AWS_IAM 모범사례

IAM 모범사례

AWS 계정 루트 사용자 액세스 키 잠금

◾  AWS 계정 루트 사용자 액세스 키는 사용하면 안된다.

◾  만약 그 계정의 루트 액세스 키가 탈취되면 계정과 연관된 모든 정보, 신용카드, 결제 정보 등 대부분의 정보가 털리기 때문에 보안을 위해 절대 루트 액세스키를 만들면 안된다.

◾ 기존에 생성되어있는 게 있다면 삭제하도록 하자.

 

 

개별 IAM 사용자 만들기

◾ 루트 자격 증명을 사용하여 액세스하는 것은 안되며, 관리자 IAM *(IAM 객체화 -리소스관리)*을 생성하여 액세스해야 하는 계정에 별도의 사용자 계정을 만드는 것이 권장된다.

◾ 또한 그룹을 사용하여 사용자 그룹에 대한 정의를 만들어 그룹 권한을 설정하는 것이 관리하기 더 편하다. ( 그룹 > 사용자 ) 

◾ IAM 정책을 개인이나 그룹에 적용할 때는 작업 수행에 필요한 최소한의 권한을 주어 다른 서비스 접근을 못하게 한다. (least privilige principle)

그룹을 사용한 사용자 권한 통합 관리

액세스 레벨을 이용한 IAM 권한 검토

◾ AWS은 작업 내용에 따라 각 서비스 작업을 다섯 개의 액세스 레벨, 즉 List, Read, Write, Permissions management, Tagging 중 하나로 분류한다. 이러한 액세스 레벨을 사용하여 어떤 작업을 정책에 포함할지 결정할 수 있다

권한 있는 사용자에 대해 MFA 활성화

◾ 보안을 강화하기 위해 중요한 리소스 또는 API 작업에 대해 액세스 권한이 부여된 IAM 사용자에 대해 멀티 팩터 인증(MFA)을 적용

◾ AWS 콘솔 > IAM 서비스 > 사용자 메뉴 > 보안 자격 증명 탭 > MFA 디바이스 할당 클릭
자세한 MFA 활성화 방법은 다음 링크 참조 🔗   

◾ 가상 핸드폰이나 실제 디바이스가 코드 생성하면 그 번호를 입력해야 로그인할 수 있다.

 

AWS 계정의 활동 모니터링

◾  AWS CloudTrail 서비스 사용

◾  로그 파일에는 작업 시간 및 날짜, 작업의 소스 IP, 부족한 권한으로 인해 실패한 작업 등이 나와 있다. 이러한 기록을 통해 비 정상적인 접근이 있는지 확인 가능하다.

◾  CloudTrail 추적을 생성하여 AWS 사용자 감사 모니터링하는 방법은 추후 포스팅 예정