클라우드 보안

1) 스토리지

정의 

: 스토리지는 데이터를 저장하는 매체이며, 클라우드 환경에서는 물리 장비 대신 관리형 스토리지 서비스를 사용함

클라우드 스토리지 특징

• 물리 장비 구매 불필요
• 확장성 우수
• 고가용성 및 고내구성
• 사용한 만큼 비용 지불
• 글로벌 서비스 가능

2) S3 (Simple Storage Service)

정의

: AWS의 객체 기반 클라우드 스토리지 서비스

특징

• 리전 단위 객체 저장소
• 무제한에 가까운 저장 공간
• 높은 내구성(11 9’s)
• HTTP/HTTPS 기반 접근
• 정적 웹사이트 호스팅 가능
• 버전 관리 지원
• 수명주기 관리 지원
• 복제 기능 지원

3) S3 구성 요소

① 버킷(Bucket)

: 객체를 저장하는 컨테이너
→ 전 세계에서 유일한 이름이어야 함

② 객체(Object)

: 실제 저장되는 데이터 파일

4) S3 접근 제어

1) 버킷 정책 (Bucket Policy)

: 버킷 단위에서 접근 권한 설정 (JSON 형식)

 

주요 특징

• Principal : 누구에게
• Action : 무엇을 (필수)
• Resource : 어떤 리소스에 대해 (필수)
• Effect : Allow / Deny (필수)

2) IAM 정책

: 사용자/그룹/역할 단위 권한 제어

보안 원칙

• 최소 권한 원칙
• 퍼블릭 접근 최소화
• 암호화 적용
• 버전 관리 활용
• 객체 잠금 활용

5) IAM 개요

정의

: AWS의 인증 및 권한 제어 서비스

6) Root 사용자

특징

• AWS 계정 생성 시 최초 사용자
• 모든 권한 보유
• 계정 해지 가능

보안 원칙

• 일상 업무에 사용하지 말 것
• Access Key 발급 금지
• MFA 반드시 설정

7) IAM 구성 요소

① User

: AWS 계정 내 개별 사용자

② Group

: 여러 사용자에게 동일 권한 부여

③ Role

: 임시 권한 부여 메커니즘

• 서비스 간 접근
• 계정 간 접근
• 임시 보안 자격 증명

④ Policy

: 권한 정의 문서 (JSON 형식)

8) 정책 구조

기본 구성 (필수 요소)

{
       "Effect": "Allow/Deny",
       "Action": "서비스 작업",
       "Resource": "ARN"
}

요소	의미
Effect	허용 or 거부
Action	어떤 작업
Resource	어떤 리소스

9) 정책 유형

① AWS 관리형 정책

• AWS 제공
• 사용 간편

② 고객 관리형 정책

• 직접 생성
• 세밀한 제어 가능

③ Inline 정책

• 특정 사용자/그룹/역할에 1:1 연결

10) 정책 평가 원칙

• 명시적 Deny -> 명시적 Allow -> 암시적 Deny 순
• Allow는 Deny가 없을 때만 적용
• 조건(Condition) 사용 가능
• 권한 경계와 교집합만 허용

11) IAM 역할(Role)

사용 목적

• 서비스가 다른 서비스에 접근
• EC2 → S3 접근
• 계정 간 접근
• 임시 권한 필요 시

구성

• 권한 정책
• 신뢰 정책