AWS Certified Cloud Practitioner - AWS IAM

반응형

IAM 개요

• AWS 계정 및 권한 관리 서비스이다.
• AWS 서비스와 리소스에 대한 엑세스를 관리한다.
• 사용자, 그룹, 역할, 정책으로 구성되어있다.
• 리전에 속하는 서비스가 아닌 글로벌 서비스이다.

IAM 권장사항

• 루트계정은 최초 사용자 계정 생성 이후 가능하면 사용하지 말 것
• 사용자 계정으로 서비스를 사용하고 사용자는 필요한 최소한의 권한만 부여
• 강력한 암호정책과 멀티팩터 인증(MFA) 적용
• 사용자의 암호에 대한 복잡성 및 교체 주기를 정의

IAM 루트 사용자 자격증명을 요구하는 작업

• IAM 사용자 권한을 복원
• Billing and Cost Management 콘솔에 대한 IAM 액세스 활성화
• 특정 세금 계산서를 조회
• AWS 계정을 닫음
• AWS 지원 플랜을 변경하거나 취소
• 예약 인스턴스 마켓플레이스에 판매자로 등록
• MFA delete를 활성화하도록 Amazon S3 버킷을 구성
• 잘못된 VPC ID 또는 엔드포인트 ID가 들어있는 Amazon S3 버킷 정책을 편집하거나 삭제
• GovCloud 등록

IAM 자격증명

사용자

• 개인 또는 애플리케이션에 대한 특정 권한을 가진 AWS 계정 내 자격증명이다.
• 한 사람과만 연관되어 있다.(한 명의 실제 사용자)
• 암호 또는 액세스 키와 같은 장기 자격 증명을 통해 액세스한다.

정책

• AWS 리소스에 대한 액세스 권한을 정의한 것이다.
• 사용자, 그룹, 역할에 정책을 연결하여 사용한다.
• JSON 문서 형식으로 이루어져 있다.
• 정책이 명시되지 않는 경우 기본적으로 모든 요청이 거부되어 있는 상태이다.
• 종류
  • 관리형 정책 : AWS 계정에 속한 다수의 사용자, 그룹 및 역할에 연결할 수 있는 정책이다.(AWS 관리형 정책, 고객 관리형 정책)
  • 인라인 정책 : 단일 사용자, 그룹 또는 역할에 직접 추가하는 정책

역할

• 특정 권한을 가지고 있는 AWS 계정 내 자격 증명이다.
• AWS 자격 증명이라는 점에서 IAM 역할은 IAM 사용자와 유사하다.
• 사용자와 유사하나 한 사람만 연관되지 않고 누구든지 맡을 수 있다.
• 장기 자격 증명이 없고, 임시 보안 자격증명이 제공된다.(AWS STS 사용)
• 역할을 사용하여 AWS 리소스에 액세스할 수 없는 사용자, 애플리케이션, 또는 서비스에 액세스 권한을 위임
• 사용 주체
  • AWS 서비스
  • 역할과 동일하거나 다른 AWS 계정의 IAM 사용자
  • 제 3자 웹 자격증명 공급자의 사용자
  • SAML 2.0 등과 호환되는 외부 자격 증명 공급자(Idp) 서비스에 의해 인증된 외부 사용자

IAM 권한 경계

• IAM 사용자 또는 역할에 최대 권한을 제한하는 기능이다.
• AWS 전체 권한을 가지고 있어도 권한 경계에 대한 권한 범위로 축소되어 적용

자격증명 보고서

계정의 모든 사용자와 암호, 액세스 키, MFA 디바이스 등 이들의 자격증명 상태를 나열하는 자격증명 보고서를 생성한다.

IAM Access Analyzer

• 인터넷 상의 모든 사용자 또는 조직 외부의 AWS 계정을 포함한 다른 AWS 계정에 대한 액세스를 허용하도록 구성된 AWS 리소스를 식별하는 기능이다.
• 외부와 공유되는 조직 및 계정 내 리소스를 식별
• AWS 조직 및 계정 내 미사용 액세스를 식별하고 검토한다.

 

출처
https://www.inflearn.com/course/aws-%EC%9E%90%EA%B2%A9%EC%A6%9D-%ED%81%B4%EB%9D%BC%EC%9A%B0%EB%93%9C-%EA%B8%B0%EC%B4%88/dashboard