<1> AWS규정 준수 AWS Artifact
<2> AWS Root 사용자가 할수 있는것들
<3> 권한은 그룹으로 관리하라
<4> 접근 통제 방법, 주체와 객체
<5> 인증, 권한 , 책임 추적성
<6> 서비스 사용을 하려면 권한 (Authorize)이 필요하다.
<7> 암호화
<8> KMS 란?
<1> AWS규정 준수 AWS Artifact
AWS규정 준수 보고서를 온디맨드 방식으로 액세스 할 수 있도록 무료로 제공되는 포털 서비스
1
이용사례 ?
금융서비스에 대해 AWS물리적 보안 확인서를 제출해야 할때 ,
AWS Artifact 를 이용 ISMS인증서 다운로드 후 제출
물리적 보안은 AWS에서 ISMS받을시 물리적 보안 확인한것으로 대체한다.
문서 다운로드 받아 보는 법이 독특해서 절차를 적는다.
반드시 아래대로 해야 문서를 볼수 있다.
2
Console로 로그인후 > Artifact 서비스 > 보고서 >ISMS 검색하면 AWS에서 ISMS 인증 받은 파일 다운로드가 가능하다.
NDA 수락후 다운로드
3
반드시 아크로벳 리더로 읽어야 한다.
4
왼쪽 클립 클릭
출처:
AWS 아티펙트 리포트 여는법
How To Open AWS Artifact Reports - Amazon Web Services (AWS)
5
문서가 나오면 반드시 더블클릭
6
확인
<2> AWS Root 사용자가 할수 있는것들
1
서비스 종료등 모든 권한을 가진다.
따라서, 가능한 사용하지 말자.
root 사용자가 할수 있는것들 ?
https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root
계정 설정 변경 가능, root user password ,root access key (절대 생성 금지)
특정 세금 계산서 보기 , 유럽 VAT 인보이스 볼수 있다.
AWS Acccount 계정 닫기
IAM user 권한 복구
AWS 지원 Plan 변경 - basic , developer , business , enterprise
예약 인스턴스 Marketplace 에서 Seller 등록
S3 버킷에 MFA Delete 활성화 설정
잘못된 VPC ID or VPC 엔드포인트 ID를 포함하는 S3버킷정책 을 편집하거나 또는 삭제
2
AWS권고는 IAM user를 만들어 사용한다.
IAM User에 admin권한을 제공하여 관리하도록 한다.
<3> 권한은 그룹으로 관리하라
1
그룹으로 관리한다.
일반적으로 admin , dev 그룹을 만들고 사용자를 넣고, 그룹에 권한을 준다.
2
그룹은 10개의 권한 까지만 줄수 있다.
10개 이상은 하드웨어 제한으로 증가가 불가하다.
그래서, dev 그룹일경우 dev2 를 만들고 사용자를 dev2에도 동일하게 권한을 준다.
이경우 그룹이 2개가 되어, 권한을 20개까지 줄수 있다. S3 , EC2 권한 등
<4> 접근 통제 방법, 주체와 객체
1
주체 -----------> 객체
IAM S3
2
IAM 사용자가 S3에 접근하는 경우 ?
주체는 IAM 사용자
객체는 S3
3
접근 통제는 주체인 IAM사용자에게 권한을 줄수 있다.
접근 통제는 객체인 S3에도 줄수 있다. 리소스를 통해서도 권한을 줄수 있다.
S3에서 권한 제어 예
https://brunch.co.kr/@topasvga/682
<5> 인증, 권한 , 책임 추적성
1
인증 (Authenticate) - 로그인
2
권한 (Authorize) - 권한, 작업의 범위 세팅 Ec2를 사용가능, S3는 사용하지 않는다. 등
3
책임 추적성(Accountability, Audit)
4
인증 요소 ?
아이디/패스워드, PIN번호
ID카드, 하드웨어 토큰 , 전화, 스마트폰
5
콘솔, 액세스키 ?
콘솔 = 사용자 아이디 /패스워드
액세스 키
원격에서 CLI로 관리하게 해준다.
<6> 서비스 사용을 하려면 권한 (Authorize)이 필요하다.
1
권한 = 정책 (Policy ) = Permission
그룹에 사용할수 있는 AWS서비스에 대한 권한을 주는것이다.
2
사용자 기반 정책 - IAM , Policy
3
리소스 기반 정책 = 리소스에서 허용해주는것 정의.
4
IAM Role
EC2가 Access Key가 없더라도 리소스를 접근할수 있게 하는것.
임시로 권한을 제공하는것
<7> 암호화
1
전송중 암호화 -- HTTPS , SSH , SSL/TLS , VPN , Object
2
저장시 암호화 - Object 등
3
볼륨 암호화 - EBS 암호화, File System 암호화 , Martetplace
4
s3 객체 암호화 - S3 서버측 암호화 (SSE) , S3 서버측 암호화(고객 제공키) , 클라이언트측 암호화
데이터베이스 암호화 - RDS TDE
<8> KMS 란?
1
암호화키를 안전하게 생성/ 보관 /관리해주는 관리형 서비스.
2
데이터키를 가지고 암호화함.
마스터키로 데이터키를 암호화함.
3
데이터키를 관리하는 마스터키를 관리하는 서비스임.
https://brunch.co.kr/@topasvga/1162
감사합니다.