전체 글 (678) 썸네일형 리스트형 AWS IAM 정책의 Resource vs NotResource AWS IAM 정책의 Resource vs NotResource: 보안 설계 관점에서 완전 정리AWS IAM 정책을 설계할 때 보통은 어떤 리소스에 어떤 작업을 허용할지를 정의합니다. 이때 주로 사용하는 키가 Resource입니다. 그러나 그 반대 개념인 NotResource 역시 존재하며, 특정 리소스를 제외한 모든 리소스에 대한 제어가 필요한 경우 사용됩니다.문제는 NotResource를 잘못 사용하면 의도하지 않은 리소스 전체 허용 또는 거부로 이어질 수 있다는 점입니다. 이 글에서는 두 키워드의 차이, 용도, 보안상 유의점, 실전 설계 전략을 정리합니다.1. 기본 개념 비교 항목 Resource NotResource 제어 대상 .. AWS IAM 정책의 Action vs NotAction AWS IAM 정책을 설계할 때 자주 마주치는 키워드 중 하나가 Action입니다. 하지만 이와 짝을 이루는 개념인 NotAction은 의외로 많은 사람들이 잘 이해하지 못하거나, 오해한 채 사용하는 경우가 많습니다. 이 글에서는 Action과 NotAction의 개념적 차이부터 실무 설계 시 주의할 점, 보안 사고로 이어질 수 있는 잘못된 사용 사례까지 정리합니다.1. 기본 개념의미허용 또는 거부할 특정 작업을 명시허용 또는 거부에서 제외할 작업을 명시작동 방식이 작업들을 허용/거부한다이 작업들을 제외한 나머지를 허용/거부한다주 사용 위치Effect: Allow 또는 Deny주로 Effect: Deny에서 사용전형적 목적명시적 권한 부여 또는 제한범용 거부 정책에서 특정 예외 허용 시 사용 2. 예제 .. AWS IAM 정책: 리소스 기반 정책 vs ID 기반 정책 비교 정리 AWS의 보안 정책을 설계하다 보면 반드시 마주치는 두 가지 개념이 있습니다. 바로 리소스 기반 정책(Resource-based policy) 과 ID 기반 정책(Identity-based policy) 입니다. 표면적으로는 비슷한 JSON 포맷을 사용하지만, 정책의 적용 대상, 제어 방향, 보안상 고려사항은 완전히 다릅니다. 이 글에서는 두 정책의 차이점을 실무 관점에서 정리하고, 어떤 상황에서 어떤 정책을 사용해야 하는지 전략적으로 정리해보겠습니다.1. 정책의 적용 대상 적용 대상IAM 사용자, 그룹, 역할AWS 리소스(S3, Lambda, KMS 등)주체(Principal) 명시필요 없음 (정책을 부착한 엔터티가 주체)필요함 (누가 접근 가능한지를 명시해야 함)접근 제어 방향"이 사용자가 어떤 리소.. AWS IAM 정책에서 Principal과 NotPrincipal의 차이 AWS IAM 정책을 설계할 때 종종 마주치는 두 키워드가 있습니다. 바로 Principal과 NotPrincipal입니다. 얼핏 보면 반대 개념처럼 보이지만, 실제 의미와 작동 방식은 그보다 훨씬 더 복잡하고 보안상 중요한 차이를 내포하고 있습니다. 이 글에서는 두 키워드의 기능적 차이뿐만 아니라 보안상 오용 시 발생할 수 있는 리스크까지 짚어보겠습니다.1. Principal: 접근을 명시적으로 허용/거부할 대상 지정Principal은 정책의 대상 주체(subject) 를 지정합니다.주로 리소스 기반 정책(Resource-based policy) 에서 사용됩니다.이 필드는 누가 이 리소스에 접근 가능한가를 정의합니다.예시{ "Effect": "Allow", "Principal": { "A.. Cosign: DevSecOps에서 컨테이너 서명을 검증하는 도구 DevSecOps 환경에서 가장 간과되기 쉬운 영역 중 하나는 바로 ‘컨테이너 이미지의 신뢰성 검증’입니다.코드 스캔, 취약점 진단, SCA까지 모두 자동화되어 있더라도, CI/CD 파이프라인에서 실제로 배포되는 컨테이너 이미지의 무결성과 출처를 검증하지 않는다면 공급망 공격에 쉽게 노출될 수 있습니다.이러한 요구에 대응하기 위한 오픈소스 도구가 바로 Cosign입니다.1. Cosign이란?Cosign은 Sigstore 프로젝트에서 개발한 컨테이너 이미지 서명 도구입니다.컨테이너 이미지에 디지털 서명을 부여하고, 그 서명을 OCI 레지스트리에 안전하게 저장하고 검증할 수 있도록 지원합니다.핵심 목적은 다음과 같습니다.컨테이너 이미지에 디지털 서명 부여이미지의 위변조 여부를 검증신뢰할 수 있는 배포 프로세.. 이전 1 2 3 4 ··· 136 다음