AWS Amarathon 2025 리캡

TEAM 배포와 최고의 엔지니어링 팀 구축

리캡 시리즈

세션 노트

멀티 계정 및 IAM 설계:

  • [ 1 ] 단일 계정 아키텍처:
  • 복잡한 권한 관리로 인해 보안 확보가 어려움
  • 워크로드별 비용 추적이 어려움
  • 운영 오류와 할당량 문제가 발생하기 쉬워 운영이 어려움
  • [ 2 ] 멀티 계정 아키텍처:
  • 권한 분리로 보안 향상
  • 각 워크로드의 비용을 쉽게 파악
  • 작업 영향을 최소화하여 운영 효율성 향상 점프 계정 방식:
  • 점프 계정을 설정하고 IAM 사용자 통합
  • 사용자가 점프 계정에 로그인한 후 각 계정으로 역할 전환
  • 각 계정의 권한은 대상 역할에 부여
  • 점프 계정 방식을 사용하는 IAM 설계 팁:
  • [ 1 ] 실제 역할을 기준으로 그룹 생성
  • [ 2 ] 역할에 따라 각 계정의 역할 생성
  • [ 3 ] 각 IAM 그룹의 전환 대상 계정과 IAM 역할 정의 TEAM을 통한 액세스 제어:
  • 프로덕션 환경의 액세스 제어를 어떻게 처리해야 하는가?
  • 변경 관리: 변경 작업을 위해 누가 언제 프로덕션 환경에 액세스했는가?
  • 프로덕션 액세스 제어: 프로덕션 환경에 언제든 액세스할 수 있는가?

TEAM을 통한 액세스 제어

TEAM(Temporary Elevated Access Management)이란?

  • Temporary Elevated Access Management의 약어
  • 계정 액세스를 관리하는 승인 기반 워크플로
  • IAM Identity Center 액세스 포털에서 액세스할 수 있는 애플리케이션으로 제공 TEAM을 통한 프로덕션 액세스 제어 워크플로(애플리케이션):
  • [1/3] 프로덕션 계정에는 읽기 전용 권한만 보유하고 애플리케이션에서 TEAM 선택
  • [2/3] 요청 생성
  • [3/3] 아직 승인되지 않았으므로 상태가 보류 중 TEAM을 통한 프로덕션 액세스 제어 워크플로(승인):
  • 승인자가 "요청 승인"에서 해당 요청을 선택하고 댓글을 입력한 후 승인 TEAM을 통한 프로덕션 액세스 제어 워크플로(권한 부여):
  • 프로덕션 계정에 대한 액세스 권한이 추가됨
  • 승인되었으므로 이제 상태가 "승인됨"으로 설정. 전체 팀 구조:
  • ① IAM Identity Center에서 Amazon Web Services 액세스 포털에 액세스
  • ② TEAM 애플리케이션에 액세스
  • ③ 상승된 액세스 요청
  • ④ 상승된 액세스 승인
  • ⑤ 상승된 액세스 활성화
  • ⑥ 상승된 액세스 호출
  • ⑦ 세션 활동 기록
  • ⑧ 상승된 액세스 종료
  • ⑨ 요청 세부 정보와 세션 활동 로그 검토

TEAM 설계 및 구현:

  • IAM Identity Center로 마이그레이션하기 위한 권한 정리:
  • ① 각 계정의 역할과 정책 정리, 권한 세트 생성
  • ② 점프 계정 그룹과 정책 정리, Entra ID에 그룹 등록
  • ③ 할당 생성, CloudFormation 활용 페르소나 할당 및 승인 워크플로 규칙 설계:
  • TEAM에는 네 가지 페르소나가 있음(액세스 요청, 액세스 요청 승인, 로그 감사, 규칙 관리)
  • 페르소나 할당 및 승인 규칙 설계
  • 페르소나 할당 설계
  • 승인을 위해 무엇을 제출해야 하는가?
  • 누가 승인/거부해야 하는가?
  • 승인을 부여하는 최대 시간
  • 알림 대상(메일, 채팅...) 소규모 운영부터 적용 범위를 점진적으로 확대:
  • 소규모 팀에서 운영을 테스트하고 적용 범위를 점진적으로 확대
  • 개인 → 내 팀 → 전체 부서
  • [ 1 ] 기존 시스템과 병행 운영
  • 비즈니스에 미치는 영향 최소화
  • [ 2 ] 피드백을 바탕으로 설정과 운영 검토
  • 페르소나 할당이 충분한가? 예상치 못한 권한이 부여되고 있지는 않은가? IAM Identity Center x TEAM:
  • Entra ID에서 프로비저닝된 SSO 사용자 사용
  • IAM Identity Center 액세스 포털을 통해 비프로덕션 계정으로 역할 전환
  • TEAM 승인 후 비프로덕션 계정으로 역할 전환

TEAM의 이점:

  • IAM Identity Center x TEAM:
  • [ 1 ] 사용자 관점:
  • 계정 간 역할 전환이 더 간단해짐
  • 요청 경로가 짧아지고 UI가 더 단순하고 명확해짐
  • 개발 효율성 향상
  • [ 2 ] 관리자 관점:
  • IAM 관리에서 해방
  • 페르소나 할당과 요청 규칙 등의 설정 관리가 더 간단해짐
  • 운영 효율성 향상 요약:
  • "TEAM"을 통해 모든 "팀" 구성원의 운영 및 보안 인식이 향상
  • 멀티 계정 구성에서는 프로덕션 계정의 액세스 관리를 고려
  • "IAM Identity Center x TEAM"으로 손쉬운 제어 가능
  • TEAM 구현으로 팀 생산성, 보안 및 규정 준수 향상