IAM 사용자 및 그룹
IAM 이란? - 계정 접근 관리 서비스를 뜻한다.
Root account - 말 그대로 루드 계정, 절대 공유하면 안 된다.
Users - 같은 조직 내 사람들을 뜻하며, 그룹에 속 할 수 있다.
Groups - 사용자만 포함할 수 있으며 다른 그룹은 포함할 수 없다.
그림과 같이 사용자는 여러 그룹에 속할 수 있으며, 그룹은 여러 명의 사용자를 포함시킬 수 있다.
IAM 정책
사용자 또는 그룹에 할당되는 정책 JSON 문서이다.
- Version -> 정책 버전
- Statement -> 정책 요소
- sid -> 정책 식별 값
- effect -> 특정 API에 대한 권한 (허용,거부)
- principal -> 정책이 적용될 사용자,계정, 혹은 역할
- Action -> effet에 기반해 허용, 거부되는 API 목록
- resource -> 작업이 적용될 action의 리소스 목록
- condition -> statement가 적용되는 조건
IAM - 비밀번호 정책
1.강력한 비밀번호 타입 지원
2.MFA
- Multi Factor Authentication (비밀번호 + 보안장치의 조합)
- 구글 인증기 등등
이 외에 다른 여러가지 방식과 인증 장치 들이 있다.
IAM Access
- Console URL
- CLI (명령줄 인터페이스)
- SDK (AWS 소프트웨어 개발 키트)
IAM CLI 사용법 (windows)
- AWS cli install 구글링
- windows관련 aws cli msi 설치, 실행
- 터미널로 접근 후 aws configure 입력 후 엑세스 키값을 입력하면 끝.
IAM CloudShell
- AWS에서 제공하는 CLI랑 비슷한 터미널이라고 보면된다.
IAM 역할 (Role)
- AWS의 특정 서비스에 대한 IAM 역할을 생성해줘야 할 수도 있다.
- Role -> AWS의 실체(ec2 등)들에게 aws에서 작업을 수행할 수 있는 권한을 부여하는 것.
IAM 모범사례
- AWS 계정 설정 이외에는 루트계정을 사용하지 않는다.
- 한명의 AWS 사용자는 한명의 물리적 사용자와 동일하다.
- 사용자를 그룹에 할당하고 그룹에 권한을 할당하여 보안그룹 수준에서 관리를 해야한다.
- 강력한 비밀번호 정책을 따른다.
- 다중 인증 방식을 적용한다.
- AWS 서베스에 대한 권한을 부여할 때 Role을 생성하고 사용하는 것이 좋다.
- CLI,SDK 사용 시 사용자 엑세스 키 생성한다.
- 계정의 권한을 감시하려면 IAM 자격 증명 보고서 확인한다.
- 절대 IAM 사용자와 액세스 키를 공유하지 않는다.
IAM 공통 책임 모델
AWS
- AWS 는 제공하는 모든 것에 책임을 가진다
ME
-
AWS가 제공하지 않는 많은 것의 책임을 진다.
-
자체 사용자, 그룹 , 역할, 정책, 그 정책을 관리하고 모니터링 하는 모든 것이 전부 "나"의 책임이다. 모든 계정에서 MFA를 활성화하고 시행하는 것도 "나"의 책임이다. 또한 키를 자주 교체하는 것도 내 책임이며, IAM 도구를 사용해서 적합한 권한을 적용하는 것과, 액세스 패턴과, 계정 권한 검토 등등 모든 것이 "나"의 책임.
AWS는 모든 인프라에 대한 책임을 지며, "나"는 모든 인프라 사용에 대한 책임을 진다.
IAM 최종 요약
User - 사용자는 반드시 기업(팀) 내 사용자여야한다. 그리고 사용자는 AWS콘솔의 아이디,비밀번호를 가진다.
Groups - 이러한 사용자를 사용자 그룹으로 그룹화 가능하다.
Policies - 사용자 또는 그룹의 권한을 설정하는 정책 연결 or Json 문서 공유. 또한, 역할을 생성하고 이것을 EC2 인스턴스나 다른 AWS 서비스를 위한 자격 증명이 가능하다.
Security - MFA, Passowrd Policy
AWS CLI - CLI 명령을 통해 서비스를 관리 가능하다.
AWS SDK - SDK로 프로그래밍 언어를 통해 서비스 관리가 가능하다.
Access key - CLI, SDK 사용하기 위함이다.
Audit - IAM 자격증명보고서 생성가능, IAM 접근 감시 서비스로 IAM 사용량 감시 가능하다.
