005. AWS - IAM

IAM

 

이메일 아이디로 만든 AWS 계정을 루트계정 이라고 부릅니다. 루트 계정은 모든 AWS 리소스에 접근할 수 있는 권한을 가지고 있기 때문에 여러 명의 사용자가 루트 계정을 사용하는 것은 보안에 좋지 않습니다. 

 

이를 위해 AWS에서는 IAM(Identy and Access Management)서비스를 제공합니다. 이것을 통해 루트계정 없이도 각각의 사용자들이 AWS리소스들에 접근할 수 있도록 하고 IAM을 통해 유저, 유저 그룹을 만들어 각각의 사용자 혹은 그룹별로 필요한 권한만 제한적 부여가 가능합니다. 

 

IAM 특징

 

각 AWS 서비스 및 자원 별 사용 권한 지정

역할 및 정책을 통해 손쉽게 자세한 권한 관리

기업내 사용자 관리 시스템과 연동 지원

오프라인 기기(MFA, 멀티팩터 인증)를 통한 인증 가능

 

IAM 구성

 

루트사용자 - 모든 접근 권한을 가지고 있는 가장 중요한 사용자, AWS콘솔에 아이디와 비밀번호로 접속

 

사용자 - 루트사용자와 접속방법은 비슷하지만 부여된 정책에 한해서만 리소스 접근 가능

 

그룹 - 모든 사용자를 필요 없이 간단히 그룹으로 묶어 그룹 권한을 수정할 수 있습니다.

 

역할 - 비밀번호로 접속 X, 그룹에 속할수 X, 정책에 한해서만 접근할 수 있습니다.

 

정책 - AWS 리소스에 접근하기위해 권한을 허용할지 거부할지 결정합니다. JSON 형태로 저장되며 각 그룹, 사용자, 역할에 부여할 수 있습니다. 기존에 AWS에서 제공하는 정책들을 이용하여 고객이 직접 관리할 수 있습니다. 

 

IAM 접속 방법

 

AWS 관리 콘솔

 

IAM 및 AWS 리소스를 관리하기 위한 브라우저 기반 인터페이스, 일반적인 접속방법

 

AWS 명령어 도구

 

AWS 명령어 도구를 통해 시스템 명령어에서 명령을 실행하여, IAM 및 AWS 작업을 수행하는 방법입니다.

고급 사용자에게는 명령어를 사용하는것이 콘솔을 사용하는 것 보다 더욱 빠르고 편리합니다.

AWS에서는 두가지 도구를 제공하는데 AWS CLI와 Windows PowerShell용 AWS도구를 제공합니다.

 

AWS SDK

 

AWS에서는 다양한 프로그래밍 언어 및 플랫폼을 위한 라이브러리와 샘플코드로 구성된 소프트웨어 개발 키트(SDK)를 제공합니다. SDK이용시 편하게 IAM 및 AWS에 프로그래밍 방식으로 액세스 가능합니다.

 

IAM HTTPS API

 

서비스로 직접 HTTPS 요청을 실행할 수 있는 API를 사용하여 프로그래밍 방식으로 IAM 및 AWS에 액세스할 수 있습니다. 

 

IAM 유의사항

 

루트 액세스 키를 조심해야한다.

오프라인 기기 혹은 앱 인증을 꼭 사용한다. 또는 일회용 암호 생성기를 사용한다.

IAM 사용자를 생성하고 필요한 권한만 할당한다.

IAM 그룹 생성을 통해 권한을 관리한다.

암호 생성 조건을 꼭 확인한다.

AWS에서 제공하는 비용 청구 자동 확인 서비스들을 수시로 확인한다.

실제 서비스 환경에서 사용할때는 루트 계정 사용을 자제한다..

 

이렇게 조심하게 사용해야하는 이유는 해킹당하면 막대한 비용이 청구될수 있으니 조심하도록 합니다. 

 

---

 

내용은 아래의 책에서 참고하여 작성하였습니다.🙂🙂

오타나 오류사항 있을시 댓글로 남겨주시길 바랍니다. 🙂🙂

 

https://book.naver.com/bookdb/book_detail.nhn?bid=14931079

당신이 지금 알아야 할 AWS