Amazon Web Services

본 토픽은 현재 준비중입니다. 공동공부에 참여하시면 완성 되었을 때 알려드립니다.

IAM

IAM(Identity and Access Management)


 계정 사용자와 그룹을 구성하는 역할을 하며, 특정 리전에 국한되지 않는 글로벌 서비스이다. AWS 가입 시 root 계정이 기본적으로 할당되는데, 보안상 root 계정의 사용은 줄이고 그 대신 권한이 축소된 사용자 계정을 사용하는 것이 좋다. 그룹은 사용자들을 묶는 개념이며 그룹 안에 또다른 그룹이 존재하는 중첩 그룹은 지원하지 않는다. 그룹에 속하지 않는 사용자도 존재할 수 있으며, 한 사용자가 여러 그룹에 속할 수 있다.

 IAM 사용자 및 그룹에게 어떠한 권한을 부여할 수 있으며 IAM 정책(IAM Policy)은 그러한 권한을 지칭하는 용어이다. 정책은 그룹레벨에서 지정할 수 있으며, 그룹안의 사용자는 해당 그룹의 정책 영향을 받는다. 다만, 그룹에 속하지 않은 사용자는 직접 정책을 할당받을 수 있으며 이를 인라인 정책이라 한다. 인라인 정책은 사용자가 그룹에 속해있든, 아니든 적용할 수 있다. 만약, 사용자가 두개 이상의 그룹에 속해있다면, 각 그룹별 정책의 영향을 모두 받는다.

 어떤 정책이 어떤 그룹에, 또는 어떤 조건으로 허용되는지 상세하게 JSON 포맷으로 저장할 수도 있다.

 JSON 정책 파일의 구성요소는 Version, Id, Statement이다. 버전은 날짜 형식으로 표현되며, Id는 선택 사항이며, 정책들을 구분하기 위한 식별자이다. Statement는 하나 이상의 개별적인 statement가 표현되며 반드시 명시해야 한다.

 Statement는 Sid, Effect, Principal, Action, Resource 등으로 구성되며, Sid는 statement의 식별자이며 선택사항이다. Effect는 statement가 특정 API에 접근하는 것을 허용할지, 금지할지를 결정한다. Principal은 정책이 적용될 사용자 또는 역할을 명시한다. Action은 Effect에 기반하여 허용 또는 거부되는 API 호출의 목록이다. Resource는 적용될 Action 리소스의 목록이다. 또한 추가적으로 statement가 언제 적용될지 결정하는 Condition도 있다.

IAM Role


 IAM Role은 사람이 사용하기 위한 것이 아니라 AWS 서비스가 직접 다른 AWS 서비스에 액세스하기 위해 필요한 권한을 명시하는 서비스이다. 즉 EC2 서비스가 IAM 또는 Route 53 등의 다른 AWS 서비스에서 정보를 가져오거나 설정하려는 경우 EC2 인스턴스에 해당 Role를 허용되어 있어야 한다.

IAM Credentials Report


 자격증명 보고서는 계정 수준에서 사용할 수 있으며 계정에 있는 여러 사용자와 다양한 자격 증명의 상태를 조회해준다. 보고서를 생성하면 CSV 파일을 제공해주며 사용자가 언제 생성되었는지, 비밀번호는 언제 변경되었는지 등의 보안 관련 정보를 조회할 수 있다.

IAM Access Advisor


 액세스 관리자는 특정 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 액세스한 시간을 확인할 수 있다. 불필요한 권한이 지나치게 허용되어 있을 경우를 대비해 액세스 관리자로 상태를 조회할 수 있다.

댓글

댓글 본문
버전 관리
Hyunseok Lim
현재 버전
선택 버전
graphittie 자세히 보기