JIRA에서 IAM 권한 요청 관리하기

어떤 내용을 작성할 것인가?

IAM 권한 요청 - 승인 프로세스를 Slack - Jira의 통합으로 관리하는 방법

누가 이 글을 볼 것인가?

- IAM 인허가 체계를 만들고 싶은 사람
- ISMS 2.5.1, 2.5.6 를 해결하고 싶은 사람
- IAM 관리 절차를 기록으로 남기고 싶은 사람

어떤 이점이 있는지?

- IAM 요청시 Slack 으로 요청할 수 있고, 진행상황을 실시간으로 slack 알람으로 전달 받을 수 있다.
- Slack에서 업무 통합이 가능하다.
- 권한 요청사항이 기록으로 남는다.
- ISMS 인증 기준을 충족할 수 있다.

 

어떤 이점이 있는지?

- IAM 요청시 Slack 으로 요청할 수 있고, 진행상황을 실시간으로 slack 알람으로 전달 받을 수 있다.
- Slack에서 업무 통합이 가능하다.
- 권한 요청사항이 기록으로 남는다.
- ISMS 인증 기준을 충족할 수 있다.

 

본문

AWS 계정을 관리하는 업무를 하다보면, 동료로부터 지속적인 IAM 권한 요청이 들어온다. 이를 해결하기 위해 여러 방안들이 존재할 수 있다.

1. 동료가 IAM 권한에 접근할 수 있도록 한다. 

-> 스타트업의 특정 시기나 일부 특수한 경우가 아니라면 보안에 큰 구멍이 뚤리고 올바른 권한 관리가 아니라고 할 수 있다.
(실제로 이런 요청이 자주 많이 들어오기도 한다. 하지만 절대 X )

2. 동료가 요청한 IAM 권한을 빠른 손놀림으로 만들어준다
-> 엔지니어링적인 해결책이라고 보기 어렵다.

3. 미리 필요한 IAM 권한을 만들어 둔다.
-> 서비스 기획 단계에서 필요한 IAM 권한을 만들어두고, IAM 생성 업무를 실시간 요청보다는 주기 업무로 전환
-> 개인적으로 가장 적절한 방법이라고 생각하지만 계획대로 되는 경우는 잘 없다.

그럼에도 불구하고 권한요청은 때때로 불쑥불쑥 들어온다.

그리고 항상 요구되는 d-day는 asap 이다. 이런 악순환이 반복되면 생산성이 굉장히 떨어지게 되고 나도 그런 경험을 겪었다. 이러한 문제를 조금이나마 해결하기 위해 다양한 시도를 해봤다.

- AWS IAM 요청 가이드라인

- AWS 리소스 네이밍 스타일 가이드라인 만들기

- ConsoleMe 도입

- Terraform 도입

조금씩 개선은 되었지만 ASAP의 늪에서는 벗어날 수 없었고, 이를 해결하기 위한 방법은 확인하던 중 IAM 관리에 대한 거버넌스를 다시 규정했다. 오늘은 거버넌스를 도입하면서 AWS IAM 권한 관리를 Jira Project로 관리하고 slack과 통합한 내용에 대해 설명하고자 한다.

 

새롭게 구성된 거버넌스

- IAM 권한 요청은 반드시 Jira를 통해서 요청해야만 작업할 것.
- Task에는 'Task 요청시 업무일 2일 내 완료되며, 완료 및 진행상황을 jira를 통해 확인할 수 있다.'라는 문구를 포함할 것.
- 개발자는 위 항목을 반드시 인지하고 요청할 것.

 

Jira 프로젝트 구성

- 칸반 프로젝트 생성 

- 이슈 유형 구성

- 에픽 구성

 

- 알람 구성은 아래 Slack 통합에서 다룰 예정

 

IAM 요청 프로세스

1. IAM 요청자는 Jira project(IAM Management) 에서 필요한 권한을 Task에 정의하여 생성

2. (선택사항) Task 생성시 포함된 'AWS IAM 요청 가이드라인' 을 참고하여 요청할 것

3. Task 가 Done이 되면 생성된 리소스를 사용

 

IAM 관리 프로세스

1. 관리자는 Jira에 새로운 Task 가 생성되면, 해당 Task에 포함된 내용(생성, 수정, 삭제)을 확인한다.
(Task 상태: Open -> In Progress)

2. 개발용 AWS 계정에서 요청한 내용과 동일한 권한이 부여되는지 테스트를 진행한다.
(Task: In Progress)

3. 개발용 권한을 삭제한 다음, 서비스 AWS 계정에 동일하게 반영한다. (테라폼을 이용해 변경사항을 배포)
(Task: In Progress)

4. 태스크 완료 
(Task : In Progress -> Done)

 

Slack과 연동

 

slack에서 jira 프로젝트와 연동할 수 있습니다.

- slack 에서 앱추가 - > jira cloud 를 선택한 다음 워크스페이스를 허용

- slack에서 /jira 명령입력시 jira cloud project - slack channel을 동기화할 수 있다.

 

 

연동 후

IAM 요청 프로세스는 slack에서 커맨드로 간단히 설정할 수 있게된다.

장점
- IAM 권한 요청자는 기존과 동일하게 slack을 통해 요청을 진행
- 별다른 요청 없이, 진행상황을 jira로부터 실시간으로 전달받을 수 있다. 
- ISMS 2.5.1, 2.5.6 항목에 대한 요구사항을 만족할 수 있을 것으로 기대.