클라우드 서비스에서 최소 권한 원칙을 적용한 경험
클라우드 환경에서 보안 아키텍처를 설계했던 경험에 대해 말씀드리겠습니다.
사이드 프로젝트로 AWS에 간단한 웹 서비스를 배포했는데, 처음에는 IAM 사용자에게 AdministratorAccess를 주고 시작했습니다. 편하게 사용하다가 보안 관련 글을 읽고 나서야 이게 잘못됐다는 것을 깨달았습니다. 최소 권한 원칙이라는 개념을 처음 접하고, 서비스에 필요한 권한만 선별하여 커스텀 IAM 정책을 만들었습니다. 처음에는 너무 좁게 권한을 설정하여 함수 실행이 안 되는 오류가 3번 발생했습니다. 로그에서 AccessDenied 에러를 확인하고 하나씩 권한을 추가했습니다.
전체 권한은 편리하지만 나중에 문제가 발생했을 때 피해 범위를 줄이기 어렵다는 것을 배웠습니다. 회사 환경에서도 권한을 좁게 시작하고 필요할 때 열어주는 방향이 맞다고 생각합니다.