에서 인증서 기반 액세스 제어를 사용하기 위한 주요 개념 AWS - AWS 권장 가이드
최소 권한인증서 기반 인증신뢰 앵커 및 신뢰 모델임시 보안 자격 증명IAM의 이중 계층 권한AWS 자격 증명 헬퍼

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 인증서 기반 액세스 제어를 사용하기 위한 주요 개념 AWS

의 인증서 기반 액세스 제어 AWS 에는 여러 가지 상호 의존적 인증 및 권한 부여 개념을 이해해야 합니다. 예를 들어 최소 권한 원칙에 따라 AWS Identity and Access Management (IAM) 역할 및 정책 설계에 직접적인 영향을 미치는 인증서 기반 인증을 통해 부여된 권한 범위가 결정됩니다. 인증서 기반 인증 자체는 인증서 확인을 위한 암호화 신뢰 체인을 정의하는 구성된 신뢰 앵커에 대한 X.509 인증서 검증에 의존합니다. 이 프로세스를 통해 생성된 임시 보안 자격 증명에는 세션 관리 및 자격 증명 교체 전략에 영향을 미치는 특정 수명 주기 특성이 있습니다. 또한 AWS Identity and Access Management Roles Anywhere 는 IAM 역할 정책과 프로필 구성이 모두 액세스를 승인해야 하는 이중 계층 권한 모델을 구현합니다. 이러한 개념이 상호 작용하는 방식을 이해하지 못하면 구현으로 인증 실패, 과도한 액세스 권한 또는 인증서 검증 체인의 보안 격차가 발생할 수 있습니다. 이러한 개념은 인증서 기반 AWS 액세스 제어 시스템에서 신뢰 관계, 권한 경계 및 자격 증명 수명 주기를 올바르게 구성하는 데 필요한 기술적 기반을 형성합니다.

최소 권한

최소 권한의 원칙은 사용자, 프로그램 또는 시스템이 작업을 수행하는 데 필요한 최소 수준의 액세스(또는 권한)를 부여하는 것을 권장하는 보안 개념입니다. 가이드 철학은 간단합니다. 개체의 권한이 적을수록 악의적이거나 우발적인 손상 위험이 낮아집니다.

의 맥락에서 AWS이 원칙은 특히 관련이 있습니다.는 가상 머신에서 스토리지 리소스에 이르기까지 다양한 리소스와 서비스를 AWS 제공합니다. AWS 인프라를 구축하고 관리할 때 최소 권한 원칙을 적용하면 각 엔터티(사용자, 서비스 또는 애플리케이션)에 올바르게 작동하는 데 필요한 권한만 있고 더 이상 사용할 필요가 없습니다.

에서 최소 권한을 구현하면 다음과 같은 이점이 AWS 있습니다.

  • 보안 - 액세스를 제한하면 보안 위반의 잠재적 영향을 줄일 수 있습니다. 사용자 또는 서비스에 최소 권한이 있는 경우 손상 범위가 크게 줄어듭니다.

  • 규정 준수 - 많은 규제 프레임워크에는 엄격한 액세스 제어가 필요합니다. 최소 권한 원칙을 준수하면 이러한 규정 준수 요구 사항을 충족하는 데 도움이 됩니다.

  • 운영 간소화 - 권한 관리가 복잡해질 수 있습니다. 최소 권한을 적용하면 구성을 최대한 단순하고 관리할 수 있습니다.

인증서 기반 인증

인증서 기반 인증은 디지털 인증서를 사용하여 디바이스, 서비스 또는 애플리케이션의 ID를 확인합니다. X.509 인증서에는 엔터티를 식별하고 신뢰할 수 있는 인증 기관에서 서명한 속성이 포함되어 있습니다. 이 인증 방법은 정적 자격 증명이 필요하지 않으며 신뢰를 구축할 수 있는 암호화 보안 방법을 제공합니다.

자격 증명 기반 인증은 IAM 역할 또는 사용자와 직접 연결된 자격 증명에 의존하는 반면, 인증서 기반 인증은 X.509 인증서를 사용하여 자격 증명을 설정합니다. 인증서 기반 인증은 더 강력한 보안 태세, 자동화된 자격 증명 교체, 세분화된 액세스 제어에 사용할 수 있는 속성 인코딩 기능을 제공하여 하이브리드 환경에서 이점을 제공합니다.

신뢰 앵커 및 신뢰 모델

트러스트 앵커를 생성하여 IAM Roles Anywhere 와 인증 기관(CA) 간에 신뢰를 설정합니다. 트러스트 앵커는 AWS Private CA 또는 외부 CA 소스에 대한 참조입니다. 외부의 워크로드는 임시 AWS 자격 증명 대신 신뢰할 수 있는 CA에서 발급한 인증서를 사용하여 트러스트 앵커로 AWS 인증합니다. 하나의에 여러 트러스트 앵커가 있을 수 있습니다 AWS 계정. 자세한 내용은 IAM Roles Anywhere 신뢰 모델을 참조하세요. 신뢰 모델은 인증서의 검증 방법과 성공적인 인증에 필요한 인증서 속성을 정의합니다.

임시 보안 자격 증명

임시 보안 자격 증명은 AWS 리소스에 대한 시간 제한 액세스를 제공하며, 일반적으로 몇 분에서 몇 시간까지 지속됩니다. 장기 액세스 키와 달리 이러한 자격 증명은 자동으로 만료됩니다. 이렇게 하면 자격 증명 손상 위험이 크게 줄어들고 분산 시스템 전반의 액세스 관리가 간소화됩니다. 임시 자격 증명에 대한 자세한 내용은 IAM 설명서의 IAM 역할에서 임시 자격 증명을 사용하도록 워크로드 요구 AWS하기를 참조하세요.

IAM의 이중 계층 권한

IAM Roles Anywhere 는 IAM 역할 및 프로파일의 조합을 통해 이중 계층 권한 모델을 구현합니다. 프로필에서 세션에 대해 생성된 권한을 제한하는 IAM 세션 정책을 정의할 수 있습니다. 프로필에는 IAM 역할이 많을 수 있지만 세션 정책은 하나만 있을 수 있습니다. 이중 계층 권한 모델은 액세스 권한이 부여되기 전에 두 계층 모두에서 권한을 명시적으로 허용하도록 요구하여 향상된 보안을 제공합니다. 다음은 두 계층입니다.

  • IAM 역할 계층은 다음을 정의합니다.

    • 역할을 수임할 수 있는 엔터티를 결정하는 신뢰 정책

    • 역할이 액세스할 수 있는 AWS 리소스와 수행할 수 있는 작업을 지정하는 권한 정책

    • 특정 기준에 따라 액세스를 추가로 제한할 수 있는 조건 요소

  • IAM Roles Anywhere 프로필 계층은 다음을 수행합니다.

    • 를 통해 수임할 수 있는 IAM 역할을 정의합니다. IAM Roles Anywhere

    • 역할 가정에 대한 추가 제어를 제공합니다.

    • IAM 역할 자체가 더 광범위한 액세스를 허용하더라도 권한 필터 역할을 합니다.

예를 들어 IAM 역할이 Amazon Simple Storage Service(Amazon S3) 및 Amazon DynamoDB에 대한 액세스를 허용하지만 프로파일이 Amazon S3 액세스만 허용하는 경우 애플리케이션은 Amazon S3 리소스에만 액세스할 수 있습니다. 이 이중 계층 접근 방식은 두 계층 모두에서 명시적 권한을 요구하여 최소 권한 원칙을 적용합니다.

AWS 자격 증명 헬퍼

에 자격 증명 헬퍼(GitHub)를 사용하면 (AWS CLI)를 AWS Command Line Interface 통해 애플리케이션이 AWS 리소스에 액세스하도록 허용할 때 사용할 트러스트 앵커, 프로파일 및 역할을 IAM Roles Anywhere정의합니다. 다음은 AWS 자격 증명 헬퍼 도구를 사용하는 호출의 예입니다.

./aws_signing_helper credential-process 
   \--certificate <Path to certificate>
   \--private-key <Path to private key> 
   \--trust-anchor-arn <Trust anchor ARN> 
   \--profile-arn <Profile 1 ARN>
   \--role-arn <Role 1 ARN>

이 도구는 언어 SDK에서 사용할 수 있는 credential_process 기능과 호환됩니다. SDKs AWS SDK와 함께 사용하면 이러한 자격 증명이 만료되기 전에 자동으로 새로 고쳐지므로 자격 증명 갱신을 위한 추가 구현이 필요하지 않습니다. 자격 증명 헬퍼는 인증서로 서명을 생성하고 엔드포인트를 호출하여 세션 자격 증명을 얻는 프로세스를 관리합니다. 그런 다음 호출 프로세스에 표준 JSON 형식으로 임시 보안 자격 증명을 반환합니다.

자세한 내용은 에서 임시 보안 자격 증명 가져오기 IAM Roles Anywhere를 참조하세요.