brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Dec 12. 2020

524. AWS 보안, AWS Artifact

<1>  AWS규정 준수 AWS Artifact 

<2>  AWS  Root 사용자가 할수 있는것들

<3>  권한은 그룹으로 관리하라

<4>  접근 통제 방법, 주체와 객체

<5>  인증, 권한 , 책임 추적성

<6>  서비스 사용을 하려면 권한 (Authorize)이 필요하다.

<7>  암호화

<8>  KMS 란?




<1>  AWS규정 준수 AWS Artifact 


AWS규정 준수 보고서를 온디맨드 방식으로 액세스 할 수 있도록 무료로 제공되는 포털 서비스


1

이용사례 ?

금융서비스에 대해 AWS물리적 보안 확인서를 제출해야 할때 , 

AWS Artifact 를 이용  ISMS인증서 다운로드 후 제출

물리적 보안은 AWS에서 ISMS받을시 물리적 보안  확인한것으로 대체한다.


문서 다운로드 받아 보는 법이 독특해서 절차를 적는다.

반드시 아래대로 해야 문서를 볼수 있다.


2

Console로 로그인후  > Artifact 서비스 > 보고서  >ISMS  검색하면  AWS에서 ISMS 인증 받은 파일 다운로드가 가능하다.

NDA 수락후 다운로드 


3

반드시 아크로벳 리더로 읽어야 한다.


4

왼쪽 클립 클릭

출처: 

AWS 아티펙트 리포트 여는법 

How To Open AWS Artifact Reports - Amazon Web Services (AWS)



5

문서가 나오면 반드시 더블클릭


6

확인



<2>  AWS  Root 사용자가 할수 있는것들


1

서비스 종료등 모든  권한을 가진다.

따라서, 가능한 사용하지 말자.


root 사용자가  할수 있는것들 ?

https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root


계정 설정 변경 가능, root user password  ,root access key (절대 생성 금지)

특정 세금 계산서 보기 , 유럽 VAT 인보이스 볼수 있다.

AWS Acccount 계정 닫기

IAM user 권한 복구

AWS 지원 Plan 변경 - basic , developer , business , enterprise

예약 인스턴스 Marketplace 에서  Seller 등록 

S3 버킷에 MFA Delete  활성화 설정

잘못된  VPC ID  or VPC 엔드포인트 ID를 포함하는 S3버킷정책 을 편집하거나  또는 삭제 



2

AWS권고는  IAM user를 만들어 사용한다.

IAM User에 admin권한을 제공하여 관리하도록 한다.




<3>  권한은 그룹으로 관리하라


1

그룹으로 관리한다.

일반적으로 admin , dev 그룹을 만들고 사용자를 넣고, 그룹에 권한을 준다.


2

그룹은 10개의 권한 까지만 줄수 있다.

10개 이상은 하드웨어 제한으로 증가가 불가하다.

그래서, dev 그룹일경우  dev2  를 만들고 사용자를 dev2에도 동일하게 권한을 준다.

이경우 그룹이 2개가 되어, 권한을 20개까지 줄수 있다. S3 , EC2 권한 등




<4> 접근 통제 방법, 주체와 객체


1

주체 -----------> 객체

IAM                        S3


2

IAM 사용자가 S3에 접근하는 경우 ?

주체는 IAM 사용자

객체는 S3


3

접근 통제는 주체인 IAM사용자에게 권한을 줄수 있다.

접근 통제는 객체인 S3에도 줄수 있다.  리소스를 통해서도 권한을 줄수 있다.


S3에서  권한 제어 예

https://brunch.co.kr/@topasvga/682



<5>  인증, 권한 , 책임 추적성


1

인증 (Authenticate)  - 로그인


2

권한 (Authorize) - 권한, 작업의 범위 세팅  Ec2를 사용가능, S3는 사용하지 않는다. 등


3

책임 추적성(Accountability, Audit)



4

인증 요소 ?

아이디/패스워드, PIN번호

ID카드, 하드웨어 토큰 , 전화, 스마트폰


5

콘솔, 액세스키 ?


콘솔 = 사용자 아이디 /패스워드


액세스 키 

원격에서 CLI로 관리하게 해준다.




<6>  서비스 사용을 하려면 권한 (Authorize)이 필요하다.


1

권한 = 정책 (Policy ) = Permission 

그룹에 사용할수 있는 AWS서비스에 대한 권한을 주는것이다.


2

사용자 기반 정책 - IAM , Policy


3

리소스 기반 정책 = 리소스에서 허용해주는것  정의.


4

IAM Role

EC2가 Access Key가 없더라도 리소스를 접근할수 있게 하는것.

임시로 권한을 제공하는것



<7> 암호화


1

전송중 암호화 -- HTTPS , SSH , SSL/TLS , VPN , Object


2

저장시 암호화  - Object 등


3

볼륨 암호화 - EBS 암호화,  File System 암호화 , Martetplace 


4

s3 객체 암호화 - S3 서버측 암호화 (SSE) , S3 서버측 암호화(고객 제공키) , 클라이언트측 암호화

데이터베이스 암호화 - RDS TDE 



<8>  KMS 란?


1

암호화키를 안전하게 생성/ 보관 /관리해주는 관리형 서비스.


2

데이터키를 가지고 암호화함.

마스터키로 데이터키를 암호화함.


3

데이터키를 관리하는 마스터키를 관리하는 서비스임.


https://brunch.co.kr/@topasvga/1162



감사합니다.


매거진의 이전글 523. AWS Reachability Analyzer
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari