글로벌 서비스로 AWS 계정 및 권한 관리 서비스이며 리소스에 대한 액세스 관리를 하고 사용자, 그룹, 역할, 정책으로 구성된다.
사용자 그룹
사용자(User)
IAM 대시보드에서 계정 별칭을 설정합니다.
- 루트 계정은 최초 사용자 계정 생성 이후 가능하면 사용하지 않는다.
- 사용자 계정(IAM)으로 서비스를 사용, 필요한 최소한의 권한만 부여(최소권한의 원칙)
- 강력한 암호 정책과 멀티팩터 인증(MFA) 적용
- 사용자의 암호에 대한 복잡성 요구 사항과 의무 교체 주기를 정의가 필요
권한 경계(Permission Boundary)
권한 경계는 AWS Identity and Access Management (IAM)에서 권한을 관리하는 데 사용되는 보안 기능입니다. 권한 경계는 IAM 사용자 및 역할에 부여할 수 있는 권한의 최대 범위를 제한하는 역할을 합니다. 이를 통해 관리자는 권한 확장을 제한하고, 필요한 최소한의 권한만 부여하는 최소 권한 원칙을 적용할 수 있습니다.
권한 경계를 교집합과 같은 개념으로 이해에 도움이 될 수 있습니다. IAM 엔티티에 부여된 권한과 권한 경계 정책에서 허용된 권한 사이의 공통 부분만이 실제로 IAM 엔티티가 실행할 수 있는 권한이 됩니다.
예를 들어, IAM 사용자에게 "S3 버킷 읽기" 권한이 부여되었고, 권한 경계에서 "S3 버킷 읽기 및 쓰기"를 허용하는 경우, 해당 사용자는 실제로 "S3 버킷 읽기" 권한만 가지게 됩니다. 이렇게 권한 경계를 사용하면 권한 확장을 제한하고, 필요한 최소한의 권한만 부여할 수 있습니다.
