클라우드 보안 가이드 - 권한 관리 [2-1] -

2.1 인스턴스 서비스 정책 관리

분류 : 권한 관리

중요도 : 상

항목명 : 인스턴스 서비스 정책 관리

 

항목 설명 :

 

 AWS 인스턴스 서비스(EC2, RDS, S3 등)의 리소스 생성 또는 액세스 권한은 권한 정책에 따라 결정된다. 계정 관리자는 IAM 자격 증명(즉, 사용자, 그룹, 역할)에 권한 정책을 연결할 수 있으며 적절한 권한을 통한 서비스 관리가 이루어져야 한다.

 

   1) 인스턴스 서비스 구분

서비스 구분	서비스 상세
EC2	EC2 서비스 전체 권한
ECS	EC2 서비스 읽기 전용 액세스 권한
ECR	EC2 인스턴스에서 AWS System Manager 기능 활성화 권한
EKS	Kubernetes 제어 플레인을 설치하고 운영할 필요 없이 AWS Kubernetes를 손쉽게 실행하도록 하는 관리형 서비스이다. Kubernetes는 컨테이너화된 애플리케이션의 배포, 조정 및 관리 자동화를 위한 오픈 소스 시스템이다.
EFS	AWS 클라우드 서비스와 온프레미스 리소스에서 사용할 수 있는 간단하고 확장 가능하며 탄력적인 완전 관리형 탄력적 NFS 파일 시스템
RDS	AWS 클라우드에서 관계형 데이터베이스를 더 쉽게 설치, 운영 및 확장할 수 있는 웹 서비스이다. 이 서비스는 산업 표준 관계형 데이터베이스를 위한 경제적이고 크기 조절이 가능한 용량을 제공하고 공통 데이터베이스 관리 작업이 가능하다.
S3	Amazon Simple Storage Sevice(Amazon S3)는 인터넷용 스토리지이다. Amazon S3을 사용하면 웹을 통해 언제 어디서든 원하는 양의 데이터를 저장하고 검색할 수 있다. 간편하고 직관적인 웹 인터페이스인 AWS Management 콘솔을 사용하여 이러한 작업을 수행할 수 있다.

 

 

   2) 인스턴스 서비스 별 관리형 정책 (예시)

서비스 구분	정책명	정책설명
EC2	AmazonC2FullAccess	EC2 서비스 전체 권한
	AmazonC2ReadOnlyAccess	EC2 서비스 읽기 전용 액세스 권한
	AmazonSSMManaged EC2InstanceDefaultPolicy	EC2 인스턴스에서 AWS Systems Manager 기능 활성화 권한
	EC2InstanceConnect	EC2 Instance Connect 호출하여 EC2 인스턴스에 임시키를 게시하고 ssh 또는 EC2 Instance Connect CLI 를 통해 연결할 수 있는 권한
ECS	AmazonCS_FullAccess	ECS 서비스 전체 권한
	AWSElasticBeanstalkRoleECS	다중 컨테이너 Docker 환경에서 Amazon ECS Cluster를 생성/삭제 할 수 있는 권한
	AmaznoCSTaskExecutionRolePolicy	Amazon ECS 작업을 실행하는 데 필요한 서비스 리소스에 대한 읽기 전용 액세스 권한
ECR	AmaznoC2Container RegistryFullAccess	ECR 리소스에 대한 관리 전체 액세스 권한
	AmazonC2Container RegistryPowerUser	Container Registry 리포지토리에 대한 전체 권한이 부여되어 있지만 삭제 또는 정책 변경을 허용하지 않
	AmazonC2Container RegistryReadOnly	Container Registry 리포지토리에 대한 읽기 전용 액세스 권한
EKS	AmazonKSClusterPolicy	인스턴스, 보안 그룹 및 탄력적 네트워크 인터페이스를 포함하되 이에 국한되지 않는 EC2 리소스에 대한 식별 정보를 확인하는 권한
	AWSServiceRoleForAmazon EKSNodegroup	Amazon EKS 작업자 노드가 Amazon EKS Cluster에 연결할 수 있도록 허용하는 권한
	AmazonKSServicePolicy	EKS Cluster를 운영하는 데 필요한 리소스를 생성하고 관리할 수 있는 권한
EFS	AmazonlaticFileSystemFullAccess	Amazon EFS에 대한 전체 엑세스 권한
	AmazonlaticFileSystemServiceRolePolicy	사용자를 대신하여 AWS 리소스를 관리하도록 허용하는 권한
	AmazonlaticFileSystemReadOnlyAccess	Amazon EFS에 대한 읽기 전용 액세스 권한
RDS	AmazonRDSFullAccess	Amazon RDS에 대한 전체 액세스 권한
	AmazonRDSDataFullAccess	RDS 데이터 API, RDS 데이터베이스 자격 증명을 위한 비밀 저장소 API 및 DB 콘솔 쿼리 관리 API를 사용하여 AWS 계정의 Aurora Serverless Cluster에서 SQL 문을 실행할 수 있는 전체 액세스 권한
	AmazonRDSReadOnlyAccess	Amazon RDS에 대한 읽기 전용 액세스 권한
S3	AmazonS3FullAccess	든 버킷에 대한 전체 액세스 권한
	AmazonS3OutpostsFullAccess	Outposts의 Amazon S3에 대한 전체 액세스 권한
	AmazonS3ReadOnlyAccess	모든 버킷에 대한 읽기 전용 액세스 권한

 

IAM 관리형 정책 권한 관리 List (예시)

역할	계정관리 (그룹 및 계정명)	AWS 관리형 정책	취약 (유/무)
AWS Admin Console 관리자	Ex) EC2_Admin (admin_account)	Ex) EC2_Admin (AmaznoC2FullAccess)
Infra 운영/관리자 및 담당자
Application 운영/관리자 및 담당자
개발 관리자 및 담당자
재무 / 비용 관리자 및 담당자

 

설정 방법 :

 

   - 인스턴스 서비스의 운영/관리를 위한 IAM 그룹 생성

 

* 인스턴스 서비스 운영/관리에 필요한 IAMFullAccess 등의 권한과 같이 중요도가 높은 권한은 Infra 운영/관리자 및 담당자에게만 정책이 되도록 해야하며 최소한의 계정 수가 유지되어야 한다.

 

   1) IAM 내 그룹 탭 접근 후 새로운 그룹 생성 클릭

   2) 그룹 이름 설정

   3) 정책 연결 (AmazonEC2FullAccess 선택)

   4) 검토 및 그룹 생성 클릭

   5) 그룹 생성 확인

 

 

 

 

 

나. 인스턴스 IAM 관리자/운영자 권한 사용자 추가

 

   - 인스턴스 서비스의 운영/관리를 위한 IAM 사용자 추가

 

* 인스턴스 서비스 운영/관리에 필요한 IAMFullAccess 등의 권한과 같이 중요도가 높은 권한은 Infra 운영/관리자 및 담당자에게만 정책이 되도록 해야하며 최소한의 계정 수가 유지되어야 한다.

 

   1) IAM 내 사용자 탭 접근 후 사용자 추가 클릭

   2) 사용자 이름 설정 및 다음 클릭

   3) 그룹에 사용자 추가 설정

   4) 검토 및 사용자 만들기 클릭

   5) 사용자 추가 확인

   6) IAM "사용자" 클릭 및 계정 목록 확인

   7) IAM "그룹" 클릭 및 그룹 목록 확인

   8) 그룹 내 추가된 사용자 확인

 

진단 기준 :

양호 기준 : 인스턴스 서비스 IAM 사용 권한이 각각 서비스 역할에 맞게 설정되어 있을 경우

취약 기준 : 인스턴스 서비스 IAM 사용 권한이 각각 서비스 역할에 맞지 않게 설정되어 있을 경우