세분화된 액세스 제어
권한을 사용하여 AWS 서비스 및 리소스에 대한 액세스 권한을 지정하고 제어할 수 있습니다. IAM 역할에 권한을 부여하려면 액세스 유형, 수행할 수 있는 작업, 작업을 수행할 수 있는 리소스를 지정하는 정책을 연결하면 됩니다.
IAM 정책을 사용하여 특정 AWS 서비스 API 및 리소스에 대한 액세스 권한을 부여할 수 있습니다. 또한 특정 AWS 조직의 자격 증명에 액세스 권한을 부여하거나 특정 AWS 서비스를 통한 액세스 권한을 부여하는 것과 같이 액세스 권한이 부여되는 특정 조건을 정의할 수도 있습니다.
IAM 역할을 사용하여 액세스 권한 위임
IAM 역할을 사용하여 사용자 또는 AWS 서비스에 AWS 계정 내에서 작업할 수 있는 액세스 권한을 위임할 수 있습니다. 자격 증명 공급자 또는 AWS 서비스의 사용자는 역할을 수임하여 IAM 역할의 계정에서 AWS 요청을 수행하는 데 사용될 수 있는 임시 보안 자격 증명을 받습니다. 결과적으로 IAM 역할은 AWS 계정에서 작업을 수행해야 하는 사용자, 워크로드 및 AWS 서비스를 위한 단기 자격 증명을 사용할 수 있는 방법을 제공합니다.
IAM Access Analyzer
최소 권한을 달성하려면 요구 사항의 변화에 따라 적절하게 세분화된 권한을 부여하는 지속적인 주기를 거쳐야 합니다. IAM Access Analyzer는 권한을 설정, 확인 및 재정의할 때 권한 관리를 간소화하는 데 도움이 됩니다.
권한 가드 레일
AWS Organizations를 사용하면 서비스 제어 정책(SCP)을 사용하여 조직 계정의 모든 IAM 사용자 및 역할이 준수할 권한 가드 레일을 설정할 수 있습니다. SCP를 방금 시작했든 기존 SCP가 있든 IAM 액세스 어드바이저를 사용하면 AWS 조직 전체의 권한을 확실하게 제한하는 데 도움이 됩니다.
속성 기반 액세스 제어
속성 기반 액세스 제어(ABAC)는 부서, 직위 및 팀 이름과 같은 사용자 속성을 기반으로 세분화된 권한을 생성하는 데 사용할 수 있는 권한 부여 전략입니다. ABAC를 사용하면 AWS 계정에서 세분화된 제어를 생성하는 데 필요한 개별 권한의 수를 줄일 수 있습니다.
IAM 시작하기