[CS] AWS-5.IAM & Organizations

limlim·2023년 5월 17일
0

CS

목록 보기
12/15

개요

  • IAM은 AWS에서 S3를 이용할 때 권한 문제 때문에 사용해 본적이 있다. 그래서 IAM이 권한 관련된 기능이라는 것을 알고있다.

  • 또한 AWS에 계정을 생성하면, 기본적으로 루트 사용자로 생성되며 해당 루트 사용자는 계정에 대한 모든 권한을 가진 채로 생성된다. 루트 사용자를 가지고 계정을 관리 및 운영하게 되면 1개의 계정을 여러 사람이 사용하게 되어 누가 어떤 작업을 수행했는지 관리하기 어렵다. 또 모든 권한을 보유하고 있어 보안 측면에서도 권장되지 않는다.

  • 다음으로 정리할 개념인 IAM은 사용자 단위로 부여할 수 있는 계정이며, Organizations는 기업.조직 전체를 관리하기 위한 관리체계로 제공되는 기능이다.

  1. IAM이란?
  • AWS 콘솔과 AWS CLI, AWS SDK 등 다양한 AWS 기능별로 권한을 부여할 수 있는 사용자 단위의 계정임

  • 하나의 AWS 계정에 IAM 계정을 여러 개 생성할 수 있으며, 각각의 IAM 계정에는 목적별로 권한을 부여할 수 있음

  • 예를 들어, 아래와 같은 방식으로 계정에 하위 IAM을 만들어 각 개발 구성원들에게 적합한 기능과 권한 부여할 수 있음

ex) CTO: Administrator 권한이 부여된 계정
개발자: EC2FullAccess 권한이 부여된 계정
외부 컨설턴트: ReadOnlyAccess 권한이 부여된 계정
데이터 엔지니어: AmazonRDSDataFullAccess 권한이 부여된 계정

  1. 예시: S3에서 파일을 읽고, 삭제하는 권한만 부여한 IAM 만들기

1) AWS의 IAM 탭에 접속

2) IAM 사용자 생성

3) IAM 사용자 권한 부여

4) 입맛에 맞는 정책 생성

5) 생성한 정책 연결

6) 생성한 IAM 사용자 액세스 키 확인: 여기서 비밀 액세스 키는 생성 직후 1번만 조회가 가능하기 때문에 꼭 저장해놓아야 함

  1. Organizations란?
  • 단일 서비스를 제공하는 기업은 상관없지만, 여러 팀이 각각 하나의 서비스를 운영하는 큰 조직이라면 한 개의 AWS 계정에 너무 많은 서비스가 들어가 관리하기 어려움

  • 그래서 권장되는 것이 Organizations 기능임

  • 여러 AWS 계정을 1개의 Organizations(조직)에 초대 및 연결하여, 루트 계정을 통해 조직 내 모든 하위 계정의 비용을 관리하고, 청구할 수 있음

  1. Organizations 기능 사용법

1) 계정 초대하기

2) SCP - 서비스 제어 정책 활용하기

  1. 정리
  • 지금까지 AWS의 기능에 대해 살펴보았는데 정리한 내용 말고도 더 많은 기능이 있다.

  • 그중에서 IAM과 Organizations는 개발팀을 운영하는 곳에서 필수적인 요소인 것 같다.

  • 각 사용자에 대해 권한을 부여해 관리를 한다는게 효율적인 것 같다.

참고자료: https://yozm.wishket.com/magazine/detail/1511/

profile
不怕慢,只怕站 개발자

0개의 댓글