Q: Amazon Verified Permissions란 무엇인가요?

Amazon Verified Permissions는 HR 시스팀 및 뱅킹 애플리케이션처럼 구축 및 배포하는 애플리케이션 내에서 리소스에 대한 세분화된 인증을 구현 및 적용할 수 있도록 지원하는 새로운 서비스입니다. Amazon Verified Permissions를 통해 다음 작업을 수행할 수 있습니다.

  1. 애플리케이션에서 관리하는 리소스와 해당 리소스에 대해 사용자가 수행할 수 있는 작업(예: 보기, 업데이트 및 공유)을 설명하는 정책 기반 액세스 모델을 정의합니다.
  2. 애플리케이션 사용자에게 해당 리소스에 대한 액세스를 관리할 수 있는 기능을 제공합니다. 애플리케이션은 레코드를 보고 업데이트할 수 있는 전문가를 위한 권한을 생성한 후 이 권한을 Amazon Verified Permissions에 저장합니다.
  3. 그리고 해당 권한을 적용합니다.

Q: 왜 Amazon Verified Permissions를 사용해야 하나요?

Amazon Verified Permissions를 Amazon Cognito와 같은 자격 증명 공급자와 함께 사용하면 애플리케이션에 대한 더욱 동적인 정책 기반 액세스 관리 솔루션이 가능합니다. 최종 사용자가 정보를 공유하고 협업하면서도 데이터에 대한 보안, 기밀성, 개인 정보 보호를 유지할 수 있는 애플리케이션을 구축할 수 있습니다. Amazon Verified Permissions를 사용하면 애플리케이션을 더 빠르게 구축할 수 있습니다. 또한 자격 증명과 리소스의 역할과 특성을 기반으로 액세스를 적용하는 세분화된 인증 시스템을 제공하여 운영 비용을 절감할 수 있습니다. 정책 모델을 정의하고 정책을 생성하여 중앙 위치에 저장하며 액세스 요청을 밀리초 단위로 평가할 수 있습니다. 정책 엔진으로서 Amazon Verified Permissions는 제로 트러스트에 필요한 경우 애플리케이션에서 사용자 활동을 실시간으로 확인할 수 있도록 지원합니다. 또한 유효하지 않거나 너무 많은 권한이 부여된 권한을 하이라이트합니다. Amazon Verified Permissions는 거버넌스 및 규정 준수를 지원합니다. 또한 여러 다양한 애플리케이션에서 권한을 구성, 유지 및 분석하여 누가 무엇에 액세스할 수 있는지 등의 질문에 답변할 수 있도록 지원하는 감사 도구를 제공합니다.

Q: 시작하려면 어떻게 해야 하나요?

AWS Management Console 내에 있는 보안, 자격 증명 및 규정 준수에서 Amazon Verified Permissions에 액세스합니다. 애플리케이션의 권한 모델을 정의하고 권한을 생성하는 프로세스를 안내하는 마법사를 사용하여 첫 번째 애플리케이션의 설정을 간단히 수행합니다. 그런 다음 서비스 API나 콘솔을 사용하여 액세스 요청을 평가할 수 있습니다.

Q: Amazon Verified Permissions는 다른 AWS 서비스와 어떻게 연동되나요?

Amazon Verified Permissions는 Amazon Cognito 및 기타 자격 증명 공급자와 결합하여 소비자 애플리케이션에 대한 동적 액세스 관리 솔루션을 제공합니다. 애플리케이션 개발자는 Amazon Cognito를 사용하여 사용자 자격 증명을 관리하고 로그인 시 사용자를 인증할 수 있습니다. 그런 다음 Amazon Verified Permissions는 인증된 사용자의 액세스가 허용되는 애플리케이션 리소스가 어떤 것인지 판단합니다. 또한 이 서비스를 AWS IAM Identity Center와 함께 인력 애플리케이션에 대해 사용할 수 있습니다.

Q: 사용자 지정 애플리케이션에 세분화된 권한이 필요한 이유는 무엇이며, Amazon Verified Permissions가 이를 어떻게 지원하나요?

제로 트러스트 아키텍처에서 필요한 경우 사용자 액세스를 최소 권한으로 제한할 수 있도록 애플리케이션에 세분화된 권한이 필요합니다. 정책 기반 중앙 인증 시스템은 개발자에게 애플리케이션 전반의 세분화된 권한을 정의 및 관리할 수 있는 일관된 방식을 제공하고, 코드를 변경할 필요 없이 권한 규칙 변경을 간소화하고, 권한을 코드 밖으로 이동하여 권한에 대한 가시성을 향상합니다.

Q: 사용자, 리소스 및 작업에 대한 Amazon Verified Permissions 정책 기반 액세스 모델을 정의하려면 어떻게 하나요?

애플리케이션 관리형 리소스를 설명하는 정책 기반 액세스 모델과 해당 리소스에서 수행할 수 있는 작업을 생성할 수 있습니다. 이러한 리소스에는 디바이스나 시스템 프로세스와 같이 사람이 아닌 자격 증명이 포함됩니다. 콘솔, API 또는 명령줄 인터페이스(CLI)를 통해 모델을 생성할 수 있습니다.

Q: Amazon Verified Permissions를 Amazon Cognito 이외의 자격 증명 공급자와 연동할 수 있나요?

예. Amazon Verified Permissions는 Okta, Ping Identity, CyberArk와 같은 어떠한 공급자의 자격 증명과도 함께 사용할 수 있습니다.

Q: 권한은 어떻게 정의하나요?

Cedar 정책 언어를 통해 권한을 정의할 수 있습니다. Cedar 정책은 사용자가 리소스에서 작업할 수 있는지 여부를 결정하는 허용 또는 금지 문입니다. 정책은 리소스와 연결됩니다. 리소스에 여러 정책을 연결할 수도 있습니다. 금지 정책은 허용 정책을 재정의합니다. 이를 통해 어떤 허용 정책이 있어야 하는지에 관계없이, 액세스를 방지하는 가드레일을 애플리케이션 내에 설정할 수 있습니다.

Q: Cedar란 무엇인가요?

Cedar는 유연하고 확장 가능한 정책 언어로, 이를 통해 개발자가 애플리케이션 권한을 정책으로 표현할 수 있습니다. 관리자 및 개발자는 애플리케이션 리소스에 사용자가 작업하는 것을 허용 또는 금지하는 정책을 정의할 수 있습니다. 여러 정책을 단일 리소스에 연결할 수 있습니다. 애플리케이션의 사용자가 리소스에 작업을 수행하려고 시도할 경우 애플리케이션은 Cedar 정책 엔진에 인증 요청을 합니다. Cedar는 애플리케이션 정책을 평가하여 ALLOW 또는 DENY 결정을 반환합니다. Cedar는 모든 유형의 주체와 리소스에 대한 인증 규칙을 지원하며, 규칙 기반 및 특성 기반 액세스 제어를 허용하고, 자동화된 추론 도구를 통한 분석을 지원합니다.

Q: 내 애플리케이션이 사용자의 액세스 요청을 어떻게 평가하나요?

애플리케이션의 사용자가 리소스에 작업을 수행하려고 시도할 경우 애플리케이션은 Amazon Verified Permissions API를 호출하고 인증을 요청합니다. Amazon Verified Permissions는 요청을 해당 정책에 대해 확인하고 이 평가의 결과에 따라 ALLOW 또는 DENY 결정을 반환합니다. 이 결과를 기준으로 애플리케이션은 사용자의 작업 수행을 허용하거나 차단합니다.

Q: 내 애플리케이션을 Amazon Verified Permissions와 통합하여 Amazon Verified Permissions 정책을 생성하고 평가하려면 어떻게 해야 하나요?

애플리케이션에서 Amazon Verified Permissions API를 사용하여 정책을 생성하고 정책을 업데이트하고 리소스에 정책을 연결하고 사용자 액세스 요청을 승인합니다. 사용자가 리소스에 작업을 시도할 경우 애플리케이션은 요청을 구성합니다. 이 요청에는 사용자, 작업, 리소스에 대한 정보가 포함되어 있으며 이를 Amazon Verified Permissions로 전달합니다. 서비스에서 요청을 평가하고 ALLOW 또는 DENY 결정으로 응답합니다. 그러면 애플리케이션이 해당 결정을 적용합니다.

Q: Amazon Verified Permissions에서 생성된 권한이 올바른지 확인하려면 어떻게 해야 하나요?

Amazon Verified Permissions는 권한 모델에 대해 생성한 정책을 확인하고, 유효하지 않은 모든 정책은 거부합니다. 예를 들어, 정책에서 설명하는 작업이 리소스 유형에 대해 유효하지 않은 경우, 애플리케이션은 정책을 생성할 수 없게 됩니다. Amazon Verified Permissions는 정책의 완전성과 정확성 확인을 지원합니다. 또한 서비스는 서로 직접적으로 모순되는 정책, 어떤 사용자도 액세스가 허용되지 않은 리소스, 너무 많은 액세스 권한이 부여된 사용자를 식별할 수 있도록 지원합니다. 서비스는 여러 애플리케이션 전체에서 수백만 개의 정책을 분석할 수 있는 자동 추론이라는 수학적 분석의 양식을 사용합니다.

Q: Amazon Verified Permissions는 나의 규정 준수 및 감사를 어떻게 지원하나요?

Amazon Verified Permissions는 누가 무엇에 액세스할 수 있는지, 그리고 누가 권한을 보고 수정할 수 있는지 결정할 수 있도록 해줍니다. 권한이 있는 사용자만이 애플리케이션의 권한을 수정할 수 있고 해당 변경 사항이 완전히 감사될 수 있도록 확인합니다. 감사자는 누가 변경했는지와 해당 변경이 언제 이루어졌는지 볼 수 있습니다.

Q: IAM 정책 언어를 사용하여 Amazon Verified Permissions의 정책을 생성할 수 있나요?

아니요. 정책을 작성하려면 반드시 Cedar 정책 언어를 사용해야 합니다. Cedar 정책 언어는 고객 애플리케이션 리소스의 권한 관리를 지원하도록 설계된 반면, IAM 정책 언어는 AWS 리소스에 대한 액세스 제어를 지원하도록 발전된 것입니다.