IAM 이란?

Identity& Access Management의 약자로, 가용 지역과 상관 없이 설정되고, 사용한다.

Root Account

• 디폴트로 생성되며, 사용하는 것을 권장하지 않음
• 공유되는 것 또한 금지된다

Users

• 해당 계정을 사용하는 단체의 사람들이며, 그룹화될 수 있다.
• Root User대신 사용하는 것을 권장
  
  Group은 user만 포함할 수 있다!

Policy

• JSON 문서로 작성된 사용자와 그룹에 대한 정보
• 정책에 너무 많은 권한을 부여하면 안됨

IAM 정책 구조

• {
      "version": "2012-10-17",
  	"Id": "53-Account-Permissions"
  	"Statement": [
  	{
          "Sid": "1",
          "Effect": "Allow",
          "Principal": {
         		"AWS": ["arntaws: iam: :123456789012:root"]
  	},		
          "Action": [
              "s3:Getobject",
              "$3: Putobject"
        	],
          "Resource": ["arn:aws: s3: : :mybucket/*"]
  		}
  	]
  }

  • Version
    • 정책 언어 버전으로, 항상 2012-10-17을 포함
  • Id
    • 정책에 대한 식별자 (옵션)
  • Statement
    • 각각 설명해둔 것 (필수)
    • Sid
      • 해당 스테이트먼트의 식별자 (옵션)
      • 위의 sid는 첫번째라서 그런지 1임!(내생각)
    • Effect
      • 해당 스테이트먼트가 특정 api 대해 허용되는지에 대한 여부 표시
    • Principal
      • 어디에서 할당되었는지 표시
    • Action
      • Effect 에 근거하여 어떤 기능을 가질 수 있는지 표시됨
    • Resource
      • 위의 action이 어디에 적용될 수 있는지 묘사한 항목
  • 여기에는 나와있지 않지만 condition이라는 항목을 통해 해당 정책이 영향을 끼치는 조건에 대해 적혀있음

Availability Zone

• AZ라고 불리며, 가용 지역을 뜻한다
• Cloud Shell 과 같은 경우에는 액세스 가능한 리전이 따로 설정되어 있으니 참고하자!
• region에 실제로 무엇이 들어가는지에 대한 것으로, 각 리전은 많은 az를 가진다
  - 물리적인 공간에서는 리전 별로 데이터센터가 서로 떨어져 있기 떄문에 각종 재난에 대비할 수 있다

• Users

  • 물리적인 사용자로서, AWS 콘솔에 대한 비밀번호를 가지고 있음

• Groups

  • users만 포함하고 있음
  • 다른 유저는 포함하지 않는다!

• Policies

  • JSON 형태로 된 문서로, 사용자들이나 그룹에 대한 허용 범위를 설정해 둠

• Roles

  • EC2 인스턴스나 AWS 서비스를 위한 것

• Security

  • MFA+ Password Policy

• Audit

  • IAM Credential Reports & IAM Access Advisor