AWS 계정 보안

AWS Organizations

AWS Organizations를 사용하면 여러 AWS 계정을 통합하여 중앙에서 관리할 수 있다.

- 계정을 OU(조직 단위)로 그룹화하고 각 OU에 다른 액세스 정책을 연결한다

- AWS Organizations의 정책을 서비스 제어 정책이라고 한다. 특정 AWS 서비스에만 액세스 할 수 있는 계정이 있다면 해당 계정을 하나의 OU에 추가할 수 있다. 그런 다음 이러한 요구 사항을 충족하지 않는 서비스의 OU 액세스를 차단하는 정책을 정의할 수 있다. 

- 조직 단위에 정책을 연결한다. 이는 기본적으로 여러 AWS 계정에 동시에 권한을 적용하는 방법이다. IAM과 비슷하게 여러 AWS 계정의 그룹 및 정책을 처리한다. 이렇게 하면 각 부서나 팀별로 별도의 계정을 사용할 수 있고, 비즈니스를 단일 논리적 단위로 나타낼 수 있다.

- AWS Organizations는 IAM을 지원한다. IAM과 마찬가지로 계정의 사용자와 역할이 수행할 수 있는 작업을 제어함으로써 필요한 경우 이러한 제어 기능을 계정 수준까지 확장한다. 

 

서비스 제어 정책(SCP)

- SCP는 계정에 대한 중앙 집중식 제어를 제공한다. 

- 조직 내의 모든 계정에 허용되는 최대 권한을 중앙에서 관리하여 계정이 조직의 액세스 제어 지침을 준수하는지 확인할 수 있다.

- SCP는 통합 결제를 포함한 모든 기능이 활성화된 조직에서만 사용할 수 있다.

- SCP는 IAM 권한 정책과 유사하다. 하지만 SCP는 권한을 부여하지 않는다. 대신, 조직이나 OU에 대한 최대 권한을 지정하는 JSON구문 정책이다.

 

 

AWS Key Management Service(AWS KMS)

KMS는 암호화 키를 생성 및 관리하고 다양한 AWS 서비스 및 애플리케이션에서 암호화 사용을 제어할 수 있는 서비스

- 하드웨어 보안 모듈(HSM)을 사용하여 키를 보호하는 보안 서비스이다

- KMS와 CloudTrail과 통합할 경우 모든 키 사용에 관한 로그가 제공되어 각종 규제나 규정 준수 요구 사항을 충족할 수 있다.

- 고객 마스터 키는 데이터의 암호화 및 복호화에 사용되는 다른 키에 대한 액세스를 제어하는데 사용가능

- KMS 마스터키를 사용하여 대부분의 AWS 서비스에 저장된 데이터의 암호화를 제어할 수 있다.

 

 

Amazon Cognito

애플리케이션의 AWS 리소스에 대한 액세스를 제어하는 솔루션을 제공한다

- 역할을 정의하고 사용자를 서로 다른 역할에 매핑하여 애플리케이션에서 각 사용자에 대해 권한이 부여된 항목에만 액세스할 수 있도록 제어할 수 있다.

 

 

AWS Sheild

AWS에서 실행되는 애플리케이션을 보호하는 관리형 DDoS(Distributed Denial of Service) 공격 방어 서비스이다.

- shield standard는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 완화 기능을 제공한다.

- 그래서 DDoS 방어 기능을 활용하기 위해 AWS Support를 이용할 필요가 없다

- UDP(User Datagram Protocol) 또는 UDP 플러드와 같은 인프라 계층 공격, TCP SYN 플러드, HTTP GET나 POST 플러드와 같은 애플리케이션 계층 공격 등을 방어할 수 있다

- Standard는 추가요금 없이 활성화 된다. Advanced는 선택형 유료 서비스이다.

- 애플리케이션 다운타임과 지연 시간을 최소화할 수 있다.