IAM

  1. IAM 정의
    • AWS Identity and Access Management
    • AWS 서비스와 리소스에 대한 엑세스를 안전한게 관리
    • AWS 사용자 및 그룹을 만들고 관리
    • AWS 리소스에 대한 엑세스를 허용 및 거부
  2. IAM 소개
    • AWS 어카운트 관리 및 리소스/사용자/서비스의 권한제어
      • 서비스 사용을 위한 인증 정보 부여
    • 사용자의 생성 및 관리 및 계정의 보안
      • 사용자의 패스워드 정책 관리
    • 다른 계정과의 리소스 공유 (Identity Federation : 소셜 로그인)
    • 계정에 별명 부여 가능(로그인 주소 생성)
    • region별 service가 아닌 global service
  3. IAM 구성
    1. 사용자
      • 실제 AWS를 사용하는 사람 혹은 application을 의미
    2. 그룹
      • 사용자의 집합
      • 그룹에 속한 사용자는 그룹에 부여된 권한을 행사 가능
    3. 정책(Policy)
      • 사용자와 그룹 각각의 역할이 어떤 것을 할 수 있는지에 관한 문서
      • JSON 형식으로 정의
    4. 역할(Role)
      • AWS 리소스에 부여, AWS 리소스가 무엇을 할 수 있느지를 정의
      • 서비스여 부여되어 서비스가 무엇을 할 것인지 결정
      • 다른 사용자가 역할을 부여 받아 사용
      • 다른 자격에 대해서 신뢰관계 구축 가능
      • 역학을 바꾸어 가며 서비스를 사용 가능

    • 정책으로 부터 시작 (언제, 어디어, 누가, 무엇을, 어떻게)
    • 정책이 사용자 또는 그룹에 부여됨
    • 역할이 부여될 수 도 있음 -> 역할이 서비스들이 무엇을 할 것인지 결정
  4. IAM의 권한 검증

    • 사용자가 service에 대한 권한 확인

    • service가 service에 대한 권한 확인 - S3 : file storage service - lamda : computing service

  5. IAM 자격 증명 보고서
    • 계정의 모든 사용자와 암호, 엑세스 키, MFA 장치 등의 증명 상태를 나열하는 보고서를 생성하고 다운로드 가능
    • 4시간에 한 번씩 생성 가능
    • AWS 콘솔, CLI, API에서 생성 요청 및 다운로드 가능
  6. 주의사항
    • root user 사용하지 않기
    • group과 policy 사용하기
    • 최소한의 권한만 허용하기
    • MFA 활성화하기
    • AccessKey 대신 역할 활용하기
    • IAM 자격 증명 보고서 활용하기

태그:

카테고리:

업데이트: