View a markdown version of this page

관리 권한 제한 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

관리 권한 제한

Essential Eight 제어 구현 지침 AWS 리소스 AWS Well-Architected 지침
시스템 및 애플리케이션에 대한 권한 있는 액세스 요청은 처음 요청될 때 검증됩니다. 테마 4: ID 관리: ID 페더레이션 구현 임시 자격 증명을 사용하여 AWS 에 액세스하기 위해 인간 사용자가 ID 공급자와의 페더레이션을 사용하도록 요구

SEC02-BP04 중앙 집중식 ID 공급업체 사용

SEC03-BP01 액세스 요구 사항 정의

시스템 및 애플리케이션에 대한 권한 있는 액세스는 다시 검증되지 않는 한 12개월 후에 자동으로 비활성화됩니다. 테마 4: ID 관리: ID 페더레이션 구현 임시 자격 증명을 사용하여 AWS 에 액세스하기 위해 인간 사용자가 ID 공급자와의 페더레이션을 사용하도록 요구 SEC02-BP04 중앙 집중식 ID 공급업체 사용
테마 4: ID 관리: 자격 증명 교체

워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS

사용되지 않는 IAM 역할 삭제 자동화

장기 자격 증명이 필요한 사용 사례에 대해 정기적으로 액세스 키 교체

AWS 밋 ANZ 2023: 클라우드에서 임시 자격 증명으로의 여정(YouTube 비디오)

SEC02-BP05 정기적으로 자격 증명 감사 및 교체
시스템 및 애플리케이션에 대한 권한 있는 액세스는 활동이 없으면 45일 후에 자동으로 비활성화됩니다.

테마 4: ID 관리: ID 페더레이션 구현

테마 4: ID 관리: 자격 증명 교체

인간 사용자가 자격 증명 공급자와 연동하여 임시 자격 증명을 사용하여 AWS 에 액세스하도록 요구

워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS

사용되지 않는 IAM 역할 삭제 자동화

장기 자격 증명이 필요한 사용 사례에 대해 정기적으로 액세스 키 교체

AWS 밋 ANZ 2023: 클라우드의 임시 자격 증명으로의 여정(YouTube 비디오)

SEC02-BP04 중앙 집중식 ID 공급업체 사용

SEC02-BP05 정기적으로 자격 증명 감사 및 교체

시스템 및 애플리케이션에 대한 권한 있는 액세스는 사용자 및 서비스가 역할을 수행하는 데 필요한 부분으로만 제한됩니다. 테마 4: ID 관리: 최소 권한 적용

루트 사용자 자격 증명을 보호하고 일상적인 작업에 사용하지 마세요.

IAM Access Analyzer를 사용하여 액세스 활동을 기반으로 최소 권한 정책 생성

IAM Access Analyzer를 사용하여 리소스에 대한 퍼블릭 및 크로스 계정 액세스 확인

안전하고 기능적인 권한을 보장하기 위해 IAM Access Analyzer를 사용하여 IAM 정책 검증

여러 계정에 권한 가드레일 설정

권한 경계를 사용하여 ID 기반 정책에서 부여할 수 있는 최대 권한 설정

IAM 정책의 조건을 사용하여 액세스 추가 제한

사용하지 않는 사용자, 역할, 권한, 정책 및 자격 증명을 정기적으로 검토하고 제거합니다.

AWS 관리형 정책을 시작하고 최소 권한으로 전환

IAM Identity Center에서 권한 세트 기능 사용

SEC01-BP02 보안 계정 루트 사용자 및 속성

SEC03-BP02 최소 권한 액세스 부여

권한 있는 계정이 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다. Technical example: Restrict administrative privileges(ACSC 웹 사이트) 참조 이미 인터넷 액세스가 없는 VPC가 액세스 권한을 얻지 못하도록 방지하는 SCP 구현 고려 해당 사항 없음
권한 있는 사용자는 별도의 권한이 있는 운영 환경과 권한이 없는 운영 환경을 사용합니다. 테마 5: 데이터 경계 설정 데이터 경계를 설정합니다. OFFICIAL:SENSITIVE 또는 PROTECTED와 같은 여러 데이터 분류나 개발, 테스트 또는 프로덕션과 같은 여러 위험 수준의 환경 사이에서 데이터 경계 구현을 고려합니다. SEC06-BP03 수동 관리 및 대화형 액세스 감소
권한 있는 운영 환경은 권한 없는 운영 환경 내에서 가상화되지 않습니다.
권한 없는 계정은 권한 있는 운영 환경에 로그온할 수 없습니다.
권한 있는 계정(로컬 관리자 계정 제외)은 권한 없는 운영 환경에 로그온할 수 없습니다.
적시 관리는 시스템 및 애플리케이션을 관리하는 데 사용됩니다. 테마 4: ID 관리: ID 페더레이션 구현

인간 사용자가 자격 증명 공급자와 연동하여 임시 자격 증명을 사용하여 AWS 에 액세스하도록 요구

환경에 대한 AWS 임시 승격 액세스 구현(AWS 블로그 게시물)

SEC02-BP04 중앙 집중식 ID 공급업체 사용
관리 활동은 점프 서버를 통해 수행됩니다.

테마 1: 관리형 서비스 사용

테마 3: 자동화를 통해 변경 가능한 인프라 관리: 수동 프로세스 대신 자동화 사용

직접 SSH 또는 RDP 액세스 대신 세션 관리자 또는 Run Command 사용

SEC01-BP05 보안 관리 범위 축소

SEC06-BP03 수동 관리 및 대화형 액세스 감소

로컬 관리자 계정 및 서비스 계정에 대한 자격 증명은 고유하고 예측할 수 없으며 관리됩니다. Technical example: Restrict administrative privileges(ACSC 웹 사이트) 참조 해당 사항 없음 해당 사항 없음
Windows Defender Credential Guard 및 Windows Defender Remote Credential Guard가 활성화됩니다.
권한 있는 액세스 사용은 중앙에서 로깅되고 무단 수정 및 삭제로부터 보호되며 손상 징후를 모니터링하고 사이버 보안 이벤트가 감지될 때 조치를 수행합니다.

테마 7: 로깅 및 모니터링 중앙 집중화: 로깅 활성화

테마 7: 로깅 및 모니터링 중앙 집중화: 로그 중앙 집중화

CloudWatch 에이전트를 사용하여 OS 수준 로그를 CloudWatch Logs에 게시

조직에서 CloudTrail 활성화

감사 및 분석을 위한 계정의 CloudWatch Logs 중앙 집중화(AWS 블로그 게시물)

Amazon Inspector의 관리 중앙 집중화

Security Hub CSPM의 중앙 집중식 관리

AWS Config에서 조직 전체의 애그리게이터 생성(AWS 블로그 게시물)

GuardDuty의 관리 중앙 집중화

Amazon Security Lake 사용 고려

여러 계정에서 CloudTrail 로그 수신

로그 아카이브 계정으로 로그 전송

SEC04-BP01 서비스 및 애플리케이션 로깅 구성

SEC04-BP02 표준화된 위치에서 로그, 조사 결과 및 지표 캡처

권한 있는 계정 및 그룹에 대한 변경 사항은 중앙에서 로깅되고 무단 수정 및 삭제로부터 보호되며 손상 징후를 모니터링하고 사이버 보안 이벤트가 감지될 때 조치를 수행합니다.