IAM에 대해서 알아보자

✅ 아래 내용들에 대해서 알아보자

- IAM이란
- IAM 구성
- IAM 빌링 권한 부여 실습
- IAM 자격 증명 보고서
- IAM 잘 관리하는 법

 

 

IAM

 AWS Identity and Access Management(IAM)을 사용하면 AWS 서비스와 리소스에 대한 사용자, 그룹을 만들고 관리하며  AWS 리소스에 대한 액세스를 허용 및 거부 가능하다.

 

1. 사용자 및 그룹 관리 및 보안(Role관리, 사용자 패스워드 정책 관리 등)
2. 액세스 제어 및 권한 부여(S3 버킷 Read/Write 권한, EC2 인스턴스 시작/중지 권한)
3. 다른 계정과의 리소스 공유, Identity Federation(Facebook 로그인, 구글 로그인 등)
4. 계정 별명 부여 가능
5. IAM은 글로벌 서비스(Region별 서비스가 아님)

 

 

IAM 구성

사용자

•  실제 AWS를 사용하는 사람 혹은 application 의미

 

그룹

•  사용자의 집합
•  그룹에 속한 사용자는 그룹에 부여된 권한을 행사할 수 있음(프런트 팀, 백엔드 팀, 등..)

 

정책

• 사용자와 그룹, 역할이 무엇을 할 수 있는지에 관한 문서
• JSON 형식으로 정의되어 있음
• ex) 1~6시까지만 EC2 관리 가능

 

역할

• AWS 리소스(서비스 ex) EC2, S3, Lambda)에 부여하여 AWS 리소스(서비스)가 무엇을 할 수 있는지를 정의
• 혹은 다른 사용자가 역할을 부여받아 사용
• 다른 자격에 대해서 신뢰관계를 구축 가능
• 역할을 바꾸어 가며 서비스를 사용 가능 

 

IAM 구성

 

예시) 사용자가 S3를 사용하고 싶을 경우 IAM 권한 검증(사용자 -> 그룹 -> 역할 순으로 권한 체크)

 

 

예시) Lambda가 s3서비스 이용하고 싶을 경우 IAM 권한 검증

Lambda - S3 접근

 

 

IAM 빌링 권한 부여 실습

1. 루트 사용자로 로그인 후 '계정' 클릭 후 아래쪽으로 내려서 결제 정보 IAM 액세스 활성화 하기

 

빌링 권한 부여

 

 

2. IAM 사용자로 로그인 후 '결제 대시보드' 클릭 (이제 IAM 사용자도 결제 화면을 볼 수 있게 된다!)

 

결제 확인 가능

 

 

IAM 자격 증명 보고서

 IAM 자격 증명 보고서는 AWS 계정의 IAM 사용자, 그룹 및 역할에 대한 정보를 제공하는 보고서이다. IAM 자격 증명 보고서를 통해 IAM 자격 증명 상태, 보안 위험 식별, 액세스 권한 모니터링 가능하다.

 

• 계정의 모든 사용자와 암호, 액세스 키, MFA 장치등의 증명 상태를 나열하는 보고서를 생성하고 다운로드 가능
• 4시간에 한 번씩 생성 가능하다(보고서 생성 후 최대 4시간 동안 저장된다)
• AWS 콘솔, CLI, API에서 생성 요청 및 다운로드 가능

 

 

IAM 자격 증명 보고서 내용 정보

• 암호(암호 활성 여부, 마지막 사용된 시간, 마지막으로 변경된 시간, 언제 변경되어야 하는지)
• 액세스키(액세스 키 활성여부, 마지막으로 사용된 시간, 마지막으로 변경된 시간, 어떤 서비스에 마지막으로 사용되었는지)
• 기타(MFA 사용 여부, 사용자 생성 시간)

 

IAM 자격 증명 보고서 출력 방법

(상단 계정의 '보안 자격 증명' 클릭 후 왼쪽 사이드 바 '자격 증명 보고서' 선택)

 

IAM 자격 증명서 보고서 출력

 

 

IAM 잘 관리하는 법

1. 루트 사용자는 되도록 사용하지 않기(필요시만 사용)
2. 불필요한 사용자 만들지 않기(제떄 생성, 삭제)
3. 가능하면 그룹과 정책을 사용하기
4. 최소한의 권한만을 허용하는 습관을 들이기(Principle of least privilege)
5. MFA를 활성화하기(구글 OTP 등.. 필수!!!)
6. AccessKey 대신 역할을 활용하기(되도록 AccessKey 사용하지 않기)
7. IAM 자격 증명 보고서 활용하기

 

 

aws IAM에 대해서 정리해 보았습니다.  감사합니다 😀😀

---

이 글은 유튜브 AWS 강의실님 내용을 참고하여 작성한 글입니다.