Identity and Access Management
루트 계정은 가입시 자동으로 만들어지며 평소 사용을 지양하고, 공유하면 안됨
유저는 하나의 IAM에 할당 될 수 있음
그룹은 유저들만 포함할 수 있고 다른 그룹은 포함하지 않음
유저는 그룹에 꼭 속해야 되는 것은 아니지만, 다수의 그룹에 속할 수 있음
정책
유저 또는 그룹에 정책을 지정할 수 있음
유저의 권한을 제한함
최소의 권한만을 할당해야 함
정책 상속
정책 구조
MFA (Multi Factor Authentication)
패스워드 + 보안 장치
AWS에 액세스하는 3가지 방법
• AWS Management Console (protected by password + MFA)
• AWS Command Line Interface (CLI): protected by access keys
• AWS Software Developer Kit (SDK) - for code: protected by access keys
액세스 키는 AWS 콘솔에서 생성 가능
• Access Key ID ~= username
• Secret Access Key ~= password
AWS CLI
AWS 서비스의 퍼블릭 API에 직접적으로 접근 가능
AWS 콘솔대신 사용가능
AWS SDK(AWS Software Development Kit)
라이브러리의 모음
IAM Roles for Services
• Some AWS service will need to perform actions on your behalf
• To do so, we will assign permissions to AWS services with IAM Roles
• Common roles:
• EC2 Instance Roles
• Lambda Function Roles
• Roles for CloudFormation
IAM Security Tool
자격 증명 리포트(IAM Credentials Report)
계정레벨
IAM Access Advisor
유저레벨
유저에게 어떤 서비스 권한이 주어졌고 서비스에 최근 접속이 언제인지 보여줌
정책을 수정하는데 이를 활용할 수 있음(사용하지 않는 서비스 권한은 삭제)
IAM Guidelines & Best Practices
- Don’t use the root account except for AWS account setup
- One physical user = One AWS user
- Assign users to groups and assign permissions to groups
- Create a strong password policy
- Use and enforce the use of Multi Factor Authentication (MFA)
- Create and use Roles for giving permissions to AWS services
- Use Access Keys for Programmatic Access (CLI / SDK)
- Audit permissions of your account using IAM Credentials Report & IAM Access Advisor
- Never share IAM users & Access Keys
IAM Section – Summary
• Users: mapped to a physical user, has a password for AWS Console
• Groups: contains users only
• Policies: JSON document that outlines permissions for users or groups • Roles: for EC2 instances or AWS services
• Security: MFA + Password Policy
• AWS CLI: manage your AWS services using the command-line
• AWS SDK: manage your AWS services using a programming language • Access Keys: access AWS using the CLI or SDK
• Audit: IAM Credential Reports & IAM Access Advisor
'AWS' 카테고리의 다른 글
Dynamo DB 섹션 19. 216~218 (0) | 2023.06.11 |
---|---|
S3 (0) | 2023.06.06 |
Amazon EC2와 Amazone EBS (0) | 2023.05.23 |