IAM

Identity and Access Management

루트 계정은 가입시 자동으로 만들어지며 평소 사용을 지양하고, 공유하면 안됨

유저는 하나의 IAM에 할당 될 수 있음

그룹은 유저들만 포함할 수 있고 다른 그룹은 포함하지 않음

유저는 그룹에 꼭 속해야 되는 것은 아니지만, 다수의 그룹에 속할 수 있음

 

 

정책

유저 또는 그룹에 정책을 지정할 수 있음

유저의 권한을 제한함

최소의 권한만을 할당해야 함

 

 

정책 상속

정책 구조

 

 

MFA (Multi Factor Authentication)

패스워드 + 보안 장치

 

 

AWS에 액세스하는 3가지 방법

• AWS Management Console (protected by password + MFA)
• AWS Command Line Interface (CLI): protected by access keys
• AWS Software Developer Kit (SDK) - for code: protected by access keys

액세스 키는 AWS 콘솔에서 생성 가능

• Access Key ID ~= username
• Secret Access Key ~= password

 

AWS CLI

AWS 서비스의 퍼블릭 API에 직접적으로 접근 가능

AWS 콘솔대신 사용가능

 

AWS SDK(AWS Software Development Kit)

라이브러리의 모음

 

 

IAM Roles for Services

• Some AWS service will need to perform actions on your behalf

• To do so, we will assign permissions to AWS services with IAM Roles

• Common roles:

    • EC2 Instance Roles
    • Lambda Function Roles
    • Roles for CloudFormation

 

 

IAM Security Tool

자격 증명 리포트(IAM Credentials Report)

계정레벨

 

 

IAM Access Advisor

유저레벨

유저에게 어떤 서비스 권한이 주어졌고 서비스에 최근 접속이 언제인지 보여줌

정책을 수정하는데 이를 활용할 수 있음(사용하지 않는 서비스 권한은 삭제)

 

 

IAM Guidelines & Best Practices

• Don’t use the root account except for AWS account setup
• One physical user = One AWS user
• Assign users to groups and assign permissions to groups
• Create a strong password policy
• Use and enforce the use of Multi Factor Authentication (MFA)
• Create and use Roles for giving permissions to AWS services
• Use Access Keys for Programmatic Access (CLI / SDK)
• Audit permissions of your account using IAM Credentials Report & IAM Access Advisor
• Never share IAM users & Access Keys

 

IAM Section – Summary

• Users: mapped to a physical user, has a password for AWS Console
• Groups: contains users only
• Policies: JSON document that outlines permissions for users or groups • Roles: for EC2 instances or AWS services
• Security: MFA + Password Policy
• AWS CLI: manage your AWS services using the command-line
• AWS SDK: manage your AWS services using a programming language • Access Keys: access AWS using the CLI or SDK
• Audit: IAM Credential Reports & IAM Access Advisor