권한 경계와 역할에 대한 문의

Question

안녕하세요.권한 경계와 역할에 대해 문의드립니다.1)정책 중 s3fullaccess를 주고 권한 경계 설정에서 s3readonly를 주면 IAM사용자는 s3에 대해 읽을 수 있는 권한만 부여가 됩니다.그렇다면 정책을 s3readonly로 처음부터 설정하지 않고 full access 정책을 주고 권한 경계를 통해 s3readonly를 따로 주는 이유가 궁금합니다.2)EC2에서 원래 RDS와 S3에 접근하지 못하는데. EC2가 RDS와 S3에 접근할 수 있도록 정책을 연결 후 역할을 부여하면 EC2가 RDS와 S3에 접근이 가능하다.라는 부분입니다.그런데 저는 클라우드 엔지니어 과정을 통해 EC2 인스턴스로 웹 서버를 구축하고  RDS(MariaDB)로 워드 프레스를 설치하는 실습을 했습니다. 당시에 따로 EC2가 RDS에 접근하도록 따로 역할을 할당하진 않았지만웹 서버를 통해 mariadb-server에 접근할 수 있었습니다. 역할을 부여했어야 하지 않아도 mariadb-server에 접속이 가능한 부분과 '역할 부여를 통해 EC2가 RDS와 S3에 접근이 가능하다'라고 하는 부분의 차이가 궁금합니다.감사합니다.

Answer

안녕하세요.질문 주신 부분에 대해 아래와 같이 답변을 드립니다.1)네, 맞습니다. 처음부터 구체적으로 권한을 설정해도 됩니다.권한 경계를 사용하는 가장 큰 목적은 규모가 큰 조직의 경우 개별 사용자에 대한 세세한  권한 관리를 중앙 관리 팀(예를 들어 central admin team, cloud security team)이 하지 않고 각 팀에게 위임하기 위함 입니다. 중앙팀에서는 그룹이나 사용자에게 보다 큰 범위의 권한을 부여하고 각 팀(예를 들어 개발팀)에서는 별도로 권한 관리하는 담당자가 팀의 사용자에게 애플리케이션에 대한 세세한 권한을 권한 경계를 통해 제어 합니다. 이렇게 하면 매우 큰 조직에서는 보다 효율적으로 권한을 관리 할 수 있게 되는 이점이 있습니다.아래 링크에 권한 경계에 대한 사용 사례 등을 구체적으로 잘 설명해 놓아서 첨부 드립니다.https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_boundaries.html?icmpid=docs_iam_consolehttps://aws.amazon.com/ko/blogs/security/when-and-where-to-use-iam-permissions-boundaries/2)RDS, S3등의 AWS 서비스는 EC2 뿐만 아니라 AWS외에 있는 다른 사용자도 URL을 통해 접속해 데이터를 저장, 수정, 삭제 등의 작업을 할 수 있습니다. AWS외에 다른 DB서버나 저장장치를 사용하는 것과 동일합니다.실습에서도 RDS URL을 접속해 DB관리를 하셨을 것으로 생각합니다. 이러한 접속은 IAM 역할에서 제어하지 않습니다.역할에서 제어하는 부분은 RDS 서비스의 기능에 대한 설정을 콘솔이 아닌 EC2에서 CLI를 통해 할 경우 입니다. 예를 들어 CLI로 DB인스턴스에 대한 설정 등을 변경하는 작업은 IAM 권한이 있어야 가능합니다. 또한 S3도 CLI를 통해 버킷의 파일을 관리하는 경우에도 역할이 필요합니다.따라서 보다 상세히 정의를 하자면 '역할 부여를 통해 EC2가 RDS와 S3의 서비스를 제어하기 위한 접근이 가능하다'가 보다 구체적 일듯 합니다.아래는 역할이 있어야 제어 가능한 CLI 명령어 링크입니다.RDS CLIhttps://docs.aws.amazon.com/cli/latest/reference/rds/index.htmlS3 CLIhttps://docs.aws.amazon.com/cli/latest/reference/s3/답변이 도움이 되었길 바랍니다. 감사합니다.

seoj102688

권한 경계와 역할에 대한 문의

이 글과 비슷한 Q&A

VMware Player

dhcp 서버를 찾을 때 브로드캐스트

aws 요금 청구 관련

패킷 관련 질문이 있습니다!