1.IAM이란?

IAM(Identity and Access Management)는 AWS resource에 접근하는것을 돕는 웹서비스이며 자원을 사용하기 위하여 권한을 부여하고 증명하는데 사용한다.

2. IAM 특징

◻︎ AWS 계정 접근 공유
암호나 Access 키를 공유하지 않고 AWS 계정의 resource를 관리하고 사용하는 권한을 다른사람에게 부여할 수 있다.

◻︎ 세분화된 권한
resource별로 여러 사용자에게 다양한 권한을 부여할 수 있다. 예를 들어 몇몇의 사용자에게 Amazon EC2, Amazon S3, Amazon DynamoDB, Amazon Redshift 및 다른 AWS 서비스에 대해 완전한 접근을 허용할 수 있다. 다른 사용자는 일부S3 buckets에 대한 읽기전용 권한을 허용하거나 일부 EC2 instance를 관리할 수 있는 권한을 허용하거나 너의 청구정보에 접근할 수 있는 권한을 허용할 수 있다.

◻︎ 다중인증 (MFA, Multi-factor authentication)
계정과 개별적인 사용자에게 보안을 위한 이중 인증 추가 가능하다. 다중인증을 사용하면 사용자들은 계정을 사용하기 위한 비밀번호나 접근키 뿐만이 아니라 특별히 구성된 장치코드도 제공해야 한다.

◻︎ ID 연합
회사 네트워크나 인터넷 자격 공급자와 같이 이미 암호가 있는 사용자가 AWS 계정에 임시로 접근하도록 허용할 수 있다.

◻︎ 증명을 위한 신원 정보
AWS CloudTrail를 사용하는 경우 계정의 리소스를 요청한 사람에 대한 정보가 포함된 로그 레코드를 받게 된다.

◻︎ PCI DSS 준수
IAM은 판매자 또는 서비스 제공업체의 신용 카드 데이터 처리, 저장 및 전송을 지원하며 PCI(Payment Card Industry) DSS(데이터 보안 표준)를 준수하는 것으로 확인되었습니다.

◻︎ 많은 AWS서비스와의 통합
For a list of AWS services that work with IAM, see AWS services that work with IAM.

◻︎ 일관성
IAM은 일관성이 있다. 일부 데이터 변경 요청이 성공하면 변경 사항이 커밋되고 안전하게 저장된다. 그러나 변경 사항을 IAM 전체에 복제해야 하므로 시간이 걸릴 수 있습니다. 이러한 변경에는 사용자, 그룹, 역할 또는 정책 생성 또는 업데이트가 포함됩니다.

◻︎ 무료 사용
IAM과 AWS STS(Security Token Service)는 추가 요금 없이 제공된다.
다른 AWS 서비스에 너의 IAM 유저를 사용하여 접근하거나 AWS STS credential을 사용하는 경우에만 요금이 부가된다. AWS 요금 페이지에서 관련되 정보를 확인할 수 있다.

참고
https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html?icmpid=docs_iam_console