AWS IAM

📍 SAA 도전 1일차
📍 Udemy-AWS Certified Solutions Architect Associate 섹션 4

IAM: Users & Groups

• IAM = Identity and Access Management, Global service
• IAM에서는 사용자를 생성하고 그룹에 배치하기 때문에 글로벌 서비스에 해당한다.
• 루트 계정은 자동으로 생성된다. 루트 계정은 사용되거나 공유되어서는 안된다. 오직 계정을 생성할 때만 사용되어야 한다.
• 하나의 사용자는 조직 내의 한 사람에 해당된다. 필요하다면 여러 명의 사용자들을 그룹으로 묶을 수 있다.
• 그룹은 사용자만 포함할 수 있다. 그룹에 다른 그룹을 포함시킬 수는 없다.
• 그룹에 포함되지 않은 사용자도 있을 수 있다.
  

IAM: Permissions

• 사용자 또는 그룹에게 IAM 정책이라고 불리는 JSON 문서를 지정할 수 있다. 정책들을 사용해서 사용자들의 권한을 정의할 수 있다.
  
• AWS에서는 모든 사용자에게 모든 것을 허용하지 않는다. 새로운 사용자가 너무 많은 서비스를 실행하여 큰 비용이 발생하거나, 보안 문제를 야기할 수 있기 때문이다.
• 따라서 AWS에서는 최소 권한의 원칙을 적용한다.
• 그룹에 배치된 사용자는 부여된 권한을 승계하게 된다.
• Permission을 설정하는 3가지 방식
  

IAM Policies Structure

• version: 정책 언어 버전
• ID: 정책 식별 번호 (optional)
• Statement: 하나 이상의 독립적인 구문들로 이루어짐
  • Sid: statement의 식별 번호 (optional)
  • Effect: 접근을 허용하는지 또는 거절하는지 (Allow, Deny)
  • Principle: 정책이 적용될 계정/사용자/역할
  • Action: Effect에 기반해서 허용 또는 거부되는 API 호출의 목록
  • Resource: Action이 적용될 리소스 목록
  • Condition: Statement가 언제 적용될지를 결정하는 조건 (optional)
    

IAM: Password Policy

• 비밀번호가 강력할수록 계정의 보안이 철저해진다.
• 다양한 password policy를 세팅할 수 있다.
  • 비밀번호의 최소 길이
  • 특정 유형의 글자 사용
  • 모든 IAM 사용자들이 각각 그들만의 비밀번호로 바꾸도록 허용
  • 일정한 기간마다 비밀번호 만료시키기
  • 비밀번호 재사용 막기

MFA(Multi Factor Authentication)

• AWS에서는 이 메커니즘을 필수적으로 사용하도록 권장된다.
• 사용자들은 계정에 접근 권한이 있고 많은 작업을 할 수 있다.
• MFA = 비밀번호 + 소유하고 있는 보안 장치
• MFA 장치의 종류
  • Virtual MFA device
    • Google Authenticator: 하나의 핸드폰만 사용 가능
    • Authy: 여러 장치에서 사용 가능. 하나의 장치에서 여러개의 토큰들을 제공하기 때문에 여러 개의 계정에 대해 토큰을 발급받을 수 있다.
  • U2F(Universal 2nd Factor Security Key)
    - YubiKey by Yubico: 물리적 장치이다. 하나의 보안 키에서 여러 루트 계정과 IAM 사용자를 지원한다.
    
    

AWS CLI

AWS CLI 설치하기 위해서는 다음 문서를 따라하면 된다.
AWS CLI

내 맥북에 aws CLI가 설치된 것을 확인할 수 있다.

AWS access key를 통해 IAM을 설정할 수 있다.

다음 명령어를 통해 user list를 확인할 수 있다.

IAM Roles for Services

• 몇몇 AWS 서비스는 동작들을 수행할 필요가 있다.
• 그렇게 하기 위해서, AWS 서비스들에 대한 권한을 IAM Role을 통해 부여해야 한다.
• common roles:
  • EC2 Instance Roles
  • Lambda Function ROles
  • Roles for CloudFormation

IAM Security Tools

• IAM Credentials Report(account-level): 계정의 사용자와 다양한 자격증명들의 상태를 포함한 리포트
• IAM Access Advisor(user-level): 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 접근한 시간이 보인다.

IAM Section - Summary