[aws] IAM

IAM(Intoduction to AWS Identity and Access Management)

자격을 인증하고 권한을 부여

• AWS 고객이 AWS 계정 및 AWS 내에서 사용 가능한 API 및 서비스에 대한 사용자의 액세스 및 권한을 관리할 수 있도록 하는 서비스

• 사용자, 보안 자격 증명(예: API Access Key)을 관리하고 사용자가 AWS 리소스에 액세스할 수 있도록 허용할 수 있음

IAM 정책

• 관리형 정책

  • 모든그룹이나 사용자에게 정책을 일괄되게 유지
  1. 기본적으로 AWS에서 제공
  2. 사용자 지정

• 인라인 정책

  • 각 그룹에만 적용되는 정책

위임(delegation)

특정 자원에 대해 접근할 수 있도록 제3자에게 권한을 부여

• 자원을 소유하고 있는 신뢰는 제공하는 계정(trusting account)과 자원에 접근이 필요한 사용자또는 애플리케이션을 포함한 신뢰는 제공받는 계정(trusted account)간의 신뢰 관계(trust relationship)을 설정하는 작업

연동(federation)

페이스북, 구글과 같은 외부 자격 증명 공급자 또는 SAML(Security Assertion Markup Language) 2.0 및 AWS를 지원하는 기업용 자격 증명 시스템 간에 신뢰 관계를 생성하는 프로세스

• 사용자는 외부 자격 증명 공급자를 통해 로그인하고 임시 자격 증명을 갖는 IAM 역할을 맡을 수 있음

AWS의 권한

• 자격 증명 기반 권한(identity-based permissions)
  • IAM 사용자 또는 열할이 수행할 수 있는 것을 지정
• 자원 기반 권한(resource-based permissions)
  • S3 버킷, SNS 주제와 같은 AWS 자원에서 수행할 수 있는 것 또는 누가 그 자원에 접근할 수 있는지를 지정
  • 주어진 자원에 접근할 수 있는 사용자를 지정
  • S3 버킷, SNS 주제, SQS 큐, Glacier 볼트, OpsWorks 스택, Lambda 함수 등의 서비스만 자원 기반 정책을 제공

권한과 정책(permissions, policies)

사용자, 그룹, 역할이 수행할 수 있는 작업을 기술하는 정책을 생성해서 권한을 부여

• 정책 유형
  • 관리형 정책(managed policies)
    • 사용자, 그룹, 역할에는 적용되지만 자원에는 적용되지 않음
    • 재사용, 변경관리, 버전관리, 롤백이 용이
  • 인라인 정책(inline policies)
    • 특정 사용자, 그룹, 역할에 직접 생성하고 적용
    • 엔티티가 삭제되면 엔티티에 적용된 인라인 정책도 삭제
    • 자원 기반 정책은 항상 인라인 정책