기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
의 인증서 기반 액세스 제어를 위한 아키텍처 AWS
AWS Identity and Access Management Roles Anywhere 를 사용하여 외부에서 실행되는 서버, 컨테이너 및 애플리케이션과 같은 워크로드에 대한 임시 보안 자격 증명을 AWS Identity and Access Management (IAM)에서 얻을 수 있습니다 AWS. 워크로드는 AWS 리소스에 액세스하는 데 사용하는 것과 동일한 IAM 정책 및 IAM 역할을 사용할 수 있습니다.는 외부에서 작동하는 워크로드에 대한 장기 자격 증명을 관리할 필요성을 IAM Roles Anywhere 제거합니다 AWS 클라우드.
를 사용하려면 IAM Roles Anywhere워크로드가 인증 기관(CA)에서 발급한 X.509 인증서를 사용해야 합니다. CA를에 트러스트 앵커 IAM Roles Anywhere 로 등록하여 퍼블릭 키 인프라와 간에 신뢰를 설정합니다 IAM Roles Anywhere. 이 가이드에서는 AWS Private Certificate Authority (AWS Private CA)를 CA로 사용한 다음와 신뢰를 설정합니다 IAM Roles Anywhere. 의 맥락에서 IAM Roles Anywhere AWS Private CA 는 세분화된 정책을 통해 AWS 리소스에 대한 액세스를 제어하는 데 사용할 수 있는 특정 속성이 있는 인증서를 발급하기 위한 신뢰할 수 있는 소스 역할을 합니다.
이 가이드에서는 대상 AWS 계정 및의 AWS 리소스에 대한 인증서 기반 액세스를 구성하는 두 가지 옵션을 제공합니다 AWS 리전. 다음 다이어그램은 두 옵션 간에 일반적인 리소스를 보여줍니다. AWS Private CA 는 IAM Roles Anywhere 가 배포된 동일한 계정과 리전에 설정됩니다. 트러스트 앵커는 IAM Roles Anywhere 와 사이에 존재합니다 AWS Private CA. 기본적으로에서 AWS Private CA 생성하는 모든 인증서는 서명 프로세스 중에 사용할 수 있으며 AWS Certificate Manager (ACM) 내에 저장됩니다. 이 안내서의 목적상 애플리케이션은에서 하나 이상의 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스합니다 AWS 계정.
아키텍처에는 다음과 같은 기능이 있어야 합니다.
-
인증서 - ACM을 사용하여 인증서를 생성할 수 있습니다. ACM은 리전 서비스이므로 AWS 리전 와 동일한에 배포해야 합니다 AWS Private CA. 교차 계정 제한으로 인해 동일한 계정에 ACM을 배포하는 것이 좋습니다 AWS Private CA. 자세한 내용은 ACM 설명서의를 사용하여 ACM 프라이빗 인증서에 서명 AWS Private CA 하는 조건을 참조하세요.
-
인증 기관 - 외부 CA를 사용하거나 AWS Private CA 사용할 수 있습니다. AWS Private CA 는 리전 서비스이므로 ACM 및 인증서 AWS 리전 와 동일한에 배포해야 합니다.
-
IAM 역할 - 조직의 비즈니스 또는 사용 사례 요구 사항에 따라 IAM 정책 및 권한을 IAM 역할에 매핑합니다. 자세한 내용은 IAM 설명서의 IAM 역할 생성을 참조하세요.
-
IAM Roles Anywhere 프로파일 - 프로파일을 설정하여가 IAM Roles Anywhere 수임하는 역할과 워크로드가 임시 자격 증명으로 수행할 수 있는 작업을 지정합니다. 프로파일에서 IAM 세션 정책을 정의하여 세션에 대해 생성된 권한을 제한합니다. 자세한 내용은 IAM Roles Anywhere 설명서의 역할 구성을 참조하세요.
-
자격 증명 헬퍼 도구 - 임시 보안 자격 증명을 얻기 위해에서 IAM Roles Anywhere 제공하는 자격 증명 헬퍼 도구를 사용합니다. 자세한 내용은 설명서의 에서 임시 보안 자격 증명 가져오기 IAM Roles Anywhere를 참조하세요 IAM Roles Anywhere .
를 통해 리소스에 액세스할 수 있는 권한을 위임하려면 권한 정책과 신뢰 정책이 있는 IAM 역할을 IAM Roles Anywhere생성합니다. 권한 정책은 수임하는 엔터티에 리소스에서 의도한 작업을 수행하는 데 필요한 권한을 부여합니다. 신뢰 정책은 역할을 수임할 수 있는 신뢰할 수 있는 계정 멤버를 지정합니다. 이 가이드에서 권한 정책은 엔터티가 액세스할 수 있는 Amazon S3 버킷을 정의하고 신뢰 정책은 역할을 수임할 수 있는 애플리케이션을 정의합니다.
이 가이드에서는 IAM 역할 신뢰 정책의 구성 옵션을 설명하기 위해 다음 시나리오를 다룹니다.
-
옵션 1: 애플리케이션이 IAM Roles Anywhere 프로필에 연결된 모든 역할을 수임할 수 있음 - 하나 이상의 인증서가에서 ACM에 프로비저닝 AWS Private CA 되어 AWS 리소스에 액세스해야 하는 애플리케이션과 공유되었습니다. 이러한 애플리케이션은 IAM Roles Anywhere 프로필에 연결된 모든 역할을 수임할 수 있습니다. 이는 신뢰 정책이 이를 수임할 수 있는 애플리케이션을 제한하지 않기 때문입니다.
-
옵션 2: 애플리케이션이 신뢰 정책에서 허용하는 역할만 수임할 수 있음 -에서 ACM에 두 개의 인증서가 프로비저닝되어 AWS 리소스에 액세스해야 하는 애플리케이션과 AWS Private CA 공유되었습니다. 신뢰 정책의 인증서 기반 액세스 제어로 인해 애플리케이션 1은 역할 1만 수임할 수 있고 애플리케이션 2는 역할 2만 수임할 수 있습니다.
사전 조건
이러한 옵션을 설정하려면 다음을 완료해야 합니다.
-
AWS 계정 및 대상의 리소스에 액세스해야 하는 외부 애플리케이션입니다 AWS 리전.
-
인증 기관은와 동일한 리전에 설정됩니다 IAM Roles Anywhere. 설정에 대한 지침은 시작하기를 IAM Roles Anywhere AWS Private Certificate Authority참조하세요.
-
애플리케이션에 대한 인증서를 발급했습니다. 자세한 내용과 지침은 AWS Certificate Manager 인증서를 참조하세요.
