안녕하세요, 저는 광미입니다.
지난번의 내용을 계속하다.
예를 들어 듣기는 0을 바탕으로 실시간 쓰기를 하니 널리 양해해 주십시오.

SEC324 - IAM for Enterprises: How Vanguard Matured IAM Controls to Support Micro Accounts

전제 지식의 해설

우선 IAM 입문부터 assume roll, STS, Permission Boundary(방문허가의 경계), IAM 관리의 위임, SCP의 기본, 정책의 평가 순서에 대해 상세히 해설했다.
IAM의 시작으로서 인증 프로세스에 대한 설명

STS Assume Roll 프로세스에 대한 설명

SAML을 사용한 ID 제휴 프로세스에 대한 설명

관리자 권한의 위임 해설

단계 1

계정 Admin이Permission Boundary에서 클라우드 트레일에 접근을 거부하는 Bucket

을 설정합니다

단계 2

계정 Admin은 Company Boundary가 지정되었을 때만 iam 스크롤을 허용하는 접근 허가 정책을 만듭니다.

IAM Admin 주요 펄스에 액세스 허용 정책을 첨부합니다.

단계1: 위임된 관리자는 위임된 IAM Admin 주요 펄스에 액세스 권한 정책을 첨부합니다.

절차2: 위탁관리자를 대상으로 s3 전체 방문권을 가진 허가 정책을 창설

단계3: 새로 만든 Roll의 정책을 위탁 관리자에 부속

Permission Boundary가 허용하는 조작과 허가 정책이 허용하는 조작을 중첩할 수 있는 동작

이 예에서 위임된 관리자는 s3의 모든 접근권을 가지고 있지만 클라우드 트레이일의 로그 저장 Bucket은 삭제할 수 없습니다.

SCP(Service Control Policy)에 대한 설명

SCP는 각 OU에서 설정할 수 있지만 AWS 계정 로컬 관리자는 이 제한을 덮어쓸 수 없음

SCP와 Permission Boundary가 허가한 조작과 허가 정책이 허가한 조작을 허용한다.

전략 평가 순서의 해설

종점으로 삼다

DevOps에서 감속기구를 평탄하게 하고 제품을 안전하고 신속하게 시장에 투입할 수 있다

전통적인 IAM에서 누가 언제 갔는지, 어디서 왔는지 감사

향후 IAM에서 사용자를 경계로 체계적으로 유지

화화회사는 어떻게 된 거예요?

연맹이 방문하면

2016년 뱅가드 컴퍼니의 구성은 이렇습니다.

Organization으로 여러 AWS 계정을 취합한 것 같은데

연맹 접속은 LDAP Roll 및 AWS Roll을 1:1로 만듭니다.

새 계정을 다시 비추어야 합니다.

이렇게 됐어요.

그나저나 2016년에는 이런 STS를 사용한 것 같아요.

Cloud Registry Service를 만들었습니다.

지금 이런 STS를 사용하고 있습니다.

DevOps에 대한 권한에 관해서는

흔한 광경

제작s3Bucket

제작 IAM Roll

특정한 s3 구간을 자원으로 하는 역할에 대한 IAM 정책 설정

IAM Roll 액세스만 제한하는 Bucket Policy 설정

새 계좌마다 공통적으로 작용하는 게 이런 거죠.

특권계

개발 시스템

약간 그림이 용량 제한에 끌린 것 같다.
그다음에 이따가 쓸게요!