자격증/AWS Certified Security - Specialty (186) 썸네일형 리스트형 [AWS SCS] IAM 역할의 임시 자격 증명 철회하기 AWS 환경에서 IAM 역할의 임시 자격 증명(Temporary Credentials)이 유출되었을 경우, 공격자가 해당 자격 증명을 사용해 악의적인 행동을 할 수 있습니다. 이를 방지하기 위해, 자격 증명을 신속히 철회하여 보안을 강화할 수 있는 방법을 알아보겠습니다.IAM 역할 세션과 보안 위험IAM 역할을 사용하면 임시 자격 증명을 통해 AWS 리소스에 접근할 수 있습니다. 그러나 세션이 길거나(예: 12시간), 자격 증명이 유출되었을 경우 보안 사고로 이어질 위험이 존재합니다.노출된 자격 증명은 만료되기 전까지 유효하기 때문에, 공격자가 이를 악용할 가능성이 있습니다.임시 자격 증명 철회 방법AWS에서는 AWSRevokeOlderSessions Policy를 활용해 임시 자격 증명을 철회할 수 있.. [AWS SCS] STS 외부 ID STS의 보안: AssumeRole API와 외부 ID 사용AWS STS(Security Token Service)를 활용한 AssumeRole API는 역할을 가정할 때 중요한 보안 메커니즘을 제공합니다. 이 API를 사용할 때, **외부 ID(External ID)**를 사용하면 보안을 한층 강화할 수 있습니다. 이 글에서는 외부 ID의 역할과 그것이 해결하는 보안 문제인 Confused Deputy 문제를 설명합니다.외부 ID(External ID)란?AssumeRole API에서 외부 ID를 설정하면, 해당 역할을 가정하려는 API 호출에 정의된 외부 ID가 포함되어야만 역할을 가정할 수 있습니다. 예를 들어, 외부 ID가 56789라고 정의되어 있다면, 해당 ID를 포함한 API 호출만 이 역할.. [AWS SCS] STS Version 1 & Version 2 AWS STS (Security Token Service) 버전 1과 버전 2AWS의 **STS (Security Token Service)**는 AWS 리소스에 대한 제한적이고 임시적인 접근을 부여하는 서비스입니다. STS를 통해 발급된 토큰은 일정 시간이 지나면 만료되며, 만료된 토큰은 다시 갱신해야 합니다. 이 토큰을 사용하면 AWS 리소스에 대한 액세스를 임시로 제공할 수 있습니다. AWS에서 제공하는 STS는 두 가지 버전이 있습니다: STS 버전 1과 STS 버전 2.1. STS 버전 1 (Global Endpoint)기본 설정: STS 버전 1은 기본적으로 글로벌 엔드포인트에서 제공됩니다.지원 리전: 글로벌 엔드포인트는 계정에 기본적으로 활성화된 리전만 지원합니다. 하지만 설정을 변경하여 ".. [AWS SCS] AWS STS AWS STS (Security Token Service)란 무엇인가?AWS STS(Security Token Service)는 AWS 리소스에 대해 일시적이고 제한적인 접근 권한을 부여하는 중요한 보안 서비스입니다. STS는 사용자가 특정 역할을 가정하고, 그에 따른 임시 자격 증명을 받아 AWS 리소스에 접근할 수 있도록 합니다. 이 서비스는 다양한 보안 시나리오에서 유용하게 활용됩니다. 이번 글에서는 AWS STS의 주요 개념과 사용 사례에 대해 알아보겠습니다.1. AWS STS 개요AWS STS는 임시 보안 토큰을 발급하여 사용자가 지정된 시간 동안만 AWS 리소스에 접근할 수 있도록 합니다. 이 임시 자격 증명은 보통 1시간 정도 유효하며, 만료 후에는 갱신이 필요합니다. AWS STS를 사용하.. [AWS SCS] IAM Roles and PassRole to Services IAM 서비스 역할 (IAM Roles for Services) 이해하기개요AWS에서는 다양한 서비스들이 다른 AWS 리소스와 상호작용할 수 있도록 권한을 부여해야 합니다. 이때 필요한 것이 바로 IAM 역할(IAM Roles)입니다. IAM 역할은 특정 AWS 서비스가 다른 리소스에 접근할 수 있게 해주는 중요한 요소입니다. 예를 들어, EC2 인스턴스가 DynamoDB 테이블에 접근해야 할 때, 해당 EC2 인스턴스에 IAM 역할을 할당해야 합니다.이 글에서는 IAM 역할의 기본 개념과 함께 서비스에 IAM 역할을 전달하는 방법에 대해 다루겠습니다.IAM 서비스 역할AWS에서는 거의 모든 서비스가 역할을 요구합니다. 예를 들어, EC2 인스턴스, Lambda 함수, CloudFormation 등의 서.. [AWS SCS] IAM Credentials Report IAM 자격 증명 보고서 (IAM Credentials Report) 활용하기IAM 자격 증명 보고서란?IAM 자격 증명 보고서는 IAM 사용자들의 비밀번호, 액세스 키, 그리고 MFA 장치 상태를 확인할 수 있는 CSV 형식의 문서입니다. 이 보고서는 IAM 콘솔, API, CLI, 또는 SDK를 통해 다운로드할 수 있으며, 감사 및 규정 준수를 지원합니다. 보고서는 최대 4시간마다 자동으로 생성되며, API 호출을 통해 파일의 내용을 조회할 수 있습니다.IAM 자격 증명 보고서 사용 목적IAM 자격 증명 보고서는 주로 다음과 같은 목적을 위해 사용됩니다:비밀번호 및 액세스 키 상태 모니터링MFA 장치 상태 확인보안 감사 및 규정 준수 확인오래된 액세스 키 관리 방법IAM 자격 증명 보고서를 통해 사용.. [AWS SCS] IAM MFA AWS에서 MFA(Multi-Factor Authentication) 사용법과 중요성AWS에서 **다단계 인증(MFA, Multi-Factor Authentication)**은 사용자 계정의 보안을 강화하는 중요한 기능입니다. MFA는 기본적으로 사용자가 알고 있는 비밀번호와 사용자가 소유한 장치에서 제공하는 코드 두 가지를 입력해야만 계정에 로그인할 수 있도록 합니다. 이를 통해 비밀번호만으로는 계정에 접근할 수 없게 되어 보안을 강화할 수 있습니다.1. MFA의 개념과 이점MFA는 두 가지 인증 방법을 결합하여 보안을 강화하는 방식입니다. 사용자가 비밀번호를 입력한 후, 추가적인 인증 장치(예: 스마트폰, 보안 키 등)에서 제공되는 코드를 입력해야만 로그인할 수 있습니다. 이 방식의 주요 장점은 비밀.. [AWS SCS] ABAC ABAC(속성 기반 접근 제어)란?ABAC(Attribute-Based Access Control)는 AWS에서 사용되는 접근 제어 방식 중 하나로, 속성 기반으로 권한을 관리하는 방식입니다. 이 방식은 많은 사용자와 리소스를 관리하는 데 매우 유용하며, AWS 리소스에 대한 접근을 효율적으로 관리할 수 있는 방법을 제공합니다. 특히, 빠르게 성장하는 환경에서 리소스를 추가하고 태그를 설정함으로써 기존 IAM 정책을 수정할 필요 없이 접근을 관리할 수 있는 장점이 있습니다.ABAC의 기본 개념ABAC는 사용자 속성에 기반해 리소스에 대한 접근 권한을 설정하는 방식입니다. 사용자는 특정 부서, 직무, 팀 등과 같은 속성을 가질 수 있으며, 리소스에도 이러한 속성에 맞는 태그를 붙일 수 있습니다. 이를 통해.. [AWS SCS] Identity-Based Policies vs. Resource-Based Policies 크로스 계정 접근: 리소스 기반 정책과 IAM 역할의 차이점AWS에서 크로스 계정 리소스 접근을 설정하는 방법에는 두 가지 주요 방식이 있습니다: 리소스 기반 정책과 IAM 역할입니다. 이 두 가지 방식은 비슷해 보일 수 있지만, 각 방식은 서로 다른 목적과 사용 사례를 가지고 있습니다. 이 글에서는 각 방법의 특징과 사용 사례를 설명하고, 두 방식의 차이점을 명확히 알아보겠습니다.1. 리소스 기반 정책 (Resource-based Policy)리소스 기반 정책은 특정 리소스에 접근할 수 있는 권한을 제어하는 방식입니다. 예를 들어, S3 버킷 정책을 사용하여 다른 계정의 사용자에게 버킷에 대한 접근을 허용할 수 있습니다. 이 방식은 리소스를 중심으로 접근 제어를 설정하므로, 주체가 자신의 권한을 포기하.. [AWS SCS] IAM Policy Evaluation Logic IAM 정책 평가 논리 (Evaluation Logic of IAM Policies)IAM(Identity and Access Management) 정책의 평가 과정은 복잡하지만 중요한 개념입니다. 본 글에서는 IAM 정책의 평가 로직을 이해하기 쉽게 설명하고, 다양한 정책이 어떻게 상호작용하는지, 각 단계에서 무엇을 확인해야 하는지를 다룹니다.기본 개념기본적으로 모든 요청은 거부모든 IAM 요청은 기본적으로 암묵적으로 거부됩니다. 이는 모든 리소스에 대한 액세스가 기본적으로 차단됨을 의미합니다. 하지만 루트 사용자는 예외로, 모든 권한을 가지고 있습니다.명시적 허용(Explicit Allow)명시적 허용은 해당 요청이 허용된다는 것을 명확하게 지정하는 것입니다. 정체성 기반 정책(Identity-bas.. 이전 1 ··· 8 9 10 11 12 13 14 ··· 19 다음