다른 역할이 생성할 수 있는 역할과 정책의 종류를 제한하는 방법이 AWS에 있습니까?
AccountAdmin
내 설정에는 두 가지 종류의 관리자 역할, 즉 및 가 있습니다 InfraAdmin
. AccountAdmin
더 많은 권한을 갖고 있으면서도 일상적인 작업을 실행하는 데 필요한 권한 집합만 갖고 있는 것 입니다 InfraAdmin
.
이제 역할에 EC2 인스턴스, RDS 데이터베이스 및 S3 버킷이 있는 번들을 생성할 권한이 필요한 상황이 생겼습니다 InfraAdmin
(주요 사항에 집중할 수 있도록 약간 단순화된 설명). 이들은 함께 논리적 단일 서비스를 형성하며 다른 RDS 데이터베이스 또는 S3 버킷에 액세스할 수 없는 이러한 번들이 여러 개 있습니다. EC2 인스턴스가 RDS 데이터베이스 및 S3 버킷에 액세스할 수 있도록 인스턴스 프로필, 역할 및 정책을 생성하고 있습니다. 현재 이 작업을 수행하려면 역할과 정책을 만들 수 있는 권한을 부여해야 하며 InfraAdmin
이는 최소 권한 원칙과 권한 분할 원칙을 파괴 AccountAdmin
하고 InfraAdmin
무의미해집니다.
InfraAdmin
역할이 자체에 추가 권한을 부여하거나 보다 강력한 새 역할을 생성하는 데 사용될 수 없도록 역할이 생성할 수 있는 정책 및 역할의 종류를 제한하는 방법이 있습니까 ?
답변1
예. AWS Organizations를 사용하면 조직의 모든 AWS 계정에 적용되는 규칙과 정책을 설정할 수 있는 정책 기반 거버넌스 프레임워크를 설정할 수 있습니다. 이를 통해 InfraAdmin 역할이 사용할 수 있는 서비스와 작업을 제어하고 생성할 수 있는 정책과 역할을 제한할 수 있습니다.
이렇게 하려면 먼저 InfraAdmin 역할에 대한 조직 단위(OU)를 생성한 다음 InfraAdmin 역할이 사용할 수 있는 서비스 및 작업을 지정하는 서비스 제어 정책(SCP)을 해당 OU에 연결해야 합니다. 그런 다음 AWS Identity and Access Management(IAM)를 사용하여 InfraAdmin 역할이 생성할 수 있는 정책과 역할을 정의하고 해당 정책을 InfraAdmin 역할에 연결할 수 있습니다.
예를 들어 InfraAdmin 역할이 EC2, RDS 및 S3 서비스만 사용하도록 허용하는 SCP를 생성하고 해당 서비스에서 수행할 수 있는 작업을 번들 생성 및 관리에 필요한 작업으로만 제한할 수 있습니다. 설명했습니다. 그런 다음 IAM을 사용하여 InfraAdmin 역할이 해당 서비스에 대한 인스턴스 프로필, 역할 및 정책을 생성 및 관리하고 해당 정책을 InfraAdmin 역할에 연결할 수 있도록 허용하는 정책을 생성할 수 있습니다. 이를 통해 InfraAdmin 역할은 자신에게 추가 권한을 부여하거나 보다 강력한 새 역할을 생성하는 기능을 제공하지 않고도 번들에 필요한 리소스를 생성할 수 있습니다.
전반적으로 이러한 방식으로 AWS Organizations와 IAM을 사용하면 AWS 계정 및 리소스에 대해 보다 세밀하고 안전한 액세스 제어 시스템을 설정할 수 있습니다.