IAM 세분화된 액세스 제어
개요
AWS Identity and Access Management(IAM)는 세분화된 액세스 제어를 제공하여 누가 어떤 조건에서 어떤 AWS 리소스에 액세스할 수 있는지 결정하는 권한을 설정할 수 있도록 지원합니다. 세분화된 액세스 제어를 사용하면 최소 권한을 얻기 위한 여정에서 AWS 리소스를 보호하는 데 도움이 됩니다.
작동 방식
작동 방식: IAM에서 정책을 사용하여 누가 AWS 리소스에 액세스할 수 있는지 정의합니다. 정책을 AWS 계정의 IAM 역할 및 AWS 리소스에 연결합니다. AWS에 대한 각 요청에 대해 IAM은 정책과 비교하여 요청을 승인하고 요청을 허용 또는 거부합니다. 자세한 내용은 IAM 사용 설명서의 IAM 작동 방식 이해 섹션을 참조하세요.
IAM 정책 언어: JSON이라고 하는 IAM 정책 언어를 사용하면 정책에서 작업, 리소스, 조건 요소를 통해 액세스 요구 사항을 세분화하여 표현할 수 있습니다. 자세한 내용은 IAM JSON 정책 참조를 참조하세요.
액세스 권한을 부여하는 정책 유형: IAM은 정책을 IAM 역할과 리소스 기반 정책을 지원하는 AWS 리소스 모두에 연결할 수 있는 유연성을 제공합니다. 자격 증명 기반 정책과 리소스 기반 정책은 함께 작동하여 액세스 제어를 정의합니다. 정책 유형에 대한 자세한 내용은 IAM 사용 설명서의 IAM의 정책 및 권한 섹션을 참조하세요.
예방 가드레일: 예방 가드레일은 IAM 역할에 사용할 수 있는 최대 권한의 경계를 설정하는 데 도움이 됩니다. 서비스 제어 정책, 권한 경계, 세션 정책을 사용하여 IAM 역할에 부여할 수 있는 권한을 제한할 수 있습니다. 예방 가드레일 설정에 대한 자세한 내용은 AWS의 데이터 경계를 참조하세요.
속성 기반 액세스 제어(ABAC): ABAC를 사용하여 부서 및 직무 역할과 같은 IAM 역할에 연결된 속성을 기반으로 세분화된 권한을 정의합니다. 속성을 기반으로 개별 리소스에 대한 액세스 권한을 부여하면 향후 추가하는 각 새 리소스에 대한 정책을 업데이트할 필요가 없습니다. 자세한 내용은 ABAC for AWS를 참조하세요.
권한 관리 간소화에 대한 자세한 내용은 IAM Access Analyzer를 통한 최소 권한의 원칙 준수를 참조하세요. 또한 AWS identity: Next-generation permissions management를 시청하여 IAM의 세분화된 액세스 제어에 대해 알아보세요.