기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
속성 기반 액세스 제어
ABAC(속성 기반 액세스 제어)는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. IAM Identity Center를 사용하면 IAM Identity Center ID 소스에서 가져온 사용자 속성을 AWS 계정 사용하여 여러 AWS 리소스에 대한 액세스를 관리할 수 있습니다. AWS에서는 이러한 속성을 태그라고 합니다. 에서 사용자 속성을 태그로 AWS 사용하면 에서 세분화된 권한을 생성하는 프로세스를 간소화하고 직원이 일치하는 태그가 있는 AWS 리소스에만 액세스할 수 있습니다. AWS
예를 들어 서로 다른 두 팀에 속한 개발자 Bob과 Sally에게 IAM Identity Center에서 설정한 동일한 권한을 할당한 다음 액세스 제어를 위한 팀 이름 속성을 선택할 수 있습니다. Bob과 Sally가 로그인하면 IAM Identity Center가 AWS 세션에서 팀 이름 속성을 전송하므로 Bob과 Sally는 팀 이름 속성이 AWS 프로젝트 리소스의 팀 이름 태그와 일치하는 경우에만 프로젝트 리소스에 액세스할 수 있습니다. AWS 계정 Bob이 나중에 Sally의 팀으로 옮기는 경우 회사 디렉토리에서 팀 이름 속성을 업데이트하기만 하면 Bob의 액세스 권한을 수정할 수 있습니다. Bob은 다음 번에 로그인하면 AWS에서 권한을 업데이트할 필요 없이 새 팀의 프로젝트 리소스에 자동으로 액세스할 수 있게 됩니다.
또한 이 접근 방식은 이제 동일한 권한 집합에 연결된 사용자가 해당 속성에 따라 고유한 권한을 가질 수 있으므로 IAM Identity Center에서 생성하고 관리해야 하는 개별 권한의 수를 줄이는 데도 도움이 됩니다. IAM Identity Center 권한 집합 및 리소스 기반 정책에서 이러한 사용자 속성을 사용하여 AWS 리소스에 ABAC를 구현하고 규모에 맞게 권한 관리를 단순화할 수 있습니다.
이점
다음은 IAM Identity Center에서 ABAC를 사용할 때 얻을 수 있는 추가 이점입니다.
-
ABAC는 더 적은 수의 권한 집합 필요 – 각 직무에 대해 서로 다른 정책을 생성할 필요가 없기 때문에 생성해야 하는 권한 집합 수가 더 적습니다. 이렇게 하면 권한 관리의 복잡성이 줄어듭니다.
-
ABAC를 사용하면 팀이 빠르게 변화하고 성장할 수 있습니다 – 리소스를 생성할 때 적절한 태그가 지정되면 속성을 기반으로 새 리소스에 대한 권한이 자동으로 부여됩니다.
-
ABAC를 사용하여 회사 디렉터리의 직원 속성 사용 – IAM Identity Center에 구성된 모든 ID 소스의 기존 직원 속성을 사용하여 AWS에서 액세스 제어 결정을 내릴 수 있습니다.
-
리소스에 액세스하는 사용자 추적 — 보안 관리자는 에서 AWS CloudTrail 사용자 속성을 검토하여 세션의 사용자 활동을 추적함으로써 세션의 ID를 쉽게 확인할 수 있습니다. AWS
IAM Identity Center 콘솔을 사용하여 ABAC를 구성하는 방법에 대한 자세한 내용은 액세스 제어를 위한 속성 단원을 참조하세요. IAM ID 센터 API를 사용하여 ABAC를 활성화하고 구성하는 방법에 대한 자세한 내용은 IAM ID 센터 API 참조 안내서를 참조하십시오 CreateInstanceAccessControlAttributeConfiguration.
