조직 수준에서 S3 Block Public Access 중앙 제어 (간단한 스페인어)

Source: Dev.to

¡Hola comunidad! 👋

한국어 번역:
안녕하세요 커뮤니티! 👋

AWS에서 흥미롭다고 생각하지만 아직 네트워크에서 거의 언급되지 않은 새로운 보안 기능을 공유하고 싶습니다: AWS Organizations를 통해 S3 버킷의 공개 액세스 차단.
이 기능에 대한 공식 발표를 읽고 싶다면 여기에서 확인할 수 있습니다:

왜 이게 눈에 띄었나요?

주된 이유는 간단합니다: 조직의 관리 계정에서 중앙 집중식 제어.

오래된 해결책

예전에는 (여전히 많은 사람들에게 현재이기도 한) 버킷 객체가 공개되지 않도록 보장하기 위해 기본적으로 두 가지 옵션이 있었습니다:

옵션 1: 계정 수준 차단

각 계정마다 수동으로(또는 스크립트를 사용해) Block Public Access를 활성화해야 했습니다. 이는 다음을 의미합니다:

• 여러 계정에 반복적인 설정
• 인간 오류 가능성 증가
• 각 계정을 개별적으로 모니터링해야 함
• 확장 시 복잡성 증가

옵션 2: 버킷 수준 차단

더 악화된 상황이었습니다. 각 버킷마다 Block Public Access를 활성화하도록 설정해야 했습니다:

• 수동 작업이 매우 힘듦
• 대규모 조직에서는 확장 불가능
• 새 버킷을 쉽게 잊음
• 감사를 위한 운영 악몽

두 옵션 모두 지속적인 감시가 필요했고 오류가 발생하기 쉬웠습니다.

새로운 솔루션

조직 수준 정책.

실제로는 무엇을 의미하나요?

조직의 관리 계정에 사전 방지 제어를 활성화하면 다음을 얻을 수 있습니다:

• ✅ 중앙 집중식 제어: 모든 것이 한 곳에서 관리됩니다
• ✅ 자동 적용: 조직의 모든 계정에 적용됩니다
• ✅ 감시 감소: 이제 각 계정이나 버킷을 개별적으로 모니터링할 필요가 없습니다

우아하고, 간단하며, 효과적입니다.

구현 방법

1. S3 정책 유형 활성화

   aws organizations enable-policy-type \
       --root-id r-1234 \
       --policy-type S3_POLICY

2. 정책이 활성화되었는지 확인

   {
     "PolicyTypes": [
       {
         "Type": "S3_POLICY",
         "Status": "ENABLED"
       }
     ]
   }

3. 콘솔에서 정책 만들기

   

   이는 정책을 만들 수 있다는 의미이지만, 공개 차단이 이미 활성화된 것은 아닙니다.

4. 동작 검증

   • S3에 호스팅된 웹사이트를 만들었습니다.
   • 버킷 수준 및 계정 수준에서 공개 차단을 해제했습니다.
   • 인터넷에서 웹사이트를 볼 수 있도록 버킷에 매우 관대한 리소스 정책을 설정했습니다.

   

5. 코드 기반 인프라로 정책 배포

   

6. 공개 차단이 활성화되었는지 확인

   조직 전체에 정책을 활성화한 후, 웹사이트가 오류를 표시하여 공개 차단이 활성화되었음을 확인했습니다.

   

Demo

방금 CloudFormation을 사용하여 S3 정책 배포 템플릿을 내 GitHub에 게시했습니다:

마무리

Esta implementación es perfecta si:

• 조 조직 내에서 여러 AWS 계정을 관리한다면
• 운용 부담을 늘리지 않고 보안을 강화하고 싶다면
• 보안 정책을 확장 가능하게 준수하고자 한다면
• 탐지보다 예방을 선호한다면

Sugerencia adicional: Si ya habías activado el bloqueo públi

계정 수준에서 이를 유지하면 방어 깊이(defense in depth)와 같은 추가 보안 계층을 얻게 됩니다.

질문이 있나요? 제안이 있나요? 댓글에서 읽겠습니다! 💬

Tags: #aws #cloudformation #security #devops #s3 #organizations