AWS STS(Security Token Service)
: STS를 통해 최대 1시간까지 임시 보안 자격 증명을 얻어 AWS 리소스의 바로 액세스할 수 있다.
- AssumeRole: 가장 핵심적인 계정 또는 교차 계정 내 역할을 추정하도록 한다.
- AssumeRoleWithSAML: 사용자가 SAML로 로그인 한 경우 사용자에게 임시 보안 인증을 부여한다.
- AssumeRoleWithWebIdentuity: 사용자가 신분 제공자로 로그인하면 역할을 반환한다.
- GetSessionToken: 사용자 또는 AWS 루트 계정ㅇ에 MFA가 있는 경우
- GetFederationToken: 연합된 사용자의 임시 자격 증명
- GetCallerIdentity: API 호출에 사용되는 IAM 사용자 또는 역할의 세부 사항을 반환한다.
- DecodeAuthorizationMessage: AWS API가 거부됐을 때 오류 메세지를 디코딩 한다.
- AWS STS(Security Token Service)를 사용하면 다른 AWS 계정에서 IAM 역할을 맡도록 승인된 AWS 계정에서 IAM 역할을 생성하여 교차 계정 액세스 권한을 얻을 수 있다.
Using STS to Assumme a Role
Cross account access with STS
STS with MFA
: GetSessionToken API를 사용해 STS에서 세션 토큰을 얻는다.
- IAM 역할에서 aws:MultiFacorAuthPresent:true를 추가한다.
Advancedd IAM - Authorization Moddel Evaluation of Pollicies, simplified
- 정책을 명시적으로 거부하면 거부로 결정하고 허용이면 허용으로 결정하고 그렇지 않으면 거절한다.
IAM Policies & S3 Bucket Policies
- IAM 원칙은 S3 버킷에 객체를 추가할 수 있고 IAM 정책과 S3 버킷 정책의 통합을 평가하게 된다.
- EC2 인스턴스가 있고 IAM 정책에서 S3 정책을 삭제했지만 EC2 인스턴스를 인증하는 S3 버킷 정책이 남아 있는 경우 계속 S3 작업이 가능하다.
Dynamic Policies with IAM
Inline vs Managed Policies
AWS Managed Policy
Customer Managed Policy
Inline
Granting a User Permissions to Pass a Role to an AWS Service
- 다른 AWS 서비스로 역할을 전달하려면 iam:PassRole이라는 IAM 권한이 필요하다.
Can a role be passed to any service?
: 모든 역할은 모든 서비스에 전달할 수 없다. 역할은 신뢰가 허용하는 것을 기반으로 해서만 전달할 수 있으며 역할에 관한 신뢰 정책은 어떤 서비스가 역할을 맡을 수 있는지 나타낸다.
What is Microsoft Active Directory(AD)?
: AD 도메인 서비스를 사용하는 모든 Windows 서버에서 볼 수 있는 소프트웨어
- 객체 데이터베이스
- 모든 객체는 트리(tree)로 만들어지고 트리가 모여 포레스트(forest)가 된다.
AWS Direcrtory Services
AWS Managed Microsoft AD
: 로컬 환경에서 사용자를 관리하고 멀티팩터 인증(MFA)을 지원한다.
AD Connector
: 온프레미스로 리다이렉트하는 디렉터리 게이트웨이 프록시로 MFA를 지원한다.
Simple AD
: AD와 호환 가능한 AWS의 관리형 디렉터리
