1. IAM (Identity and Access Management) 이란?
간단히 말하자면 AWS 계정 및 권한 관리 서비스이며, 사용자의 서비스와 리소스에 대한 액세스를 관리한다.
계정 보안 강화를 위해 AWS 회원 가입시 만들어지는 루트 계정은 최초 사용자 계정 생성 이후 가능하면 사용하지 말고, IAM을 통해 사용자 계정을 생성 후, 최소한의 권한만 부여해 사용하는 것을 권장하고 있다.
또한, 글로벌 서비스인 것을 기억해두자!
2. IAM 자격증명
① 사용자
- 단일 개인 or 애플리케이션을 위한 특정 권한을 가진 ID
- 암호나 액세스 키와 같은 장기 자격 증명을 통해 액세스
- 아이디와 암호 입력 → AWS 콘솔 로그인
- 액세스 키 → 프로그래밍 방식으로 AWS에 액세스
② 그룹
- 개발팀, 운영팀 등의 사용자의 집합
③ 역할
- 특정 개인에 속하지 않는 특정 권한을 가진 ID
- 한 사람과만 연관X, 해당 역할이 필요한 IAM 사용자, 애플리케이션, AWS 서비스 등 누구든지 맡을 수 O
- AWS Security Token Service (AWS STS) 사용 → 임시 보안 자격 증명 생성 (장기 자격 증명 X, 유출/재사용의 위험↓)
- 역할 사용 주체
- AWS 서비스 ( ex, Amazon EC2 )
- 역할과 동일하거나 다른 AWS 계정의 IAM 사용자
- 제 3자 웹 자격 증명 공급자(ex. Google, Amazon, Facebook)의 사용자
- 역할 연결 예시
- AWS 서비스에 대한 액세스 권한 부여
- 사용자에게 권한이 없는 AWS 리소스에 대한 액세스 권한 부여
- 사용자에게 다른 계정의 리소스에 대한 액세스 권한 부여
- IAM 사용자에게 역할 부여
- 동일한 AWS 계정의 IAM 사용자에게 역할 부여
- 다른 AWS 계정의 IAM 사용자에게 역할 부여 (교차 계정 액세스)
- AWS 서비스에 대한 액세스 권한 부여
④ 정책
- AWS 리소스에 대한 액세스 권한 정의 (e.g. EC2 Full Access 정책은 EC2서비스에 대한 생성, 수정, 보기, 삭제 등 모든 권한을 의미)
- 사용자, 그룹, 역할에 연결하여 사용
- 정책이 명시되지 않는 경우 기본적으로 모든 요청이 거부됨
- JSON 문서 형식
- Effect : Allow/Deny를 사용하여 명시된 정책에 대해 액세스 허용 또는 거부
- Action : 정책이 허용하거나 거부하는 작업 목록
- Resource : 작업이 적용되는 리소스
- Condition : 정책이 적용되는 세부 조건 (옵션사항)
- 자격 증명 기반 정책
- 관리형 정책 : 다수의 사용자, 그룹 및 역할에 연결할 수 있는 정책 (AWS 관리형 정책, 고객 관리형 정책이 있음)
- 인라인 정책 : 단일 사용자, 그룹 및 역할에 직접 추가하는 정책
- 권한 경계 (Permission Boundary) : 사용자나 역할에 최대 권한을 제한하는 기능
💡 사용자 vs. 역할
- 사용자 : 사람을 위한 것
- 역할 : AWS 리소스를 위한 것
- 사람을 위한 권한이 아니면 → 역할 (e.g. EC2 인스턴스가 AWS 리소스에 접근할 때)
- 사람을 위한 권한 + 임시적인 액세스 권한 → 역할
- 사람을 위한 권한 + 장기적인 액세스 권한 → IAM 사용자
'AWS > SAA 자격증' 카테고리의 다른 글
| [AWS] SAA-C03 #5, ELB(Elastic Load Balancing)란? (정의, 종류, 구성) (1) | 2024.11.21 |
|---|---|
| [AWS] SAA-C03 #4, EC2란? (보안그룹, 탄력적IP, AMI, 배치그룹, 라이프 사이클) (3) | 2024.11.14 |
| [AWS] SAA-C03 #3, EC2란? (개념, 구매옵션, 유형) (0) | 2024.11.11 |
| [AWS] SAA-C03 #1, AWS 글로벌 인프라 (리전 Region, 가용영역 AZ, 엣지 로케이션 Edge Location) (0) | 2024.09.04 |