자세히 설명하는 문서입니다. 평가 결과는 표준 보고서로 형식이 지정되며, 이를 생성하여 문제 해결을 위해 팀 내에서 결과를 공유하거나, 규정 준수 감사 데이터를 보강하거나, 향후 참조를 위해 저장할 수 있습니다. 평가 실행이 성공적으로 완료되면 Amazon Inspector 평가 보고서를 생성할 수 있습니다.

  • 태그를 사용하여 Amazon Inspector 보고서를 실행할 스택을 식별할 수 있나요?

    예.

  • AMS 운영 팀은 Amazon Inspector 평가 결과에 액세스할 수 있나요?

    예. AWS의 Amazon Inspector 콘솔에 액세스할 수 있는 사람은 누구나 조사 결과 및 평가 보고서를 볼 수 있습니다.

  • AMS 운영 팀은 Amazon Inspector 보고서의 조사 결과에 따라 권장하거나 조치를 취합니까?

    아니요. Amazon Inspector 보고서의 결과를 기반으로 변경하려는 경우 RFC(관리 | 기타 | 기타 | 업데이트)를 통해 변경을 요청해야 합니다.

  • Amazon Inspector 보고서를 실행할 때 AMS에 알림이 제공되나요?

    Amazon Inspector 액세스를 요청하면 RFC를 실행하는 AMS 운영자가 CSDM에 요청을 알립니다.

자세한 내용은 Amazon Inspector FAQs.

AMS 다중 계정 랜딩 존 EPS 기본값이 아닌 설정

이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 설명서를 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 AWS 아티팩트 시작하기를 참조하세요.

AMS 가드레일

가드레일은 전체 AMS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙입니다.

이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 설명서를 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 AWS 아티팩트 시작하기를 참조하세요.

MALZ 서비스 제어 정책

이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 설명서를 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 AWS 아티팩트 시작하기를 참조하세요.