최소 권한 원칙 적용·사고 계기 중심으로 푸는 결
사이드 프로젝트에서 AWS 환경을 구성하면서 기본 보안 정책을 직접 설정한 경험이 있습니다. 처음에는 루트 계정으로 모든 작업을 했는데, 팀원이 실수로 S3 버킷을 퍼블릭으로 열어두는 사고가 생긴 뒤 IAM 정책 구조를 제대로 적용하기로 했습니다. 작업별로 최소 권한을 가진 IAM 역할을 분리하고, 루트 계정에는 MFA를 설정했습니다.
S3 버킷은 퍼블릭 접근 차단 설정을 기본으로 켜두고, 외부 노출이 필요한 리소스는 CloudFront를 통해서만 접근하도록 분리했습니다. 보안 설정 변경 알람을 받기 위해 CloudTrail 로그도 활성화했습니다. 과정에서 팀원마다 필요한 권한이 달라 정책을 자주 수정해야 하는 문제가 생겼는데, 역할별 정책을 문서화하고 변경 전 팀과 확인하는 방식으로 정리했습니다. 이 경험을 통해 클라우드 보안은 초기에 최소 권한 원칙을 잡는 것이 나중에 훨씬 덜 복잡하다는 점을 배웠습니다.