AWS Resource Access Manager란 무엇인가요? - AWS Resource Access Manager
동영상 개요의 이점 AWS RAM리소스 공유 작동 방식액세스 AWS RAM요금 AWS RAM규정 준수 및 국제 표준

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Resource Access Manager란 무엇인가요?

AWS Resource Access Manager (AWS RAM)를 사용하면 지원되는 리소스 유형에 대해 조직 또는 조직 단위(OUs) AWS 계정및 AWS Identity and Access Management (IAM) 역할 및 사용자 간에 리소스를 안전하게 공유할 수 있습니다. 여러 개가 있는 경우 리소스를 한 번 생성하고 AWS RAM 를 사용하여 해당 리소스를 다른 계정에서 사용할 수 있도록 할 AWS 계정수 있습니다. 에서 계정을 관리하는 경우 조직의 다른 모든 계정 또는 하나 이상의 지정된 조직 단위(OU)에 포함된 계정과만 리소스를 공유할 AWS Organizations수 있습니다.OUs 또한 계정이 조직의 일부인지 여부에 관계없이 계정 ID AWS 계정 별로 특정와 공유할 수 있습니다. 지원되는 일부 리소스 유형은 지정된 IAM 역할 및 사용자와 공유할 수도 있습니다.

동영상 개요

다음 비디오에서는에 대한 간략한 소개 AWS RAM 를 제공하고 리소스 공유를 생성하는 방법을 설명합니다. 자세한 내용은 에서 리소스 공유 생성 AWS RAM 단원을 참조하십시오.

다음 동영상에서는 AWS 리소스에 AWS 관리형 권한을 적용하는 방법을 보여줍니다. 자세한 내용은 에서 권한 관리 AWS RAM 단원을 참조하십시오.

이 동영상에서는 최소 권한 모범 사례에 따라 고객 관리형 권한을 작성하고 연결하는 방법을 보여줍니다. 자세한 내용은 에서 고객 관리형 권한 생성 및 사용 AWS RAM 단원을 참조하십시오.

의 이점 AWS RAM

를 사용하는 이유는 AWS RAM무엇입니까? 다음과 같은 이점을 제공합니다.

  • 운영 오버헤드 감소 - 리소스를 한 번 생성한 다음 AWS RAM 를 사용하여 해당 리소스를 다른 계정과 공유합니다. 그러면 모든 계정에서 중복된 리소스를 프로비저닝할 필요가 없으므로 운영 오버헤드가 줄어듭니다. 리소스를 소유한 계정 내에서는 자격 증명 기반 권한 정책을 사용하지 않고도 해당 계정의 모든 역할 및 사용자에게 액세스 권한을 부여하는 AWS RAM 것을 간소화합니다.

  • 보안 및 일관성 제공 - 하나의 정책 및 권한 세트를 사용하여 공유 리소스에 대한 보안 관리를 간소화할 수 있습니다. 모든 개별 계정에 중복 리소스를 생성한다면 동일한 정책과 권한을 구현한 다음 모든 계정에서 동일하게 유지해야 하는 작업이 필요합니다. 대신 AWS RAM 리소스 공유의 모든 사용자는 단일 정책 및 권한 집합으로 관리됩니다.는 다양한 유형의 AWS 리소스를 공유할 수 있는 일관된 환경을 AWS RAM 제공합니다.

  • 가시성 및 감사 가능성 제공 - AWS RAM 를 Amazon CloudWatch와 통합하여 공유 리소스의 사용 세부 정보를 봅니다 AWS CloudTrail.는 공유 리소스 및 계정에 대한 포괄적인 가시성을 AWS RAM 제공합니다.

리소스 기반 정책을 사용한 크로스 계정 액세스

외부에서 AWS Identity and Access Management (IAM) 보안 주체(IAM 역할 및 사용자)를 식별하는 리소스 기반 정책을 AWS 계정 연결하여 일부 유형의 AWS 리소스를 다른와 공유할 수 있습니다 AWS 계정. 그러나 정책을 연결하여 리소스를 공유해도가 AWS RAM 제공하는 추가 이점을 활용하지는 않습니다. 를 사용하면 다음과 같은 기능을 얻을 수 AWS RAM 있습니다.

  • ID를 모두 열거하지 않고도 조직 또는 조직 단위(OU)와 공유할 수 AWS 계정 IDs.

  • 사용자는 마치 해당 리소스가 사용자 계정에 직접 있는 것처럼 원래 AWS 서비스 콘솔 및 API 작업에서 직접 공유된 리소스를 볼 수 있습니다. 예를 들어 AWS RAM 를 사용하여 Amazon VPC 서브넷을 다른 계정과 공유하는 경우 해당 계정의 사용자는 Amazon VPC 콘솔과 해당 계정에서 수행된 Amazon VPC API 작업의 결과에서 서브넷을 볼 수 있습니다. 리소스 기반 정책을 연결하여 공유한 리소스는 이러한 방식으로 표시되지 않으며, 대신 해당 Amazon 리소스 이름(ARN)으로 리소스를 검색하고 명시적으로 참조해야 합니다.

  • 리소스 소유자는 자신이 공유한 각 개별 리소스에 액세스할 수 있는 보안 주체를 확인할 수 있습니다.

  • 조직의 일부가 아닌 계정과 리소스를 공유하는 경우는 초대 프로세스를 AWS RAM 시작합니다. 수신자가 초대를 수락해야 보안 주체가 공유 리소스에 액세스할 수 있습니다. 조직 내 공유 기능을 활성화하면 조직 내 계정과 공유할 때 초대가 필요하지 않습니다.

리소스 기반 권한 정책을 사용하여 공유한 리소스가 있는 경우 다음 중 하나를 수행하여 해당 리소스를 완전 AWS RAM 관리형 리소스로 승격할 수 있습니다.

리소스 공유 작동 방식

소유 계정의 리소스를 AWS 계정소비 계정인 다른 계정과 공유하면 소비 계정의 보안 주체에게 공유 리소스에 대한 액세스 권한을 부여하게 됩니다. 소비 계정의 역할 및 사용자에게 적용되는 모든 정책 및 권한이 공유 리소스에도 적용됩니다. 공유의 리소스는 AWS 계정 공유한의 네이티브 리소스처럼 보입니다.

글로벌 리소스와 리전 리소스를 모두 공유할 수 있습니다. 자세한 내용은 글로벌 리소스와 리전 리소스를 비교하여 공유 단원을 참조하십시오.

리소스 공유

AWS RAM를 사용하면 리소스 공유를 생성하여 소유한 리소스를 공유할 수 있습니다. 리소스 공유를 생성하려면 다음을 지정합니다.

  • 리소스 공유를 생성하려는 AWS 리전 입니다. 콘솔의 오른쪽 상단 모서리에 있는 리전 드롭다운 메뉴에서 리전을 선택합니다. 에서는 --region 파라미터를 AWS CLI사용합니다.

    • 리소스 공유에는 리소스 공유와 동일한 AWS 리전 에 있는 리전 리소스만 포함될 수 있습니다.

    • 리소스 공유가 글로벌 리소스의 지정된 홈 리전인 미국 동부(버지니아 북부), us-east-1에 있는 경우에만 리소스 공유에 글로벌 리소스가 포함될 수 있습니다.

  • 리소스 공유의 이름

  • 이 리소스 공유의 일부로 액세스 권한을 부여하려는 리소스 목록

  • 리소스 공유에 대한 액세스 권한을 부여할 보안 주체. 보안 주체는 개인 AWS 계정, 조직의 계정 또는 조직의 조직 단위(OU) AWS Organizations또는 개인 AWS Identity and Access Management (IAM) 역할 또는 사용자일 수 있습니다.

    참고

    모든 리소스 유형을 IAM 역할 및 사용자와 공유할 수 있는 것은 아닙니다. 이러한 보안 주체와 공유할 수 있는 리소스에 대한 자세한 내용은 공유 가능한 AWS 리소스 섹션을 참조하세요.

  • 리소스 공유에 포함된 각 리소스 유형과 연결할 관리형 권한. 관리형 권한에 따라 다른 계정의 주체가 리소스 공유에 있는 리소스로 수행할 수 있는 작업이 결정됩니다.

    권한의 동작은 보안 주체 유형에 따라 다릅니다.

    • 보안 주체가 리소스를 소유한 계정과 다른 계정에 있는 경우 리소스 공유에 연결된 권한이 해당 계정의 역할 및 사용자에게 부여할 수 있는 최대 권한입니다. 그런 다음 해당 계정의 관리자는 IAM 자격 증명 기반 정책을 사용하여 공유 리소스에 대한 액세스 권한을 개별 역할 및 사용자에게 부여해야 합니다. 이러한 정책에서 부여되는 권한은 리소스 공유에 연결된 권한에 정의된 권한을 초과할 수 없습니다.

리소스 소유 계정은 공유하는 리소스에 대한 전체 소유권을 보유합니다.

공유 리소스 사용

리소스 소유자가 내 계정과 리소스를 공유하면 내 계정이 리소스를 소유한 것처럼 공유 리소스에 액세스할 수 있습니다. 관련 서비스의 콘솔, AWS CLI 명령 및 API 작업을 사용하여 리소스에 액세스할 수 있습니다. 계정의 보안 주체가 수행할 수 있는 API 작업은 리소스 유형에 따라 다르며, 리소스 공유에 연결된 AWS RAM 권한으로 지정됩니다. 계정에 구성된 모든 IAM 정책 및 서비스 제어 정책도 계속 적용되므로 보안 및 거버넌스 제어에 대한 기존 투자를 활용할 수 있습니다.

해당 리소스의 서비스를 사용하여 공유 리소스에 액세스할 때 리소스를 소유 AWS 계정 한와 동일한 기능과 제한이 있습니다.

  • 리전 리소스인 경우, 소유 계정의 리소스가 있는 AWS 리전 에서만 액세스할 수 있습니다.

  • 글로벌 리소스인 경우, 리소스의 서비스 콘솔 및 도구가 지원하는 모든 AWS 리전 에서 리소스에 액세스할 수 있습니다. 지정된 홈 리전인 미국 동부(버지니아 북부) 에서만 AWS RAM 콘솔 및 도구에서 리소스 공유 및 해당 글로벌 리소스를 보고 관리할 수 있습니다us-east-1.

액세스 AWS RAM

다음 방법 중 하나로 AWS RAM 를 사용할 수 있습니다.

AWS RAM 콘솔

AWS RAM 는 웹 기반 사용자 인터페이스인 AWS RAM 콘솔을 제공합니다. 에 가입한 경우 AWS 계정에 로그인AWS Management Console하고 AWS RAM 콘솔 홈 페이지에서를 선택하여 콘솔 AWS RAM 에 액세스할 수 있습니다.

브라우저에서 직접 AWS RAM 콘솔로 이동할 수도 있습니다. 아직 로그인하지 않은 경우 콘솔이 표시되기 전에 로그인하라는 메시지가 표시됩니다.

AWS CLI 및 Windows PowerShell용 도구

AWS CLI 및는 AWS RAM 퍼블릭 API 작업에 대한 직접 액세스를 AWS Tools for PowerShell 제공합니다.는 Windows, macOS및에서 이러한 도구를 AWS 지원합니다Linux. 시작하기에 대한 자세한 내용은 AWS Command Line Interface 사용 설명서 또는 AWS Tools for Windows PowerShell 사용 설명서를 참조하세요. 명령에 대한 자세한 내용은 AWS CLI 명령 참조 또는 AWS Tools for Windows PowerShell Cmdlet 참조를 AWS RAM참조하세요.

AWS SDKs

AWS 는 광범위한 프로그래밍 언어에 대한 API 명령을 제공합니다. 시작하기에 대한 자세한 내용은 AWS SDK 및 도구 참조 안내서를 참조하세요.

Query API

지원되는 프로그래밍 언어 중 하나를 사용하지 않는 경우 AWS RAM HTTPS 쿼리 API를 사용하면 AWS RAM 및에 프로그래밍 방식으로 액세스할 수 있습니다 AWS. AWS RAM API를 사용하면 서비스에 직접 HTTPS 요청을 실행할 수 있습니다. AWS RAM API를 사용할 때는 자격 증명을 사용하여 요청에 디지털 방식으로 서명하는 코드를 포함해야 합니다. 자세한 내용은 AWS RAM API 참조를 참조하세요.

요금 AWS RAM

AWS RAM 리소스 공유를 생성하고 계정 간에 리소스를 공유하는 데 또는를 사용하면 추가 요금이 부과되지 않습니다. 리소스 사용 요금은 리소스 유형에 따라 다릅니다. 에서 공유 가능한 리소스를 AWS 청구하는 방법에 대한 자세한 내용은 리소스 소유 서비스에 대한 설명서를 참조하세요.

규정 준수 및 국제 표준

PCI DSS

AWS RAM 는 가맹점 또는 서비스 공급자가 신용 카드 데이터를 처리, 저장 및 전송할 수 있도록 지원하며 결제 카드 산업(PCI) 데이터 보안 표준(DSS)을 준수하는 것으로 검증되었습니다.

AWS  PCI 규정 준수 패키지의 사본을 요청하는 방법 등 PCI DSS에 대해 자세히 알아보려면 PCI DSS 레벨 1을 참조하세요.

FedRAMP

AWS RAM 는 AWS 리전미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(캘리포니아 북부) 및 미국 서부(오레곤)에서 FedRAMP Moderate로 승인되었습니다.

AWS RAM 는 AWS 리전 AWS GovCloud(미국 서부) 및 AWS GovCloud(미국 동부)에서 FedRAMP High로 인증됩니다.

연방정부 위험 및 권한 부여 관리 프로그램(FedRAMP)은 클라우드 제품 및 서비스의 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 정부 차원의 프로그램입니다.

FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP을 참조하세요.

SOC 및 ISO

AWS RAM 는 서비스 조직 제어(SOC) 규정 준수 및 ISO(International Organization for Standardization) ISO 9001, ISO 27001, ISO 27017, ISO 27018 및 ISO 27701 표준이 적용되는 워크로드에 사용할 수 있습니다. 금융, 의료 및 기타 규제 대상 부문의 고객은 고객 데이터를 보호하는 보안 프로세스 및 제어에 대한 인사이트를 얻을 수 있으며, 이 인사이트는 SOC 보고서와 AWS ISO 및 CSA STAR 인증서를 통해 AWS Artifact에서 확인할 수 있습니다.

SOC 규정 준수에 대한 자세한 내용은 SOC 섹션을 참조하세요.

ISO 규정 준수에 대한 자세한 내용은 ISO 9001, ISO 27001, ISO 27017, ISO 27018, ISO 27701을 참조하세요.