aws는 루트 유저와 IAM 유저로 나뉩니다.
루트 유저
-
생성한 계정의 모든 권한을 자동으로 가지고 있습니다.
-
생성시 만든 이메일 주소로 로그인합니다.
-
탈취당했을 때 복구가 매우 힘듭니다. 그래서 사용을 자제하고 MFA설정을 하는 것이 중요합니다.(일회용 비밀번호)
-
루트 유저는 관리용으로만 이용합니다. ( 계정 설정 변경, 빌링 등)
-
AWS API 호출이 불가합니다.(AccessKey/ Secret AccessKey 부여 불가)
IAM 유저
-
idenfify and Access Management
-
한 사람 혹은 하나의 어플리케이션을 의미합니다.
-
IAM을 통해 생성한 유저로 만들 때 주어진 아이디로 로그인합니다.
-
기본 권한이 없어서 따로 권한을 부여해야 합니다.
-
AccessKey : 아이디 개념
-
Secret Access Key : 패스워드 개념
-
AWS의 관리를 제외한 모든 작업은 관리용 IAM USer를 만들어 사용합니다.
-
권한 부여시 루트 유저와 같은 모든 권한을 가질 수 있지만 빌링 관련 권한은 루트 유저가 허용해야 합니다.
즉 루트 계정을 생성해서 작업용 IAM 계정을 만들어 사용하는 방식입니다.
루트 사용자는 사용하지 않으며
불필요한 사용자는 만들지 않고
가능한 그룹과 정책을 사용하고
최소한의 권한만을 허용하는 습관을 들입니다.
MFA를 활성화하고
Accesskey 대신 역할을 사용합니다.
IAM 자격 증명 보고서를 활용합니다.
진행 순서
1. AWS 계정 만들기
이메일 인증을 통해 계정을 만드시면 됩니다.
2. 루트 유저로 로그인하기
루트 유저로 로그인 합니다.
우측 상단의 리전 설정을 서울로 해줍니다.
3. 루트 유저 MFA 설정하기
구글 OTP 사용
보안자격증명 -> MFA 디바이스 할당 -> 구글 OTP로 QR인증을 하면 정상적으로 등록됩니다.
해당 QR은 다시 알 수 없으니 디바이스가 변경되거나 했을 때 다시 인증할 수 있도록 안전하게 보관해둡니다.
4. 계정 별명 생성하기
IAM 대시보드 -> 우측 계정 별칭 생성
5. 관리 권한을 가진 IAM 유저 생성하기
IAM -> 사용자 -> 사용자 생성
administratorAccess로 하면 빌링을 제외한 모든 권한을 가지게 됩니다.
빌링은 AWS 서비스를 사용하거나 구독한 사용자에게 청구되는 비용을 의미합니다.
이렇게 하면 생성된 IAM 계정은 AWS의 모든 권한을 가진 계정이 됩니다.
6. IAM 유저 MFA설정하기
똑같은 방식으로 MFA설정을 하시면 됩니다.
7. 루트 유저 로그아웃하고 IAM 유저로 로그인하기(계정 별명 활용)
로그아웃하고 IAM 유저로 로그인하시면 됩니다.
생성한 루트 계정의 별칭과 IAM 유저의 아이디, 비밀번호를 입력 후, MFA 인증을 하면 끝입니다.!
IAM(Identity and Access Management)
aws 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다.
aws 사용자 및 그룹을 만들고 관리하며 aws 리소스에 대한 액세스를 허용 및 거부할 수 있습니다.
IAM 구성
사용자 : 실제 AWS를 사용하는 사람 혹은 어플리케이션을 의미
그룹 : 사용자의 집합, 그룹에 속한 사용자는 그룹에 부여된 권한을 행사합니다.
정책 : 사용자와 그룹, 역할이 무엇을 할 수 있는지에 관한 문서입니다.
JSON 형식으로 정의됩니다.
역할 : AWS리소스에 부여하여 AWS 리소스가 무엇을 할 수 있는지 정의합니다
혹은 다른 사용자가 역할을 부여받아 사용하거나 다른 자격에 대해서 신뢰관계를 구축 가능합니다.
역할을 바꾸어 가며 서비스를 사용가능합니다.
가상화
단일 컴퓨터의 하드웨어 요소를 일반적으로 가상 머신이라고 하는 다수의 컴퓨터로 분할할 수 있도록 해주는 기술입니다.
1세대: 모든 시스템 요소가 애뮬레이터 안에서 돌아감
2세대: Guest OS는 하이퍼바이저와 통신 (os와 하드웨어 사이에 존재하는 일종의 가상화 매니저)
3세대: HVM. 하드웨어에서 직접 가상화를 지원해줍니다. 직접 guest OS가 하드웨어랑 통신합니다.
Aws에서 이미 구축된 가상화 가능한 서버를 사용자에게 할당해 주는 것
