기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 테마 4: ID 관리
<a name="theme-4"></a>

**Essential Eight 전략 설명**  
관리 권한 제한, 다중 인증

ID 및 권한의 강력한 관리는 클라우드에서 보안을 관리하는 데 중요한 측면입니다. 강력한 ID 사례는 필요한 액세스와 최소 권한의 균형을 유지합니다. 이를 통해 개발 팀은 보안을 저해하지 않고 빠르게 이동할 수 있습니다.

ID 페더레이션을 사용하여 ID 관리를 중앙 집중화합니다. 이렇게 하면 단일 위치에서 액세스를 관리하므로 여러 애플리케이션과 서비스에서 액세스를 더 쉽게 관리할 수 있습니다. 또한 임시 권한 및 다중 인증(MFA)을 구현하는 데도 도움이 됩니다.

사용자에게 태스크를 수행하는 데 필요한 권한만 부여합니다. AWS Identity and Access Management Access Analyzer 는 정책을 검증하고 퍼블릭 및 교차 계정 액세스를 확인할 수 있습니다. AWS Organizations 서비스 제어 정책(SCPs), IAM 정책 조건, IAM 권한 경계 및 AWS IAM Identity Center 권한 세트와 같은 기능은 [세분화된 액세스 제어(FGAC)](apg-gloss.md#glossary-fgac)를 구성하는 데 도움이 될 수 있습니다.

모든 유형의 인증을 수행할 때 자격 증명이 의도치 않게 공개되거나 공유되거나 도난당하는 위험을 줄이거나 없애기 위해 장기 자격 증명 대신 임시 자격 증명을 사용하는 것이 가장 좋습니다. IAM 사용자 대신 IAM 역할을 사용합니다.

MFA와 같은 강력한 로그인 메커니즘을 사용하여 로그인 자격 증명이 실수로 공개되거나 쉽게 추측되는 위험을 완화합니다. 루트 사용자의 경우 MFA가 필요하고 페더레이션 수준에서도 MFA가 필요할 수 있습니다. IAM 사용자 사용이 불가피한 경우 MFA를 적용합니다.

규정 준수를 모니터링하고 보고하려면 지속적으로 권한을 줄이고, IAM Access Analyzer의 결과를 모니터링하며, 사용하지 않는 IAM 리소스를 제거해야 합니다. AWS Config 규칙을 사용하여 강력한 로그인 메커니즘이 적용되고, 자격 증명이 수명이 짧으며, IAM 리소스가 사용 중인지 확인합니다.

## AWS Well-Architected 프레임워크의 관련 모범 사례
<a name="theme-4-best-practices"></a>
+ [SEC02-BP01 강력한 로그인 메커니즘 사용](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02-BP02 임시 자격 증명 사용](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02-BP03 안전하게 보안 암호 저장 및 사용](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 중앙 집중식 ID 공급업체 사용](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02-BP05 정기적으로 자격 증명 감사 및 교체](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02-BP06 사용자 그룹 및 속성 사용](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03-BP01 액세스 요구 사항 정의](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03-BP02 최소 권한 액세스 부여](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03-BP03 긴급 액세스 프로세스 설정](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03-BP04 지속적으로 권한 축소](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03-BP05 조직에 대한 권한 가드레일 정의](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03-BP06 수명 주기에 따라 액세스 관리](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03-BP07 퍼블릭 및 크로스 계정 액세스 분석](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03-BP08 안전하게 조직과 리소스 공유](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)

## 이 테마 구현
<a name="theme-4-implementation"></a>

### ID 페더레이션 구현
<a name="t4-identity-federation"></a>
+ [임시 자격 증명을 사용하여 AWS 에 액세스하기 위해 인간 사용자가 ID 공급자와의 페더레이션을 사용하도록 요구](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [AWS 환경에 대한 임시 승격 액세스 구현](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)

### 최소 권한 적용
<a name="t4-least-privilege"></a>
+ [루트 사용자 자격 증명을 보호하고 일상적인 작업에 사용하지 마세요.](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [IAM Access Analyzer를 사용하여 액세스 활동을 기반으로 최소 권한 정책 생성](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [IAM Access Analyzer를 사용하여 리소스에 대한 퍼블릭 및 크로스 계정 액세스 확인](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [안전하고 기능적인 권한을 보장하기 위해 IAM Access Analyzer를 사용하여 IAM 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [여러 계정에서 권한 가드레일 설정](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [권한 경계를 사용하여 ID 기반 정책에서 부여할 수 있는 최대 권한 설정](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [IAM 정책의 조건을 사용하여 액세스 추가 제한](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [사용하지 않는 사용자, 역할, 권한, 정책 및 자격 증명을 정기적으로 검토하고 제거합니다.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [AWS 관리형 정책을 시작하고 최소 권한으로 전환](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [IAM Identity Center에서 권한 세트 기능 사용](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)

### 자격 증명 교체
<a name="t4-rotate-credentials"></a>
+ [워크로드가 IAM 역할을 사용하여에 액세스하도록 요구 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [사용되지 않는 IAM 역할 삭제 자동화](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [장기 자격 증명이 필요한 사용 사례에 대해 정기적으로 액세스 키 교체](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)

### MFA 적용
<a name="t4-mfa"></a>
+ [루트 사용자에 대해 MFA 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [IAM Identity Center를 통해 MFA 요구](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [서비스별 API 작업에 MFA 요구 고려](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)

## 이 테마 모니터링
<a name="theme-4-monitoring"></a>

### 최소 권한 액세스 모니터링
<a name="t4-monitor-access"></a>
+ [IAM Access Analyzer 조사 결과를 로 전송 AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [중요한 IAM Identity Center 조사 결과에 대한 알림 설정 고려](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [에 대한 자격 증명 보고서를 정기적으로 검토 AWS 계정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)

### 다음 AWS Config 규칙 구현
<a name="t4-cc-rules"></a>
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`