Always-Try(정보보안 및 일상)

https://idm-infrastructure.awssecworkshops.com/ Infrastructure Identity in AWS  Overview Identity in AWS includes providing authentication, authorization, audit and governance for your cloud workloads. Identity services in AWS include Amazon Cognito for Application Identity and AWS Identity and Access Management (IAM) for AWS Mana idm-infrastructure.awssecworkshops.com 시나리오) 귀사는 클라우드를 처음 접하고 AW..

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html 시나리오 Example Corporation이라는 대기업의 수석 개발자이자 숙련된 IAM 관리자가 있다고 가정해 보겠습니다. 이 관리자는 IAM 사용자, 역할 및 정책을 생성하고 관리하는 데 익숙합니다. 개발 엔지니어와 품질 보증 팀 멤버가 필요한 리소스에 액세스할 수 있도록 해야 하며 기업의 성장에 따라 확장 가능한 전략도 준비해야 합니다.엔지니어링 및 품질 보증 팀 멤버는 Pegasus 또는 Unicorn 프로젝트에 참여하고 있습니다. 다음 세 글자로 된 프로젝트 및 팀 태그 값을 선택합니다.또한 사용자 지정 cost-cen..

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction_attribute-based-access-control.html 1. 개요 속성(태그)를 기반으로 권한을 정의하는 권한 부여 전략이다. IAM 엔터티(사용자 또는 역할)와 AWS 리소스에 태그를 연결할 수 있으며, 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계될 수 있다. 2. 필요성 기존 RBAC 모델을 사용하면 직원이 새 리소스를 추가할 때 해당 리소스에 액세스할 수 있도록 정책을 업데이트해야 한다는 단점이 있다. 3. 장점 ABAC 권한은 혁신적으로 확장됩니다. 관리자가 새 리소스에 액세스할 수 있도록 기존 정책을 업데이트할 필요가 없..

https://www.youtube.com/watch?v=zIZ6_tYujts 위 유튜브 방송을 본 후 기억에 남는 것들을 정리한다. In-Account일때는 Identity-based policy에 대해서만 정책을 부여해도 요청이 허용되지만, Cross-Account 환경에서는 Resource-based Policy 까지 정책을 부여해야 요청이 허용된다. 명시적 정책이 Deny, Allow로 되어 있을 경우에는 Deny 정책이 우선된다. IAM 모범사례 IAM Role을 부여한는 액션 그 자체에도 제어가 필요하다 -> IAM:PassRole IAM:PassRole이란 서비스나 리소스 에 역할을 전달할 수 있는 권한을 부여하는 것이다. 왜 이걸 쓰는지 대한 설명은 다음링크 참조(https://stacko..