리캡 시리즈
- 세션 01: 에이전트 아키텍처 설계를 위한 개발자 로드맵
- 세션 02: Amazon Bedrock Data Automation
- 세션 03: AgentCore의 멀티 에이전트
- 세션 04: 에이전틱 AI 구축 Nova Act와 Strands Agents 실전 활용
- 세션 04: 사양 주도 개발로 Kiro를 활용하여 마이그레이션 프로젝트 가속화
- 세션 06: "매칭"에서 "이해"로: AgentCore Memory가 주도하는 개인화 AI 검색 실습
- 세션 07: 관찰을 통한 최적화 – LLM 관찰 가능성에서 AIOps까지, 실시간 인사이트를 지능형 자동화로 전환
- 세션 08: TEAM 배포와 최고의 엔지니어링 팀 구축
- 세션 09: 소위 서버리스 데이터베이스를 5년간 사용하며 얻은 다섯 가지 뼈아픈 교훈
- 세션 14: AI가 내 일을 한다면? Q Developer CLI와 Kiro가 내 일상을 어떻게 바꾸었는가
- 세션 16: 경계심을 갖춘 속도: Amazon Bedrock 에이전트 개발을 위한 필수 보안 사항
- 세션 26: 단일 H100에서 OSS LLM을 더 스마트하고, 저렴하고, 빠르게 실행하기
- 세션 28: 현대적인 통합 메타데이터 아키텍처: 데이터 사일로를 허무는 새로운 접근 방식
- 세션 29: 서버리스 MediaOps: Amazon Web Services에서 AI로 비디오 워크플로 자동화
- 세션 30: 대규모 성능 테스트로 효율성과 안정성을 고려한 아키텍처 설계
- 세션 31: 오픈 소스로 세계를 연결하기: 기술, 커뮤니티 및 글로벌 개발자 관계의 실전 여정
- 세션 33: 실시간 물류 분석을 위한 스트리밍 Iceberg 테이블 구축
- 세션 34: 대규모 로봇 전략 훈련 가속화: Kiro, Trainium 및 EKS 기반 자동화 폐쇄 루프 아키텍처
- 세션 35: 사양 주도 개발로 감각적 코딩에서 실용적 개발로
- 세션 36: 클라우드 비용 분석을 더 스마트하게: Strands와 AgentCore로 FinOps 지능형 에이전트 구축하기
- 세션 37: CNCF Kagent, K8sGPT, Nova Sonic을 사용하여 K8s용 대화형 에이전틱 AIOps 혁신하기
세션 노트
멀티 계정 및 IAM 설계:
- [ 1 ] 단일 계정 아키텍처:
- 복잡한 권한 관리로 인해 보안 확보가 어려움
- 워크로드별 비용 추적이 어려움
- 운영 오류와 할당량 문제가 발생하기 쉬워 운영이 어려움
- [ 2 ] 멀티 계정 아키텍처:
- 권한 분리로 보안 향상
- 각 워크로드의 비용을 쉽게 파악
- 작업 영향을 최소화하여 운영 효율성 향상 점프 계정 방식:
- 점프 계정을 설정하고 IAM 사용자 통합
- 사용자가 점프 계정에 로그인한 후 각 계정으로 역할 전환
- 각 계정의 권한은 대상 역할에 부여
- 점프 계정 방식을 사용하는 IAM 설계 팁:
- [ 1 ] 실제 역할을 기준으로 그룹 생성
- [ 2 ] 역할에 따라 각 계정의 역할 생성
- [ 3 ] 각 IAM 그룹의 전환 대상 계정과 IAM 역할 정의 TEAM을 통한 액세스 제어:
- 프로덕션 환경의 액세스 제어를 어떻게 처리해야 하는가?
- 변경 관리: 변경 작업을 위해 누가 언제 프로덕션 환경에 액세스했는가?
- 프로덕션 액세스 제어: 프로덕션 환경에 언제든 액세스할 수 있는가?
TEAM을 통한 액세스 제어
TEAM(Temporary Elevated Access Management)이란?
- Temporary Elevated Access Management의 약어
- 계정 액세스를 관리하는 승인 기반 워크플로
- IAM Identity Center 액세스 포털에서 액세스할 수 있는 애플리케이션으로 제공 TEAM을 통한 프로덕션 액세스 제어 워크플로(애플리케이션):
- [1/3] 프로덕션 계정에는 읽기 전용 권한만 보유하고 애플리케이션에서 TEAM 선택
- [2/3] 요청 생성
- [3/3] 아직 승인되지 않았으므로 상태가 보류 중 TEAM을 통한 프로덕션 액세스 제어 워크플로(승인):
- 승인자가 "요청 승인"에서 해당 요청을 선택하고 댓글을 입력한 후 승인 TEAM을 통한 프로덕션 액세스 제어 워크플로(권한 부여):
- 프로덕션 계정에 대한 액세스 권한이 추가됨
- 승인되었으므로 이제 상태가 "승인됨"으로 설정. 전체 팀 구조:
- ① IAM Identity Center에서 Amazon Web Services 액세스 포털에 액세스
- ② TEAM 애플리케이션에 액세스
- ③ 상승된 액세스 요청
- ④ 상승된 액세스 승인
- ⑤ 상승된 액세스 활성화
- ⑥ 상승된 액세스 호출
- ⑦ 세션 활동 기록
- ⑧ 상승된 액세스 종료
- ⑨ 요청 세부 정보와 세션 활동 로그 검토
TEAM 설계 및 구현:
- IAM Identity Center로 마이그레이션하기 위한 권한 정리:
- ① 각 계정의 역할과 정책 정리, 권한 세트 생성
- ② 점프 계정 그룹과 정책 정리, Entra ID에 그룹 등록
- ③ 할당 생성, CloudFormation 활용 페르소나 할당 및 승인 워크플로 규칙 설계:
- TEAM에는 네 가지 페르소나가 있음(액세스 요청, 액세스 요청 승인, 로그 감사, 규칙 관리)
- 페르소나 할당 및 승인 규칙 설계
- 페르소나 할당 설계
- 승인을 위해 무엇을 제출해야 하는가?
- 누가 승인/거부해야 하는가?
- 승인을 부여하는 최대 시간
- 알림 대상(메일, 채팅...) 소규모 운영부터 적용 범위를 점진적으로 확대:
- 소규모 팀에서 운영을 테스트하고 적용 범위를 점진적으로 확대
- 개인 → 내 팀 → 전체 부서
- [ 1 ] 기존 시스템과 병행 운영
- 비즈니스에 미치는 영향 최소화
- [ 2 ] 피드백을 바탕으로 설정과 운영 검토
- 페르소나 할당이 충분한가? 예상치 못한 권한이 부여되고 있지는 않은가? IAM Identity Center x TEAM:
- Entra ID에서 프로비저닝된 SSO 사용자 사용
- IAM Identity Center 액세스 포털을 통해 비프로덕션 계정으로 역할 전환
- TEAM 승인 후 비프로덕션 계정으로 역할 전환
TEAM의 이점:
- IAM Identity Center x TEAM:
- [ 1 ] 사용자 관점:
- 계정 간 역할 전환이 더 간단해짐
- 요청 경로가 짧아지고 UI가 더 단순하고 명확해짐
- 개발 효율성 향상
- [ 2 ] 관리자 관점:
- IAM 관리에서 해방
- 페르소나 할당과 요청 규칙 등의 설정 관리가 더 간단해짐
- 운영 효율성 향상 요약:
- "TEAM"을 통해 모든 "팀" 구성원의 운영 및 보안 인식이 향상
- 멀티 계정 구성에서는 프로덕션 계정의 액세스 관리를 고려
- "IAM Identity Center x TEAM"으로 손쉬운 제어 가능
- TEAM 구현으로 팀 생산성, 보안 및 규정 준수 향상
