AWS IAM

목차

• 정의
• 개요
• 구성
• Root User
• IAM User
• 자격 증명 보고서

 

정의

• AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있으며, AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 엑세스를 허용 및 거부할 수 있다.
• 즉, AWS 자원에 대한 접근 제어해주는 서비스라고 보면 된다.
• 육하원칙 중 왜만 제외하고 정의할 수 있다.
  • 정책: 누가 언제 어디서 무엇을 어떻게에 대한 정의

 

개요

• AWS account 관리 및 리소스/사용자/서비스의 권한 제어
  • 서비스 사용을 위한 인증 정보 부여
• 사용자의 생성 및 관리 및 계정의 보안
  • 사용자의 패스워드 정책 관리(일정 시간마다 패스워드 변경등)
• 다른 게정과의 리소스 공유
  • Identity Federation(Facebook 로그인, 구글 로그인 등)
• 계정에 별명 부여 가능 -> 로그인 주소 생성 가능
• 글로벌 서비스 기능 

 

구성

• 사용자
  • 실제 사용하는 사람
  • 어플리케이션(람다같은 특정 서비스를 말하는 것)
• 그룹
  • 사용자 집합
  • 그룹에 사용자는 그룹에 부여된 권한을 행사(디자이너에 속한 사람들은 디자이너 관련 역할만 수행)
• 정책
  • 사용자와 그룹, 역할이 무엇을 할 수 있는지에 관한 문서
  • JSON(JavaScript Object Notation) 형식으로 정의
    • 주로 다양한 프로그램 간에 데이터 주고 받기 위해 사용
    • 매우 다양한 언어에서 언어 자체에서 지원하거나 플러그인으로 사용가능
    • 키-벨류로 구성
• 역할
  • AWS 리소스에 부여하여 AWS 리소스가 무엇을 할 수 있는지 정의
  • 혹은 다른 사용자가 역할을 부여(위임) 받아 사용
  • 다른 자격에 대해서 신뢰관계를 구축 가능
  • 역할을 바꾸어 가며 서비스를 사용 가능

 

권한 검증

 

 

Root User

• 생성한 계정의 모든 권한을 자동으로 가짐
• 생성시 만든 이메일 주소로 로그인
• 탈취당할시 복구가 매우 힘듬: 사용을 자제하고 MFA 설정 필요
  • MFA: 일회용 패스위드를 생성하여 로그인
• 루트 유저는 관리용으로만 이용: 계정 설정 변경, 빌링 등
• AWS API 호출 불가(AccessKey/Secret AccessKey 부여 불가): API 호출 및 여러 기능을 사용 못함

 

IAM User

• IAM을 통해 생성한 유저
  
  • 설정 시 콘솔 로그인 권한 부여 가능(설정x시 AWS 서비스 이용 못함)
• 만들 때 주어진 아이디로 로그인
• 기본 권한 없음: 따로 권한을 부여해야 함
  • 예: 관리자 IAM User 개발자 IAM User 등등
• 꼭 사람이 아나니 어플맅케이션 등의 가상의 주체를 대표할 수도 있음
• AWS API 호출 가능, 밑에는 호출시 사용하는 값들
  • AccessKey: 아이디 개념
  • Scret Access Key: 패스워드 개념: 공개x, 공유x, 한 번 발급 받으면 다시 받을 수 없음. 유출 의심시 다시 받으면 됨.
• AWS의 관리를 제외한 모든 작업은 관리용 IAM User를 만들어 사용
• 권한 부여시 루트 유저와 같이 모든 권한을 가질 수 있지만, 빌링 관련 권한은 루트 유저가 따로 허용해워야함
• 계정 접속시 MFA 디바이스를 할당하여 2차 인증을 만들어둬야 보안에 있어 안정적

 

자격 증명 보고서

• 계정의 모든 사용자와 암호, 엑세스 키, MFA 장치 등의 증명 상태를 나열하는 보고서를 생성하고 다운로드 가능
• 4시간에 한번씩 생성 가능 
• AWS 콘솔, CLI, API 에서 생성 요청 및 다운로드 가능
• 포함되는 정보

암호	엑세스 키	기타
암호의 활성화 여부 마지막으로 사용된 시간 마지막으로 변경된 시간 언제 변경되어야 하는지	엑세스키 활성화 여부 마지막으로 사용된 시간 마지막으로 변경된 시간 어떤 서비스에 마지막으로 사용되었는지	MFA 사용 여부 사용자 생성 시간

 

 

출처: https://www.youtube.com/@AWSClassroom  유튜버: AWS 강의실