갱동구리

Be brave.

[AWS] 챕터2 IAM - IAM 소개(1)

업데이트:     Updated:

카테고리:

태그:

IAM Section

IAM: 사용자 & 사용자 그룹

  • IAM: AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 글로벌 서비스입니다.
  • 루트 계정은 기본적으로 생성이되며, 루트 사용자만 수행할 수 있는 작업을 수행하는 데에만 사용하며, 일상적인 작업에 루트 사용자를 사용하거나 공유하지 않을 것을 권장합니다.
  • AWS에서는 자격 증명을 통해 사용자가 누구인지를 확인할 수 있습니다. 이를 흔히 인증이라고 합니다.
  • Users는 조직의 사용자에 해당하는 계정 내에 개별 IAM 사용자를 의미합니다. IMA 사용자는 개별 계정이 이나리 해당 계정 내의 사용자입니다.
  • 각 사용자는 AWS 콘솔에 로그인할 고유의 AWS 엑세스 암호를 가질 수 있습니다. 또한 프로그래밍 방식의 요청을 할 수 있도록 개별 엑세스 키를 생성할 수 있습니다.
  • Groups는 IAM 사용자의 집합입니다. 사용자 그룹을 활용하면 다수의 사용자들에 대한 권한을 지정함을써 해당 사용자들에 대한 권한을 더 쉽게 관리할 수 있습니다.
  • 한 사용자 그룹에 여러 사용자가 포함될 수 있으며 한 사용자가 다중 사용자 그룹에 속할 수 있습니다. 또한 사용자는 그룹에 반드시 속할 필요는 없습니다.
  • 사용자 그룹은 중첩될 수 없습니다. 즉, 사용자 그룹은 사용자만 포함할 수 있으며 다른 그룹은 포함할 수 없습니다.

image

IAM: 정책 및 권한

  • IAM 사용자는 서비스의 자격 증명입니다. IAM 사용자를 생성할 경우, 권한을 부여하지 않는한 사용자는 계정 내에서 어떠한 것으로도 엑세스할 수 없습니다.
  • 사용자 또는 사용자가 속한 그룹에 연결된 정책인 자격 증명 기반 정책을 생성하여 사용자에게 권한을 부여합니다.
  • AWS에서는 최소 권한 원칙을 적용합니다. 사용자에게 필요한 것보다 더 많은 권한을 부여하지 말아야합니다.
  • 정책은 자격 증명이나 리소스와 연결딜 때 해당 권한을 정의하는 AWS 객체입니다.
  • AWS는 IAM 보안주체(사용자 또는 역할)가 요청을 보낼 때 이러한 정책을 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는지를 결정합니다.
  • 대부분의 정책은 AWS에 JSON 문서로 저장됩니다. AWS에서는 자격 증명 기반 정책, 리소스 기반 정책, 권한 경계, Oraganizations SCP, ACL 및 세션 정책이라는 여섯 가지 정책 유형을 지원합니다.
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "elasticloadbalancing:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:Dscribe*"
      ],
      "Resource": "*"
    }
  ]
}

자격 증명 기반 정책

  • 자격 증명 기반 정책은 자격 증명(사용자, 사용자 그룹 및 역할)이 무슨 작업을 어느 리소스에서 어떤 조건에서 수행할 수 있는지를 제어하는 JSON 권한 정책 문서입니다.
  • 자격 증명 기반 정책을 추가로 분류할 수 있습니다.
    • 관리형 정책 - AWS 계정에 속한 다수의 사용자, 그룹 및 역할에게 독립적으로 연결할 수 있는 자격 증명 기반 정책입니다. 두 가지 유형의 관리형 정책이 있습니다.
      • AWS 관리형 정책 - AWS에서 생성 및 관리하는 관리형 정책입니다.
      • 고객 관리형 정책 - 사용자가 자신의 AWS 계정에서 생성 및 관리하는 관리형 정책입니다. 고객 관리형 정책은 AWS 관리형 정책보다 정책에 대해 더욱 정밀하게 제어할 수 있습니다.
    • 인라인 정책 - 단일 사용자, 그룹 또는 역할에 직접 추가하는 정책입니다. 인라인 정책은 정책과 자격 증명을 정확히 1대 1 관계로 유지합니다. 이는 자격 증명을 삭제하면 삭제됩니다.

리소스 기반 정책

  • 리소스 기반 정책은 Amazon S3 버킷과 같은 리소스에 연결하는 JSON 정책 문서입니다. 이러한 정책은 지정된 보안 주체에 해당 리소스에 대한 특정 작업을 수행할 수 있는 권한을 부여하고 이러한 권한이 적용되는 조건을 정의합니다.
  • 리소스 기반 정책은 인라인 정책이며 관리형 리소스 기반 정책은 없습니다.

IAM: 정책 상속

image

IAM: 정책 구조

  • 구성
    • Version: 정책 언어 버전, 항상 “2012-10-17” 포함
    • Id: 고유한 정책 ID (optional)
    • Statement: 하나 이상의 개별 statement (required)
  • statements 구성
    • Sid: 고유한 statement ID (optional)
    • Effect: Allows or denies access
    • Principal: 정책을 적용할 계정/사용자/역할
    • Action: 이 정책이 허용하거나 거부할 작업 목록
    • Resource: Action이 적용된 리소스 목록
    • Condition: 이 정책이 적용될 조건 (optional)

📖출처

AWS > aws-documentation > AWS Identity and Access Management > 사용 설명서

👍 개인 공부 기록용 블로그입니다. 오류나 조언이 있으시면 언제든지 댓글 혹은 메일로 남겨주시면 감사하겠습니다! 😄

맨 위로 이동하기

SAA 카테고리 내 다른 글 보러가기

댓글남기기

최근 글 10 개 :)