IAM

: Identity and Access Management, Global service

Roles

: AWS 서비스에서 사용할 AWS 서비스 요청을 위한 권한 집한을 정의하는 IAM 엔티티

Users & Group

• 루트 계정을 기본으로 생성하고, 루트 계정은 사용하거나 공유해서는 안된다.
• IAM 사용자 그룹에는 오직 IAM 사용자만 포함될 수 있다.

Permissions

• IAM을 설정하는 이유는 사용자들이 AWS계정을 사용하도록 허용하고 권한을 부여하기 위해 설정한다.
• AWS에서는 최소 권한의 원칙을 적용한다.

Policies Structure

: 대부분의 정책은 AWS에 JSON 문서로서 저장

• Consist of
  - Version
  • Id
  • Statement
    • Statements consists of
      • Sid(optional)
      • Effect
      • Principal
      • Action
      • Resource
      • Condition(optional)

Password Policy

: 강한 비밀번호는 높은 보안을 자량한다.

MFA

: Multi Factor Authentication(비밀번호 + 보안장치)

• AWS에서는 이 메커니즘을 필수적으로 사용하도록 권장된다.
• MFA 활성화를 통해 루트 계정의 보안을 높일 수 있다.(루트 계정의 경우 모든 권한을 갖고 있기 때문에 보안이 중요하다)

AWS Access

• AWS Management Console(protected by password + MFA)
• AWS Command Line Interface(CLI)
  - Access Key의 경우 비밀번호와 같은 기능으로 절대 공유해서는 안된다.
• AWS Software Developer Kit(SDK)
  - 다운로드가 아닌 코딩을 통해 어플리케이션 내에 심어 두어야 한다.

IAM Security Tools

• IAM Credential Report(account-level)
• IAM Access Advisor(user-level)

AWS Shared Responsibility Model

: 공동 책임 모델

• AWS 책임 '클라우드 보안': AWS는 AWS 클라우드에서 제공되는 모든 서비스를 실행하는 인프라를 보호할 책임이 있다.
• 고객 책임 '클라우드에서의 보안': 고객이 선택하는 AWS 클라우드 서비스에서 고객인 수행해야 하는 구성 관리에 대한 책임이 있다.

Summary