Define identity security best practice on how to access customer environment by leveraging IAM Define standard approach to access customer-owned AWS accounts, including: • Both AWS Management Console access and programmatic access using the AWS Command Line Interface or other custom tools. • When and how to use temporary credentials such as IAM roles • Leverage customer's existing enterprise user identities and their credentials to access AWS services through Identity Federation or migrating to AWS Managed Active Directory Establish best practices around AWS Identity and Access Management (IAM) and other identity and access management systems, including: • IAM principals are only granted the minimum privileges necessary. Wildcards in Action and Resource elements should be avoided as much as possible. • Every AWS Partner individual who accesses an AWS account must do so using dedicated credentials Please provide the following as evidence: • Security engagement Standard Operation Procedure (SOP) which met all the 2 criteria defined above. Acceptable evidence types are security training documents, internal wikis, standard operating procedures documents. Written descriptions in the self-assessment excel is not acceptable. • Description of how IAM best practices are implemented in one (1) of the submitted customer examples.

다음은 해당 영문 텍스트의 한국어 번역입니다: **IAM을 활용한 고객 환경 접근을 위한 신원 보안 모범 사례 정의** 다음을 포함하여 고객 소유 AWS 계정에 접근하는 표준 방식을 정의하세요: • AWS 관리 콘솔(AWS Management Console) 접근과 AWS 명령줄 인터페이스(AWS Command Line Interface) 또는 기타 맞춤형 도구를 사용한 프로그래밍 방식 접근 모두 포함 • IAM 역할(IAM roles)과 같은 임시 자격 증명(temporary credentials)을 언제, 어떻게 사용할지 • 신원 페더레이션(Identity Federation)을 통해 또는 AWS 관리형 액티브 디렉터리(AWS Managed Active Directory)로 마이그레이션하여 고객의 기존 기업 사용자 신원과 해당 자격 증명을 활용해 AWS 서비스에 접근 **다음을 포함하여 AWS 신원 및 접근 관리(IAM)와 기타 신원 및 접근 관리 시스템에 대한 모범 사례를 수립하세요:** • IAM 주체(principals)는 필요한 최소 권한만 부여받도록 함. Action 및 Resource 요소에서 와일드카드 사용은 가능한 한 피해야 함 • AWS 계정에 접근하는 모든 AWS 파트너 개인은 전용 자격 증명을 사용해야 함 **증거 자료로 다음을 제공해주세요:** • 위에서 정의한 2가지 기준을 모두 충족하는 보안 참여 표준 운영 절차(SOP, Standard Operation Procedure). 허용되는 증거 유형은 보안 교육 문서, 내부 위키, 표준 운영 절차 문서입니다. 자체 평가 엑셀 파일의 서면 설명은 허용되지 않습니다. • 제출된 고객 사례 중 한 개에서 IAM 모범 사례가 어떻게 구현되었는지에 대한 설명

This engagement followed the same IAM best practices described in the Magazine customer example. Dedicated read-only IAM user with AWS managed ReadOnlyAccess policy was provided to the assigned Wishket engineer. Refer to Magazine customer for detailed methodology. --- This engagement followed the same IAM best practices described in the Magazine customer example. Dedicated read-only IAM user with AWS managed ReadOnlyAccess policy was provided to the assigned Wishket engineer. Refer to Magazine customer for detailed methodology. --- This engagement followed the same IAM best practices described in the Magazine customer example. Dedicated read-only IAM user with AWS managed ReadOnlyAccess policy was provided to the assigned Wishket engineer. Refer to Magazine customer for detailed methodology. --- Wishket follows a standardized IAM access approach for customer engagements. Customers create dedicated read-only IAM users for assigned Wishket engineers using AWS managed ReadOnlyAccess policy, ensuring least-privilege access without create/update/delete permissions. Each customer engagement is assigned to one engineer who receives unique credentials specific to that customer, maintaining credential isolation across projects. For the online magazine platform, the customer created a dedicated read-only IAM user for the assigned Wishket engineer to review their AWS architecture. We required the use of AWS managed ReadOnlyAccess policy (arn:aws:iam::aws:policy/ReadOnlyAccess) to ensure no wildcards in destructive operations. The engineer accessed the AWS Management Console to analyze their CloudFront, S3, and Lambda configurations. We also provided guidance on IAM security best practices, including using IAM users instead of root account and enabling MFA. Reference Documentation Below are the security guidelines provided by Wishket: Root Account and IAM Usage Guide: https://wishket-team.notion.site/safe-aws-usage-guide Risks of AWS Root Account Sharing: https://wishket-team.notion.site/aws-root-account-sharing-risk

이번 업무는 매거진 고객 사례에서 설명한 것과 동일한 IAM 모범 사례를 따랐습니다. AWS 관리형 ReadOnlyAccess 정책이 적용된 전용 읽기 전용 IAM 사용자를 배정된 위시켓 엔지니어에게 제공했습니다. 자세한 방법론은 매거진 고객 사례를 참조하시기 바랍니다. --- 위시켓은 고객 업무를 위해 표준화된 IAM 접근 방식을 따릅니다. 고객은 AWS 관리형 ReadOnlyAccess 정책을 사용하여 배정된 위시켓 엔지니어를 위한 전용 읽기 전용 IAM 사용자를 생성하며, 이는 생성/업데이트/삭제 권한 없이 최소 권한 접근을 보장합니다. 각 고객 업무는 해당 고객 전용의 고유 자격 증명을 받는 한 명의 엔지니어에게 배정되어, 프로젝트 간 자격 증명 격리를 유지합니다. 온라인 매거진 플랫폼의 경우, 고객은 배정된 위시켓 엔지니어가 AWS 아키텍처를 검토할 수 있도록 전용 읽기 전용 IAM 사용자를 생성했습니다. 파괴적 작업에서 와일드카드가 없도록 보장하기 위해 AWS 관리형 ReadOnlyAccess 정책(arn:aws:iam::aws:policy/ReadOnlyAccess) 사용을 요구했습니다. 엔지니어는 AWS Management Console에 접근하여 CloudFront, S3, Lambda 구성을 분석했습니다. 또한 루트 계정 대신 IAM 사용자 사용 및 MFA(다단계 인증) 활성화를 포함한 IAM 보안 모범 사례에 대한 가이드도 제공했습니다. **참고 문서** 아래는 위시켓에서 제공하는 보안 가이드라인입니다: - 루트 계정 및 IAM 사용 가이드: https://wishket-team.notion.site/safe-aws-usage-guide - AWS 루트 계정 공유의 위험성: https://wishket-team.notion.site/aws-root-account-sharing-risk