SEC02-BP06 사용자 그룹 및 속성 사용 - AWS Well-Architected 프레임워크
구현 지침리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SEC02-BP06 사용자 그룹 및 속성 사용

사용자 그룹 및 속성에 따라 권한을 정의하면 정책의 수와 복잡성을 줄여 최소 권한 원칙을 보다 간단하게 구현할 수 있습니다.  사용자 그룹을 사용하여 조직에서 수행하는 기능에 따라 한 곳에서 여러 사용자의 권한을 관리할 수 있습니다.  부서 또는 위치와 같은 속성은 사용자가 유사한 기능을 수행하는 리소스의 다른 하위 세트에 대해 권한 범위 계층을 추가로 제공할 수 있습니다.

원하는 성과: 기능에 따른 권한 변경 사항을 해당 기능을 수행하는 모든 사용자에게 적용할 수 있습니다.  그룹 멤버십과 속성은 사용자 권한을 관리하므로, 개별 사용자 수준에서 권한을 관리할 필요가 줄어듭니다.  ID 제공업체(idP)에서 정의한 그룹 및 속성은 AWS 환경에 자동으로 전파됩니다.

일반적인 안티 패턴:

  • 개별 사용자의 권한을 관리하고 여러 사용자에 걸쳐 복제합니다.

  • 지나치게 개괄적으로 그룹을 정의하여 너무 광범위한 권한을 부여합니다.

  • 그룹을 너무 세밀하게 정의하여 멤버십에 대한 중복과 혼란을 야기합니다.

  • 속성을 대신 사용할 수 있는 경우 리소스의 하위 세트에서 권한이 중복된 그룹을 사용합니다.

  • AWS 환경에 통합되어 있는 표준화된 ID 제공업체를 통해 그룹, 속성 및 멤버십을 관리하지 않습니다.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 중간

구현 가이드

AWS 권한은 사용자, 그룹, 역할 또는 리소스와 같은 보안 주체에 연결된 정책이라고 하는 문서에 정의됩니다.  직원의 경우 액세스 중인 리소스가 아닌 조직에서 사용자가 수행하는 기능을 기반으로 그룹을 정의할 수 있습니다. 예를 들어 WebAppDeveloper 그룹에 개발 계정 CloudFront 내에서 Amazon과 같은 서비스를 구성하기 위한 정책이 연결되어 있을 수 있습니다. AutomationDeveloper 그룹에는 WebAppDeveloper 그룹과 공통된 일부 CloudFront 권한이 있을 수 있습니다. 두 기능을 수행하는 사용자가 모두 CloudFrontAccess 그룹에 속하도록 하는 대신 이러한 권한을 별도의 정책으로 캡처하여 두 그룹에 연결할 수 있습니다.

그룹 외에도 속성을 사용하여 액세스 범위를 확대할 수 있습니다. 예를 들어, WebAppDeveloper 그룹의 사용자에 대해 Project 속성을 지정하여 프로젝트 관련 리소스에 대한 액세스 범위를 설정할 수 있습니다.  이 기술을 사용하면 권한이 동일할 경우 상이한 프로젝트에서 작업하는 애플리케이션 개발자용 그룹을 서로 다르게 만들 필요가 없습니다.  권한 정책에서 속성을 참조하는 방법은 페더레이션 프로토콜(예: , OIDC또는 SCIM)의 일부로 정의되었는지SAML, 사용자 지정 SAML어설션으로 정의되었는지 또는 IAM Identity Center 내에서 설정되었는지 여부에 관계없이 해당 소스를 기반으로 합니다.

구현 단계

  1. 그룹 및 속성을 정의할 위치를 설정합니다.

    1. 의 지침에 따라 자격 증명 공급자 내SEC02-BP04 중앙 집중식 자격 증명 공급자 신뢰, IAM 자격 증명 센터 내 또는 특정 계정의 IAM 사용자 그룹을 사용하여 그룹 및 속성을 정의할지 여부를 결정할 수 있습니다.

  2. 그룹을 정의합니다.

    1. 기능 및 필요한 액세스 범위를 기준으로 그룹을 결정합니다. 

    2. IAM Identity Center에서 를 정의하는 경우 그룹을 생성하고 권한 세트를 사용하여 원하는 액세스 수준을 연결합니다.

    3. 외부 자격 증명 공급자 내에서 를 정의하는 경우 공급자가 SCIM 프로토콜을 지원하는지 확인하고 IAM Identity Center에서 자동 프로비저닝 활성화를 고려합니다.  이 기능은 공급자와 IAM Identity Center 간의 그룹 생성, 멤버십 및 삭제를 동기화합니다.

  3. 속성 정의

    1. 외부 자격 증명 공급자를 사용하는 경우 SCIM 및 SAML 2.0 프로토콜 모두 기본적으로 특정 속성을 제공합니다.  속성 이름을 사용하여 어SAML설션을 사용하여 추가 https://aws.amazon.com/SAML/Attributes/PrincipalTag속성을 정의하고 전달할 수 있습니다.

    2. IAM Identity Center에서 를 정의하는 경우 속성 기반 액세스 제어(ABAC) 기능을 활성화하고 원하는 대로 속성을 정의합니다.

  4. 그룹 및 속성을 기반으로 권한 범위를 지정합니다.

    1. 권한 정책에 보안 주체의 속성을 액세스 중인 리소스의 속성과 비교하는 조건을 포함하는 것을 고려해 보세요.  예를 들어 PrincipalTag 조건 키의 값이 같은 이름의 ResourceTag 키 값과 일치하는 경우에만 리소스에 대한 액세스를 허용하도록 조건을 정의할 수 있습니다.

리소스

관련 모범 사례:

관련 문서:

관련 비디오: