IAM

• Identity and Access Management, Global service
• Root account는 기본으로 만들어지지만 쓰거나 공유하지 않음
• Users 는 조직 내 사람들이며 그룹화될 수 있다.
• groups는 user를 가지고있으면서 다른 그룹에 속하지 않는다.
• best practice는 아니지만 한 유저가 여러 그룹에 들어갈 수 있음.
• 권한때문에 씀.
  • json documents로 되어있는 정책으로 결정됨

정책

• 그룹레벨 정책은 유저에게 영향을 줌
• 특정 유저에게만 적용되는 inline policy도 생성 가능함

- version

• 정책 언어 version. 항상 2012-10-17이 있다.

- id

• 정책 id

- statement

• 각각 statement들
• Sid
  • statement id
• Effect
  • Allow or Deny
• Principal
  • 어떤 유저, 어카운트, role 등이 적용될 것인가
• Action
  • 어떤 행동이 allow, deny될지
• Resource
  • 자원들. ex) bucket?
• Condition (optional)
  • 어떤 조건에서 해당 정책이 적용될것인지 결정됨

password 정책

• 최소길이
• 특별한 문자타입 (대소문자, 특수문자 등)
• IAM 유저가 자신의 패스워드를 설정할 수 있음
• 패스워드 변경 후 제한기간(변경후 90일 등)
• 패스워드 재사용 방지

MFA (Multi Factor Authentication)

• 패스워드 + MFA token
• OTP를 생각하면 된다.
• virtual MFA device
  • google authenticator (phone only)
  • authy (multi device)
• Universal 2nd Factor (U2F) Security Key
  • usb같이 생김...
• Hardware Key Fob MFA Device
  • OTP생성기