AWS 보안 인시던트 대응의 ACL(액세스 제어 목록) - AWS 보안 인시던트 대응 사용 설명서

AWS 보안 인시던트 대응의 ACL(액세스 제어 목록)

ACL 지원: 아니요

액세스 제어 목록(ACL)은 어떤 위탁자(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.

AWS Security Incident Response의 속성 기반 액세스 제어(ABAC)

ABAC 지원(정책의 태그):

속성 기반 액세스 제어(ABAC)는 속성에 근거하여 권한을 정의하는 권한 부여 전략입니다. AWS에서는 이러한 속성을 태그라고 합니다. IAM 엔티티(사용자 또는 역할) 및 많은 AWS리소스에 태그를 연결할 수 있습니다. ABAC의 첫 번째 단계로 개체 및 리소스에 태그를 지정합니다. 그런 다음 위탁자의 태그가 액세스하려는 리소스의 태그와 일치할 때 작업을 허용하도록 ABAC 정책을 설계합니다. ABAC는 빠르게 성장하는 환경에 유용하며 정책 관리가 번거로워지는 상황에 도움이 됩니다.

태그를 기반으로 액세스를 제어하려면 AWS:ResourceTag/key-name, AWS:RequestTag/key-name 또는 AWS:TagKeys 조건 키를 사용하여 정책의 조건 요소에 태그 정보를 제공합니다. 서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우 해당 서비스의 값은 Yes입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우 값은 Partial입니다. ABAC에 대한 자세한 내용은 IAM 사용 설명서What is ABAC?를 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 IAM 사용 설명서속성 기반 액세스 제어(ABAC) 사용을 참조하세요.

Amazon AWS Security Incident Response를 사용한 임시 자격 증명

임시 자격 증명 지원:

AWS 서비스는 임시 자격 증명을 사용하여 로그인할 때 작동하지 않습니다. 임시 자격 증명을 사용하는 AWS 서비스를 포함한 추가 정보는 IAM 사용 설명서AWS IAM으로 작업하는 서비스를 참조하세요. 사용자 이름과 암호가 아닌 다른 방법을 사용하여 AWS Management Console에 로그인하는 경우 임시 자격 증명을 사용하고 있는 것입니다. 예를 들어, 회사의 Single Sign-On(SSO) 링크를 사용하여 AWS에 액세스하면 해당 프로세스에서 자동으로 임시 자격 증명을 생성합니다. 또한 콘솔에 사용자로 로그인한 다음 역할을 전환할 때 임시 보안 인증을 자동으로 생성합니다. 역할 전환에 대한 자세한 내용은 IAM 사용 설명서역할로 전환(콘솔)을 참조하세요.

AWS CLI 또는 AWS API를 사용하여 임시 자격 증명을 수동으로 생성할 수 있습니다. 그런 다음 이러한 임시 자격 증명을 사용하여 AWS에 액세스할 수 있습니다. AWS에서는 장기 액세스 키를 사용하는 대신 임시 자격 증명을 동적으로 생성할 것을 권장합니다. 자세한 정보는 IAM의 임시 보안 자격 증명 섹션을 참조하세요.

AWS Security Incident Response를 위한 전달 액세스 세션

전달 액세스 세션(FAS) 지원:

IAM 사용자 또는 역할을 사용하여 AWS에서 작업을 수행하는 사람은 위탁자로 간주됩니다. 일부 서비스를 사용하는 경우, 다른 서비스에서 다른 작업을 시작하는 작업을 수행할 수 있습니다. FAS는 AWS 서비스를 직접 호출하는 주체의 권한을 요청하는 AWS 서비스와 결합하여 다운스트림 서비스에 요청합니다. FAS 요청은 서비스에서 완료를 위해 다른 AWS 서비스 또는 리소스와의 상호 작용이 필요한 요청을 받은 경우에만 이루어집니다. 이 경우, 두 작업을 모두 수행할 수 있는 권한이 있어야 합니다. FAS 요청 시 정책 세부 정보는 전달 액세스 세션을 참조하세요.