I-12. Role Based Access in AWS

 

AWS에서 역할 기반 액세스(Role-Based Access)는 IAM(Identity and Access Management) 역할을 사용하여 AWS 리소스에 대한 접근 권한을 관리하는 방식입니다. 이는 사용자에게 직접 권한을 부여하는 대신, 역할에 권한을 부여하고 필요한 주체(사용자, 서비스, 애플리케이션 등)가 역할을 맡아 권한을 얻도록 하는 방식입니다.

 

역할 기반 액세스의 주요 개념:

• IAM 역할(IAM Role):
  • AWS 리소스에 대한 권한을 정의하는 자격 증명입니다.
  • 사용자, 서비스, 애플리케이션 등이 역할을 맡아 권한을 얻을 수 있습니다.
  • 역할은 임시 보안 자격 증명을 제공하여 안전한 접근을 가능하게 합니다.
• 신뢰 주체(Trusted Entity):
  • 역할을 맡을 수 있는 주체를 의미합니다.
  • IAM 사용자, EC2 인스턴스, Lambda 함수, AWS 서비스 등이 신뢰 주체가 될 수 있습니다.
• 정책(Policy):
  • 역할에 연결하여 권한을 부여하는 JSON 문서입니다.
  • 정책은 특정 리소스에 대한 특정 작업을 허용하거나 거부하는 규칙을 정의합니다.

역할 기반 액세스의 작동 방식:

1. IAM 역할을 생성하고 필요한 권한을 정의하는 정책을 연결합니다.
2. 신뢰 주체(예: EC2 인스턴스)를 지정하여 역할을 맡을 수 있는 대상을 설정합니다.
3. 신뢰 주체가 역할을 맡으면 임시 보안 자격 증명을 얻습니다.
4. 신뢰 주체는 얻은 임시 자격 증명을 사용하여 AWS 리소스에 접근합니다.

역할 기반 액세스의 주요 장점:

• 보안 강화:
  • 장기적인 자격 증명을 사용하는 대신 임시 자격 증명을 사용하여 보안 위험을 줄입니다.
  • 최소 권한 원칙에 따라 필요한 권한만 부여하여 보안 위험을 줄입니다.
• 중앙 집중식 관리:
  • AWS 계정 내의 모든 역할과 권한을 중앙에서 관리할 수 있습니다.
  • 이를 통해 관리 효율성을 높이고 일관된 보안 정책을 적용할 수 있습니다.
• 유연성:
  • 다양한 시나리오에 맞는 세밀한 권한 관리를 지원합니다.
  • AWS 서비스 및 애플리케이션과의 통합을 통해 유연한 액세스 제어를 구현할 수 있습니다.
• 자격 증명 연동(Federation) 용이:
  • 외부 자격 증명 시스템(예: Active Directory)과의 연동을 통해 사용자를 관리할 수 있습니다.
  • 이를 통해 기업 사용자가 기존 자격 증명으로 AWS 리소스에 액세스할 수 있습니다.

역할 기반 액세스의 주요 활용 사례:

• EC2 인스턴스에 권한 부여:
  • EC2 인스턴스에서 실행되는 애플리케이션이 S3 버킷에 접근해야 하는 경우, EC2 인스턴스에 역할을 연결하여 권한을 부여할 수 있습니다.
• Lambda 함수에 권한 부여:
  • Lambda 함수가 DynamoDB 테이블에 접근해야 하는 경우, Lambda 함수에 역할을 연결하여 권한을 부여할 수 있습니다.
• AWS 서비스 간 권한 위임:
  • AWS 서비스가 다른 AWS 서비스에 접근해야 하는 경우, 역할을 사용하여 권한을 위임할 수 있습니다.
• 외부 자격 증명 시스템과의 연동:
  • 기업 사용자가 기존 자격 증명으로 AWS 리소스에 접근해야 하는 경우, 역할을 사용하여 자격 증명을 연동할 수 있습니다.

역할 기반 액세스의 핵심 이점:

• 보안 향상: 임시 자격 증명을 사용하여 장기적인 자격 증명 노출 위험을 줄입니다.
• 편리한 관리: 중앙 집중식 관리로 권한 관리를 효율적으로 수행합니다.
• 유연성: 다양한 AWS 서비스 및 애플리케이션에 적용 가능합니다.
• 규정 준수: 최소 권한 원칙 준수로 규정 준수 요구 사항을 충족합니다.

AWS IAM 역할을 이용한 역할 기반 접근 제어는 AWS 클라우드 환경에서 안전하고 효율적인 권한 관리를 위한 핵심 요소입니다.