IAM Roles

우리가 사용하는 AWS 서비스들 중 몇 가지는 우리의 계정에서 실행해야 한다.
이를 위해서는 사용자와 마찬가지로 어떤 권한이 필요한데, 따라서 AWS 서비스에 권한을 부여해야 한다.
그러기 위해서는 IAM Role 이라는 것을 만들어야 한다.
IAM Role은 사용자와 같지만 실제 사람이 사용하도록 만들어진 것이 아닌, AWS 서비스에 의해 사용하도록 만들어졌다.

즉 IAM Role이란 AWS의

AWS 서비스에 의해 사용하도록?

만약 우리가 EC2 인스턴스(가상 서버)를 만들어서 AWS에서 어떤 작업을 수행하려고 한다고 가정해보자.
그러기 위해서는 EC2 인스턴스에 권한을 부여해야 한다. 이를 위해 IAM Role을 만들어 이들을 하나의 개체로 만든다.
이렇게 되면 EC2 인스턴스가 AWS에 있는 어떤 정보에 접근하려고 할 때 IAM Role을 사용하게 될 것이다.
만약 IAM Role의 권한을 올바르게 부여했다면 하려고 하는 호출에 접근하게 될 것이다.

IAM Security Tools

1. IAM Credentials Report(Account-level)
   우리는 Account-level에서 IAM 자격 증명 보고서를 만들 수 있고 이 보고서는 계정에 있는 사용자와 다양한 자격 증명의 상태를 포함한다.
   이 보고서는 비밀번호를 변경하지 않거나 비밀번호나 계정을 사용하지 않는 사용자들을 확인할 때 매우 유용하다. 특히 보안 측면에서 주의를 기울여야 할 사용자를 찾는 데 큰 도움이 될 수 있다.
2. IAM Access Advisor(User-level)
   IAM 액세스 관리자는 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 액세스한 시간을 보여준다.
   이는 최소 권한의 원칙에 따랐을 때 매우 도움이 되는 정보다. 해당 도구를 사용하여 어떤 권한이 사용되는 지, 또는 사용되지 않는지 볼 수 있고 따라서 사용자의 권한을 줄여 최소 권한의 원칙을 지킬 수 있다.

IAM 모범 사례

1. AWS 계정을 설정할 때를 제외하고는 루트 계정을 사용하지 말 것

• 루트 계정과 개인 계정이라는 두 개의 계정을 이용
• 한 명의 AWS 사용자는 한 명의 물리적 사용자와 동일하다는 점을 기억할 것

2. 사용자를 그룹에 할당하고 그룹에 권한을 할당하여 보안이 그룹 수준에서 관리되도록 하며 강력한 비밀번호 정책을 만들 것

• 다중 인증 또는 MFA를 사용하여 계정의 보안을 보장할 것

3. AWS 서비스에 권한을 부여할 때 역할을 생성하고 사용하는 것이 좋다.
4. 계정의 권한을 감시하기 위해 IAM 자격 증명 보고서나 IAM 액세스 관리자 기능을 사용할 수도 있다.
5. 절대 IAM 사용자와 액세스 키를 공유하지 말 것