Always-Try(정보보안 및 일상)

2022.02.07 - [AWS] - [AWS][Azure] Azure AD와 AWS 연동 을 통해 Azure AD 계정과 AWS IAM 연동을 했다. 이번 포스팅에서는 이와 같은 환경에서도 IAM 감사가 가능한지에 대해 살펴보겠다. 1. AWS 로그인에 대한 기록 Azure Active Directory > 엔터프라이즈 애플리케이션 > AWS > 활동 > 로그인 로그 AWS > 버지니아 북부(us-east-1) > CloudTrail > 이벤트 기록 2. AWS 로그인 이후 행위 로그 Azure에서는 보이지 않음 AWS > 본인의 Region > aCloudTrail에서 확인 가능 AWS > Athena 쿼리로 조회 가능 SELECT from_iso8601_timestamp(eventTime) AS "..

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html 시나리오 Example Corporation이라는 대기업의 수석 개발자이자 숙련된 IAM 관리자가 있다고 가정해 보겠습니다. 이 관리자는 IAM 사용자, 역할 및 정책을 생성하고 관리하는 데 익숙합니다. 개발 엔지니어와 품질 보증 팀 멤버가 필요한 리소스에 액세스할 수 있도록 해야 하며 기업의 성장에 따라 확장 가능한 전략도 준비해야 합니다.엔지니어링 및 품질 보증 팀 멤버는 Pegasus 또는 Unicorn 프로젝트에 참여하고 있습니다. 다음 세 글자로 된 프로젝트 및 팀 태그 값을 선택합니다.또한 사용자 지정 cost-cen..

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction_attribute-based-access-control.html 1. 개요 속성(태그)를 기반으로 권한을 정의하는 권한 부여 전략이다. IAM 엔터티(사용자 또는 역할)와 AWS 리소스에 태그를 연결할 수 있으며, 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계될 수 있다. 2. 필요성 기존 RBAC 모델을 사용하면 직원이 새 리소스를 추가할 때 해당 리소스에 액세스할 수 있도록 정책을 업데이트해야 한다는 단점이 있다. 3. 장점 ABAC 권한은 혁신적으로 확장됩니다. 관리자가 새 리소스에 액세스할 수 있도록 기존 정책을 업데이트할 필요가 없..

https://www.youtube.com/watch?v=zIZ6_tYujts 위 유튜브 방송을 본 후 기억에 남는 것들을 정리한다. In-Account일때는 Identity-based policy에 대해서만 정책을 부여해도 요청이 허용되지만, Cross-Account 환경에서는 Resource-based Policy 까지 정책을 부여해야 요청이 허용된다. 명시적 정책이 Deny, Allow로 되어 있을 경우에는 Deny 정책이 우선된다. IAM 모범사례 IAM Role을 부여한는 액션 그 자체에도 제어가 필요하다 -> IAM:PassRole IAM:PassRole이란 서비스나 리소스 에 역할을 전달할 수 있는 권한을 부여하는 것이다. 왜 이걸 쓰는지 대한 설명은 다음링크 참조(https://stacko..