AWS 계정과 리소스를 보호하기 위한 모범 사례는 무엇입니까?

AWS는 계정을 보호하는 데 도움이 되는 다양한 도구를 제공합니다. 그러나 이러한 조치는 대부분 기본적으로 활성화되어 있지 않으므로 이를 구현하기 위해 직접적인 조치를 취해야 합니다. 다음은 계정과 리소스를 보호할 때 고려해야 할 몇 가지 모범 사례입니다.

암호 및 액세스 키 보호

계정에 액세스하는 데 사용되는 두 가지 주요 자격 증명 유형은 암호와 액세스 키입니다. 두 가지 유형의 자격 증명 모두 AWS 루트 사용자 계정 또는 개별 AWS Identity and Access Management(IAM) 사용자에게 적용될 수 있습니다. 다른 기밀 개인 데이터를 다룰 때처럼 안전하게 암호와 액세스 키를 보호해야 합니다. 공개적으로 액세스할 수 있는 코드(즉, 퍼블릭 Git 리포지토리)에는 절대 포함시키지 마십시오. 보안을 강화하려면 모든 보안 자격 증명을 자주 바꾸고 업데이트하십시오.

문서 또는 코드 버전 관리 및 공유에 GitHub를 사용하는 경우 AWS 자격 증명 및 기타 중요한 정보 검색이 가능한 git-secrets를 사용하는 것을 고려해 보십시오. git-secrets를 사용하면 민감한 정보가 포함된 코드나 문서의 커밋을 방지할 수 있습니다.

API 액세스만 있는 액세스 키를 보호하기 위해 Multi-Factor Authentication(MFA) 디바이스를 설정하십시오. 또한 MFA를 사용하면 MFA 토큰이 진행되도록 하는 API 명령을 세밀하게 조정하는 데 도움이 됩니다.

암호 또는 액세스 키 페어가 노출된 것으로 의심되는 경우에는 다음 작업을 수행하십시오.

  1. 모든 액세스 키 페어를 교체하십시오.
  2. 루트 사용자 암호를 변경하십시오.
  3. 내 AWS 계정이 해킹 당한 것 같습니다.의 지침을 따릅니다.

리소스에 대한 루트 사용자 액세스 제한

루트 사용자 계정 자격 증명(루트 암호 또는 루트 액세스 키)은 계정 및 해당 리소스에 대한 무제한 액세스를 허용하므로 루트 사용자의 계정 액세스를 보호하고 최소화하는 것이 가장 좋습니다.

계정에 대한 루트 사용자 액세스를 제한하려면 다음 전략을 고려하십시오.

  • 본인만 액세스하는 경우라도 계정에 대한 일일 액세스를 위해 IAM 사용자를 사용하십시오.
  • 루트 액세스 키 사용을 제거하십시오. 대신 IAM 액세스 키로 해당 키를 바꾼 다음, 루트 액세스 키를 삭제하십시오.
  • 계정의 루트 사용자를 위해 MFA 디바이스를 사용하십시오.

IAM 사용자 및 정책을 자주 감사

IAM 사용자와 작업할 때 다음 모범 사례를 고려하십시오.

  • IAM 사용자는 의도한 작업(최소 권한)을 수행할 수 있는 권한만 지니고 가장 제한적인 정책을 보유해야 합니다.
  • 각 작업 집합에 대해 서로 다른 IAM 사용자를 생성합니다.
  • 동일한 IAM 사용자와 여러 정책을 연결하는 경우 가장 제한이 적은 정책이 우선 적용되는 점에 유의하십시오.
  • IAM 사용자 및 해당 사용 권한을 자주 감사하고 사용하지 않는 IAM 사용자 또는 키를 모두 삭제하십시오.
  • IAM 사용자가 콘솔에 액세스해야 하는 경우 사용자 권한을 제한하면서 콘솔 액세스를 허용하는 암호를 설정할 수 있습니다.
  • 콘솔에 액세스할 수 있는 각 IAM 사용자에 대해 개별 MFA 디바이스를 설정합니다.

AWS Policy Generator를 사용하여 보안 정책을 정의할 수 있습니다. 일반적인 비즈니스 사용 사례와 이를 다루는 데 사용할 수 있는 정책에 대한 예시는 비즈니스 사용 사례를 참조하십시오.

계정 및 리소스 모니터링

계정 활동에 대한 질문은 AWS 지원 팀에 문의하십시오. 그러나 AWS는 개인 정보 보호 및 보안상의 이유로 사용량을 적극적으로 모니터링하지 않으며 제한된 도구를 사용해 문제를 조사합니다. 비정상적인 활동이나 계정 액세스를 감지할 수 있도록 계정과 해당 리소스를 적극적으로 모니터링하는 것이 가장 좋습니다. 다음 해결 방법을 하나 이상 고려하십시오.

참고: 가능한 경우 정기적으로 사용하는 리전 뿐 아니라 모든 리전에 대해 로깅을 활성화하는 것이 가장 좋습니다.


페이지 내용이 도움이 되었습니까? | 아니요

AWS 지원 지식 센터로 돌아가기

도움이 필요하십니까? AWS 지원 센터를 방문하십시오.

게시 날짜: 2017년 3월 14일

업데이트 날짜: 2019년 2월 12일