IAM 생성
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console
IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html?icmpid=docs_iam_console
access key 생성
https://loy124.tistory.com/204
IAM
- 요청인증
- 인증에 대한 인가 권한 확인
- 리소스 응답
User
-
root
- AWS 마스터 계정, 리소스에 대한 모든 접근 권한을 가짐
- 최초 접근만 권장
-
IAM User
- 콘솔/ 액세스키로 프로그래밍 방식 접근
- 사용자는 지향하지 않고, 필요시 그룹을 통해 일괄 부여사용
-
IAM Identity Center User
- AWS SSO
- SCP를 관리할 하위계정에 권한 부여
- 권한 제어를 올바르게 해야함
Group
권한을 관리하기 위해 사용자를 모아놓음
- 그룹이 그룹 포함 불가능
Policy
권한의 집합
- AWS에서 자격증명/ 리소스에 연결 시 해당권한을 정의하는 객체
- JSON 형태로 유지
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] }
- Inline Policy
- 한 Inline 정책은 한 사용자 또는 그룹에만 부여 가능함
- 사용자, 그룹에 직접 추가 하는 정책
- Iac(Infrastructure as Core, ex)Terraform) 을 통해 배포하거나 필수로 사용하는 경우
- Managed Policy
- AWS에서 직접 제공하는 정책
- 수정 불가능
- Customer Policy
- Managed Policy를 활용
SCP, Resource-based Policies, Identity-based Policies, Permissions Boundaries, Session Polices, ACL
권한
- 정책 목록을 확인 가능
연결된 개체
- 특정 정책에 연결된 Object를 확인 가능
정책 버전
- 정책 버전 관리 기록확인
액세스 관리자
- 사용자에게 부여된 서비스 권한과 해당 서비스에 마지막으로 액세스한 시간을 표시
--
Roles
- Inline 정책 확인 가능
- 사용자/역할/AWS 서비스까지 역할을 수임 가능함(역할을 부여받을 수 있음)
- 임시 자격증명을 제공함
- IAM 서비스에서 유일하게 자격증명 정책과 리소스 기반 정책을 모두 보유함
사용
- AWS 계정 간 접근
- AWS 외부에서 사용 (RolesAnyWhere)
- Third-party AWS 계정
- AWS 서비스가 접근할 때
- SSO(SAML/OIDC)를 통해 접근
IAM 식별자
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_identifiers.html
- ARN
- AWS 리소스 식별을 위한 고유 값
- Path
- 경로를 통한 표현
- 기본값 "/"
- 역할 생성 시에 권한부여를 선택적으로 가능함
PATH: /dev/ , PATH: /
