프로그래밍/Infra

[AWS] Amazon Web Services - (2) IAM

Churnobyl 2023. 5. 2. 02:40
728x90
반응형

Chapter 03.  Identity and Access Management (IAM)

AWS IAM

 IAM(AWS Identity and Access Management)는 AWS내의 ID에 따라 AWS 리소스에 대한 액세스를 제어하는 핵심 인프라 서비스다. 계정을 처음 생성하고 로그인하면 루트 사용자(root user)로 접속하는데, 이 루트 사용자는 AWS 서비스 및 계정 리소스에 모든 액세스 권한을 가지고 있다. 이 root user대신 필요한 만큼의 권한만 가진 IAM유저를 생성해 필요한 서비스에 활용할 수 있다. 이 IAM 유저를 생성하고 관리하는 것이 IAM이다. 

 

 AWS는 보안 이슈로 인해 오직 root user만 수행할 수 있는 일부 작업들을 제외하고는 전부 IAM유저를 사용해 작업하도록 강력하게 권고하고 있다.

 

 

IAM의 기능(features of IAM)

 

  • AWS 계정에 대한 공유 액세스
더보기

root user의 암호나 액세스키를 제공하지 않고도 AWS 리소스를 관리하고 사용할 수 있는 권한을 IAM유저에 부여할 수 있다.

 

  • 세분화된 권한
더보기

AWS의 리소스에 따라 여러 사람에게 각각 다른 권한을 세부적으로 부여할 수 있다. 개발팀에게는 EC2, S3, DynamoDB에 대해 완전한 액세스를 주고 QC팀에는 읽기 권한만 준다거나 할 수 있다.

 

  • Amazon EC2 애플리케이션에 자격증명 제공
더보기

EC2 인스턴스에서 storage나 DB에 액세스할 때 자격증명을 IAM을 통해 제공한다.

 

  • MFA(Multi-Factor Authentication)
더보기

root user 및 IAM유저 이중 보안

 

  • Identity Pederation
더보기

AWS가 신뢰하는 서드파티에게 IAM유저 신규 생성없이 임시권한을 부여해 접속할 수 있게 한다.

 

  • AWS CloudTrail의 자격 증명
더보기

AWS 인프라 전체 모니터링 및 로그를 기록하는 CloudTrail 서비스에서 정보를 요청할 때 그 정보를 요청하는 사람의 정보를 포함한 로그 데이터를 받게 되는데 그 사람의 정보 또한 IAM 자격 증명을 이용한다.

 

  • PCI DSS
더보기

JCB, Americal Express, MasterCard, VISA등이 모여 만든 신용업계 보안 표준인 PCI DSS(Data Security Standard) 검증을 받은 서비스이며 신용카드 데이터 처리, 저장, 전송을 처리할 수 있다.

 

  • 다른 AWS 서비스와 통합
더보기

다른 많은 AWS 서비스와 통합해 사용할 수 있다.

 

  • Global
더보기

IAM 유저, 그룹을 만들거나 역할을 부여하거나 업데이트하거나 하는 모든 변경사항이 전 세계 Amazon 데이터 센터에 복제돼 안전하게 저장된다.

 

  • 무료

 

 

 

IAM 사용하기

IAM을 검색해서 IAM 서비스에 접근하거나 사용자 드롭다운 메뉴에서 Security credentials을 선택해서 접근할 수도 있다.

검색창

 

사용자 드롭다운 메뉴

 

IAM에 들어오면 대쉬보드가 보이고 왼쪽에는 아래와 같은 메뉴가 있다.

 

IAM은 크게 Access management와 Access reports로 구성돼 있다.

액세스 관리 (Access management)

IAM유저에게 특정 AWS 리소스에 접근 권한을 부여하거나 IAM유저로 구성된 그룹에게 전체적으로 권한을 부여할 수도 있다. 그 권한들을 결정하는 Policy나 일시적으로 접근 권한을 부여하는 Role도 사용할 수 있다. Identity providers탭을 통해 외부 자격 증명 공급자(Facebook, Google등..)를 통해 AWS리소스에 접근할 권한을 부여할 수도 있다. Account settings에서 IAM유저의 password길이나 대소문자+숫자 조합, 비밀번호 만료 기간 활성화 등의 password 정책을 수정할 수도 있다.

 

 

액세스 리포트 (Access reports)

AWS리소스 요청들이 타당한 목적을 가지고 올바른 권한을 부여받았는지 감시하고 분석하는 Access analyzer나 모든 IAM유저들의 접근 이력이나 기타 정보를 확인할 수 있는 Credential report 등이 있다.

반응형

'프로그래밍 > Infra' 카테고리의 다른 글

[nginx] (2) nginx.conf  (0) 2024.06.30
[nginx] (1) nginx 그리고 기본 역할  (0) 2024.06.26
[AWS] Amazon Web Services - (4) Amazon VPC  (0) 2023.05.04
[AWS] Amazon Web Services - (3) EC2  (0) 2023.05.03
[AWS] Amazon Web Service - (1) AWS란?  (0) 2023.05.01

'프로그래밍/Infra'의 다른글

  • 현재글[AWS] Amazon Web Services - (2) IAM

관련글

댓글

티스토리툴바