기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
속성 기반 액세스 제어(ABAC)를 사용하여 보안 암호에 대한 액세스 제어
속성 기반 액세스 제어(ABAC)는 사용자, 데이터 또는 환경의 속성 또는 특성(예: 부서, 사업부 또는 권한 부여 결과에 영향을 미칠 수 있는 기타 요인)을 기준으로 권한을 정의하는 권한 부여 전략입니다. AWS에서는 이러한 속성을 태그라고 합니다.
태그를 사용하여 권한을 제어하면 빠르게 성장하는 환경에서 유용하며 정책 관리가 번거로운 상황에 도움이 됩니다. ABAC 규칙은 런타임 시 동적으로 평가되므로, 사용자의 애플리케이션 및 데이터에 대한 액세스 권한과 허용되는 작업 유형은 정책의 컨텍스트 요인에 따라 자동으로 변경됩니다. 예를 들어 사용자가 부서를 변경할 경우, 권한을 업데이트하거나 새 역할을 요청하지 않아도 액세스 권한이 자동으로 조정됩니다. 자세한 내용은 What is ABAC for AWS?, Define permissions to access secrets based on tags., Scale your authorization needs for Secrets Manager using ABAC with IAM Identity Center
예: 특정 태그가 있는 보안 암호에 대한 ID 액세스 허용
다음 정책은 키가 ServerName이고 값이 ServerABC인 태그가 포함된 보안 암호에 대해 DescribeSecret 액세스를 허용합니다. 이 정책을 ID에 연결하면 해당 ID는 계정 내에서 해당 태그가 있는 모든 보안 암호에 대한 권한을 갖습니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "secretsmanager:DescribeSecret", "Resource": "*", "Condition": { "StringEquals": { "secretsmanager:ResourceTag/ServerName": "ServerABC" } } } }
예: 보안 암호의 태그와 일치하는 태그를 사용하여 ID에 대해서만 액세스 허용
다음 정책은 ID의 AccessProjectAccessProjectGetSecretValue 액세스 권한을 갖도록 허용합니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "AWS": "123456789012" }, "Condition": { "StringEquals": { "aws:ResourceTag/AccessProject": "${ aws:PrincipalTag/AccessProject}" } }, "Action": "secretsmanager:GetSecretValue", "Resource": "*" } }
