기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 테마 5: 데이터 경계 설정
<a name="theme-5"></a>

**Essential Eight 전략 설명**  
관리 권한 제한

*데이터 경계*는 신뢰할 수 있는 ID만 예상되는 네트워크에서 신뢰할 수 있는 리소스에 액세스하도록 지원하는 AWS 환경의 방지 가드레일 세트입니다. 이러한 가드레일은 광범위한 AWS 계정 및 리소스 세트에서 데이터를 보호하는 데 도움이 되는 상시 경계 역할을 합니다. 이러한 조직 차원의 가드레일은 기존의 세분화된 액세스 제어를 대체하지 않습니다. 대신 모든 AWS Identity and Access Management (IAM) 사용자, 역할 및 리소스가 정의된 보안 표준 세트를 준수하도록 하여 보안 전략을 개선하는 데 도움이 됩니다.

일반적으로 AWS Organizations에서 생성되는 조직 경계 외부로부터의 액세스를 방지하는 정책을 사용하여 데이터 경계를 설정할 수 있습니다. 데이터 경계를 설정하는 데 사용되는 세 가지 기본 경계 권한 부여 조건은 다음과 같습니다.
+ **신뢰할 수 있는 자격 증명 **- 내 또는 사용자를 대신하여 AWS 서비스 활동하는 보안 주체(IAM 역할 AWS 계정또는 사용자)입니다.
+ **신뢰할 수 있는 리소스** -에 AWS 계정 있거나 사용자를 대신하여 AWS 서비스 작업하여 관리되는 리소스입니다.
+ **예상 네트워크 **- 온프레미스 데이터 센터 및 Virtual Private Cloud(VPCs) 또는 사용자를 대신하여 AWS 서비스 작업하는 네트워크입니다.

`OFFICIAL:SENSITIVE` 또는 `PROTECTED`와 같은 여러 데이터 분류나 개발, 테스트 또는 프로덕션과 같은 여러 위험 수준의 환경 사이에서 데이터 경계 구현을 고려합니다. 자세한 내용은 [에서 데이터 경계 구축 AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)(AWS 백서) 및 [에서 데이터 경계 설정 AWS: 개요](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/)(AWS 블로그 게시물)를 참조하세요.

## AWS Well-Architected 프레임워크의 관련 모범 사례
<a name="theme-5-best-practices"></a>
+ [SEC03-BP05 조직에 대한 권한 가드레일 정의](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07-BP02 데이터 민감도를 기반으로 데이터 보호 제어 적용](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## 이 테마 구현
<a name="theme-5-implementation"></a>

### ID 제어 구현
<a name="t5-identity-controls"></a>
+ **신뢰할 수 있는 ID만 리소스에 액세스하도록 허용** - 조건 키 `aws:PrincipalOrgID` 및 `aws:PrincipalIsAWSService`와 함께 [리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)을 사용합니다. 이렇게 하면 AWS 조직의 보안 주체와의 보안 주체만 리소스 AWS 에 액세스할 수 있습니다.
+ **네트워크를 통해서만 신뢰할 수 있는 ID 허용** - 조건 키 `aws:PrincipalOrgID` 및 `aws:PrincipalIsAWSService`와 함께 [VPC 엔드포인트 정책](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)을 사용합니다. 이렇게 하면 AWS 조직 및의 보안 주체만 VPC 엔드포인트 AWS 를 통해 서비스에 액세스할 수 있습니다.

### 리소스 제어 구현
<a name="t5-resource-controls"></a>
+ **ID에서 신뢰할 수 있는 리소스에만 액세스하도록 허용** - 조건 키 `aws:ResourceOrgID`와 함께 [서비스 제어 정책(SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 사용합니다. 이렇게 하면 자격 증명이 AWS 조직의 리소스에만 액세스할 수 있습니다.
+ **네트워크를 통해서만 신뢰할 수 있는 리소스에 액세스하도록 허용** - 조건 키 `aws:ResourceOrgID`와 함께 VPC 엔드포인트 정책을 사용합니다. 이렇게 하면 ID에서 AWS 조직의 일부인 VPC 엔드포인트를 통해서만 서비스에 액세스할 수 있습니다.

### 네트워크 제어 구현
<a name="t5-network-controls"></a>
+ **ID에서 예상 네트워크를 통해서만 리소스에 액세스하도록 허용** - 조건 키 `aws:SourceIp`, `aws:SourceVpc`, `aws:SourceVpce`, `aws:ViaAWSService`와 함께 SCP를 사용합니다. 이를 통해 자격 증명은 예상 IP 주소, VPCs, VPC 엔드포인트 및를 통해서만 리소스에 액세스할 수 있습니다 AWS 서비스.
+ **예상되는 네트워크를 통해서만 리소스에 액세스하도록 허용** - 조건 키 `aws:SourceIp`, `aws:SourceVpc`, `aws:SourceVpce`, `aws:ViaAWSService`, `aws:PrincipalIsAWSService`와 함께 리소스 기반 정책을 사용합니다. 이렇게 하면 예상 IPs, 예상 VPCs, 예상 VPC 엔드포인트,를 통해 AWS 서비스또는 호출 자격 증명이 일 때만 리소스에 액세스할 수 있습니다 AWS 서비스.

## 이 테마 모니터링
<a name="theme-5-monitoring"></a>

### 정책 모니터링
<a name="t5-monitor-policies"></a>
+ SCP, IAM 정책 및 VPC 엔드포인트 정책을 검토하는 메커니즘 구현

### 다음 AWS Config 규칙 구현
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`