권한을 사용하여 AWS 서비스 및 리소스에 대한 액세스 권한을 지정하고 제어할 수 있습니다. IAM 역할에 권한을 부여하려면 액세스 유형, 수행할 수 있는 작업, 작업을 수행할 수 있는 리소스를 지정하는 정책을 연결하면 됩니다.
IAM 정책을 사용하여 특정 AWS 서비스 API 및 리소스에 대한 액세스 권한을 부여할 수 있습니다. 또한 특정 AWS 조직의 자격 증명에 액세스 권한을 부여하거나 특정 AWS 서비스를 통한 액세스 권한을 부여하는 것과 같이 액세스 권한이 부여되는 특정 조건을 정의할 수도 있습니다.
IAM 역할을 사용하여 사용자 또는 AWS 서비스에 AWS 계정 내에서 작업할 수 있는 액세스 권한을 위임할 수 있습니다. 자격 증명 공급자 또는 AWS 서비스의 사용자는 역할을 수임하여 IAM 역할의 계정에서 AWS 요청을 수행하는 데 사용될 수 있는 임시 보안 자격 증명을 받습니다. 결과적으로 IAM 역할은 AWS 계정에서 작업을 수행해야 하는 사용자, 워크로드 및 AWS 서비스를 위한 단기 자격 증명을 사용할 수 있는 방법을 제공합니다.
IAM Roles Anywhere를 사용하여 온프레미스, 하이브리드 및 멀티클라우드 환경과 같은 AWS 외부에서 실행되는 워크로드에 등록 인증 기관에서 발급한 X.509 디지털 인증서를 사용하여 AWS 리소스에 액세스할 수 있도록 합니다. IAM Roles Anywhere를 사용하면 임시 AWS 보안 인증 정보를 가져오고, AWS 워크로드가 AWS 리소스에 액세스할 수 있도록 구성할 때 사용한 것과 동일한 IAM 역할과 정책을 사용할 수 있습니다.
최소 권한을 달성하려면 요구 사항의 변화에 따라 적절하게 세분화된 권한을 부여하는 지속적인 주기를 거쳐야 합니다. IAM Access Analyzer는 권한을 설정, 확인 및 재정의할 때 권한 관리를 간소화하는 데 도움이 됩니다.
AWS Organizations를 사용하면 서비스 제어 정책(SCP) 및 리소스 제어 정책(RCP)을 통해 조직 계정의 모든 위탁자 및 리소스가 준수하는 권한 가드레일을 설정할 수 있습니다. SCP를 사용하여 전체 계정에서 위탁자(IAM 역할 및 사용자)에 대한 액세스를 중앙에서 제어할 수 있습니다. RCP를 사용하여 조직 전체에서 AWS 리소스에 대한 액세스를 중앙에서 제어할 수 있습니다. SCP 또는 RCP만 사용하도록 선택하거나 두 정책 유형을 함께 사용하여 보안 목표를 달성할 수 있습니다.
속성 기반 액세스 제어(ABAC)는 부서, 직위 및 팀 이름과 같은 사용자 속성을 기반으로 세분화된 권한을 생성하는 데 사용할 수 있는 권한 부여 전략입니다. ABAC를 사용하면 AWS 계정에서 세분화된 제어를 생성하는 데 필요한 개별 권한의 수를 줄일 수 있습니다.
AWS Organizations에서 멤버 계정의 루트 액세스를 중앙 집중식으로 관리하여 루트 자격 증명을 쉽게 관리하고 권한이 높은 작업을 수행할 수 있습니다.