반응형
교차 계정 액세스란? (Cross-Accounts Access)
- 한 AWS 계정의 IAM 사용자가 다른 AWS 계정의 IAM 사용자의 AWS 리소스에 액세스하는 것.
교차 계정 액세스 권한을 부여하는 방법
1. 리소스 기반 정책 및 IAM 정책 (프로그래밍 방식 전용)
- 버킷 정책을 사용하여 교차 계정 제어를 관리하고 S3 객체의 권한을 감시
- 버킷 수준에서 버킷 정책을 적용하면, 버킷 내의 여러 객체에 대한 세분화된 액세스 제어 가능
- 버킷 수준에서 버킷 정책을 적용하면, 액세스 할 수 있는 사람(Principal), 객체(Resource), 방법(Action)을 정의할 수 있음
- 버킷 정책을 검토하여 S3 버킷에 액세스할 수 있는 사용자를 확인 가능
2. 리소스 기반 ACL 및 IAM 정책 (프로그래밍 방식 전용)
- 객체 ACL을 사용하여 특정 시나리오와 ACL이 IAM 및 S3 버킷 정책 보다 요구 사항을 더 잘 수행할 수 있는 경우
- ACL은 사용자가 READ, WRITE, READ_ACP, WRITE_ACP 및 FULL_CONTROL 권한 세트만 정의할 수 있도록 허용
- ACL을 사용하여 개별 IAM 사용자 또는 역할에 대한 액세스를 제어할 수는 없음
- 동일한 접두사를 공유하는 서로 다른 객체에 대한 ACL 적용 불가
3. 교차 계정 IAM 역할 (프로그래밍 방식, 콘솔 액세스)
- 모든 AWS 서비스가 리소스 기반 정책을 지원하는 것이 아니기 때문에, 교차 계정 액세스를 위해 교차 계정 IAM 역할을 사용하여 권한 관리를 중앙집중화 할 수 있음.
- 여러 S3 버킷에 저장된 객체에 대한 교차 계정 액세스의 프로비저닝 간소화 = 버킷에 대한 여러 정책을 관리할 필요 X
- 다른 AWS 계정 or AWS가 서비스가 소유하거나 업로드한 객체에 대한 교차 액세스를 허용
- 교차 계정 IAM 역할을 사용하지 않는 경우 객체 ACL을 수정해야함
반응형