게시된 날짜: Apr 27, 2022
오늘 AWS Identity and Access Management(IAM)는 리소스가 포함된 AWS Organizations의 계정, 조직 단위(OU) 또는 조직을 기반으로 리소스에 대한 액세스를 제어할 수 있는 새로운 방법을 도입했습니다. AWS는 워크로드가 증가함에 따라 여러 계정을 설정하도록 권장합니다. 다중 계정 환경을 사용하면 특정 보안 요구 사항이 있는 워크로드 또는 애플리케이션을 격리하여 유연한 보안 제어를 할 수 있는 등 여러 이점이 있습니다. 이 새로운 IAM 기능을 사용하면 보안 주체가 특정 AWS 계정, OU 또는 조직 내의 리소스에만 액세스할 수 있도록 IAM 정책을 작성할 수 있습니다.
새로운 기능에는 aws:ResourceAccount, aws:ResourceOrgPaths, aws:ResourceOrgID라는 IAM 정책 언어에 대한 조건 키가 포함됩니다. 새로운 키는 다양한 AWS 서비스와 작업을 지원하므로 다양한 사용 사례에서 유사한 제어를 적용할 수 있습니다. 예를 들어, 이제 정책에 특정 IAM 역할을 나열할 필요 없이 IAM 보안 주체가 자체 AWS 계정 외부의 IAM 역할을 맡는 것을 쉽게 방지할 수 있습니다. 이를 수행하려면 aws:ResourceAccount가 고유한 AWS 계정 ID와 일치하지 않는 한 AWS Security Token Service(AWS STS) 역할 위임 작업에 대한 액세스를 거부하도록 IAM 정책을 구성하세요. 정책이 구성되면, 정책에 나열되지 않은 계정에 대해 AWS STS 요청이 이루어지는 경우 해당 액세스가 기본적으로 차단됩니다. 이 정책을 IAM 보안 주체에 연결하여 이 규칙을 단일 역할 또는 사용자에게 적용하거나 AWS Organizations의 서비스 제어 정책을 사용하여 AWS 계정 전체에 규칙을 적용할 수 있습니다.
새 조건 키에 대한 자세한 내용은 IAM 설명서를 참조하세요.