AutoSavings는 고객의 AWS 비용 데이터를 안전하게 분석하고 최적화하기 위해 최소 권한 원칙(Principle of Least Privilege)을 기반으로 설계되었습니다.
서비스 사용을 위해 필요한 권한은 다음과 같습니다:
✅ 1. AWS 계정 권한 위임 방식
- AutoSavings는 AWS 계정에 직접 접근하는 것이 아니라, IAM 역할(Role)을 통한 권한 위임(Delegation) 방식으로 동작합니다.
- 사용자는 OpsNow에서 제공하는 신뢰할 수 있는 역할 ARN을 연결함으로써, 안전하게 계정 연동을 완료할 수 있습니다.
✅ 2. 필요 권한: 읽기 전용 권한(Read-Only)
- AutoSavings는 비용 분석과 추천을 위한 ReadOnlyAccess 권한만으로도 대부분의 기능이 작동합니다.
- 해당 권한을 통해 다음 데이터를 수집합니다:
- EC2, RDS, Fargate 등 AWS 리소스 사용 내역
- Billing 및 Cost Explorer API 데이터
- 기존 RI 및 SP 약정 내역
✅ 3. 약정 구매 및 리셀 기능을 위한 추가 권한 (선택사항)
- 자동 구매/재판매 기능을 사용할 경우에는 다음 추가 권한이 필요합니다:
ec2:PurchaseReservedInstancesOfferingec2:ModifyReservedInstancesec2:SellReservedInstances
※ 위 권한은 고객의 승인을 통해 명시적으로 부여되며, 고객은 언제든지 권한 범위를 검토하거나 철회할 수 있습니다.
✅ 4. 보안 인증 및 접근 관리
- OpsNow는 AWS STS(Secure Token Service) 기반의 단기 세션 토큰을 사용하여, 민감한 자격 증명 노출 없이 안전하게 연동됩니다.
- 사용자 인증 및 접근은 OpsNow 플랫폼 내 **역할 기반 접근 제어(RBAC)**에 따라 제한되며, 조직 관리자만이 연결 및 변경을 수행할 수 있습니다.
