AWS는 AWS Organizations의 구성원 계정에 대한 루트 액세스를 보안 팀이 중앙에서 관리할 수 있도록 하는 AWS Identity and Access Management(IAM)의 새로운 기능을 발표했습니다. 이 기능을 통해 장기 루트 자격 증명을 제거하고, 단기 세션을 통해 권한 있는 작업을 수행하고, 루트 액세스를 중앙에서 관리하여 보안 모범 사례를 따를 수 있습니다.
대규모 루트 사용자 자격 증명 관리는 오랫동안 많은 조직의 과제였습니다. AWS 환경이 성장함에 따라 이러한 자격 증명을 수동으로 관리하는 방식은 번거롭고 오류가 발생하기 쉬웠습니다. 예를 들어 수백 또는 수천 개의 구성원 계정을 운영하는 대기업은 모든 계정에서 루트 액세스를 일관되게 보호하는 데 어려움을 겪었습니다. 수동 개입은 운영 오버헤드를 추가할 뿐만 아니라 계정 프로비저닝에 지연을 초래하여 완전 자동화를 방해하고 보안 위험을 증가시켰습니다.
이 새로운 기능을 통해 보안 팀은 이제 AWS Organizations의 모든 계정에서 권한 있는 루트 자격 증명을 중앙에서 관리하고 보호할 수 있습니다. 루트 자격 증명 관리는 장기 루트 자격 증명을 제거하고, 자격 증명 복구를 방지하고, 기본적으로 안전한 계정을 프로비저닝하고, 규정 준수를 유지하는 데 도움이 됩니다. 또한 루트 세션은 구성원 계정에 대한 작업 범위의 단기 루트 액세스를 제공하여 장기 루트 자격 증명의 필요성을 없앱니다.
이 기능이 문제를 해결하는 방법의 흥미로운 예는 보안 팀이 장기 루트 자격 증명 없이도 Amazon S3 버킷 정책 또는 Amazon SQS 리소스 정책을 잠금 해제할 수 있다는 것입니다. 이 기능은 장기 루트 액세스 유지에 대한 안전한 대안을 제공하여 잠재적인 보안 위험을 줄입니다.
즉, 이 새로운 기능을 통해 조직은 루트 액세스를 보다 안전하고 효율적이며 규정을 준수하는 방식으로 관리할 수 있습니다. 장기 루트 자격 증명을 제거하고, 단기 세션을 통해 권한 있는 작업을 수행하고, 루트 액세스를 중앙에서 관리함으로써 조직은 보안 태세를 개선하고 운영을 간소화할 수 있습니다.
