IAM (2)

Jihun Kim·2022년 2월 16일
0

aws solutions architect

목록 보기
3/57
post-thumbnail

Password Policy

  • 사용자가 원하는 대로 비밀번호 정책을 생성할 수 있다.
    - 최소 패스워드 길이
    - 대문자, 소문자를 허용할 지 등등


MFA

  • AWS에서 강력히 권고되는 필수 사항이다.
  • MFA는 비밀번호의 조합을 이용한다.
    - Password you know + Security device you own
  • MAF를 이용하면 강력한 보안을 유지할 수 있다.
  • MFA를 이용하면 만약 비밀번호가 도용 혹은 해킹 되었다고 해도 계정이 손상되지 않는다.
    • 왜냐하면, 해커는 물리적인 디바이스도 함께 갖고 있어야 하기 때문이다.

MFA devices options

  • Virtual MFA device
    - 하나의 디바이스에 다양한 토큰을 지원해 준다.

    • Google Authenticator(phone only)
    • Authy(multi-device)
  • Universal 2nd Factor(U2F) Security Key: 물리적인 장치
    - 다양한 루트를 지원하고 IAM 유저는 단일 보안을 사용하기 때문에 사용자의 수 만큼 많은 키들을 가질 필요가 없다.
    - YubiKey by Yubico(AWS의 3rd party)

  • Hardware Key Fob MFA Device
    - by Gemalto(3rd party)

  • Hardware Key Fob MFA Device for AWS GovCloud: 미국 정부의 클라우드를 사용하게 된다면 AWS GovCloud가 사용자에게 특별한 열쇠고리를 준다.
    - by SurePassID(3rd party)

아래 위치에서 생성할 수 있다(아래 계정은 예시용이기 때문에 사용 불가능한 계정이다).

아래 중 원하는 종류를 선택한다.

일반적으로 Virtual MFA device를 사용하며
이후 나오는 설정에서 Password1, Password2를 입력해 싱크를 맞추고 사용하면 된다.



IAM Roles for Services

  • aws를 사용하다 보면 특정 aws 서비스는 사용자를 대신해서 어떠한 기능을 수행하는 경우가 생기게 된다.
    - 이를 위해서 해당 aws 서비스는 몇 가지 종류의 허가가 필요하다.
    - 이 경우, IAM 역할(role)을 이용해 aws 서비스에 권한을 할당할 수 있다.
  • IAM 역할은 사용자와 같지만, 실제 사람에 의해 사용되는게 아니라 AWS 서비스에 의해 사용 된다.
    ex) 가령, EC2 인스턴스를 생성했을 때 IAM role을 부여한다면 해당 인스턴스는 이를 이용해 AWS의 다른 서비스에 접근할 수 있게 된다.



IAM Security Tools

  • IAM Credentials Report(account-level)
    - 이는 사용자의 계정에 있는 유저들을 모두 보여주며 해당 유저들의 다양한 자격 증명을 볼 수 있다.
  • IAM Access Advisor(user-level)
    -접근하는 사용자의 서비스 허가권을 보여주며 언제 해당 서비스가 마지막으로 액세스 되었는 지를 함께 보여준다.
    - 이를 이용해 '최소 권한의 원칙'에 따라 사용자가 얻을 수 있는 권한을 줄일 수 있다.

Credentials report(자격 증명 보고서)

AWS Management console 중 IAM 서비스에 들어가서 메뉴 왼쪽 하단을 클릭하면 만들 수 있다.

  • 생성 후 보고서를 csv 파일로 다운 받아 확인해 볼 수 있다.
    - 키와 접근 증명, 그리고 다른 사용자들이 비밀번호를 바꾸지는 않았는지 혹은 해당 유저가 계정을 사용하고 있는 지 등을 확인할 수 있다.

IAM Aceess Advisor

Users > 원하는 사용자 선택 > "Access Advisor" 에서 확인할 수 있다.

이를 이용해 어떤 서비스의 마지막 접근 시기가 언제인지, 그리고 어떤 정책을 통해 접근이 가능한 지를 확인할 수 있다.



IAM 정리

  • Users: 물리적인 유저와 매핑되며 AWS 콘솔에서 비밀번호를 가지고 있다.
  • Groups: 유저들을 포함한다(유저만 포함할 수 있다).
  • Policies: Json document로, 사용자 혹은 그룹에 대한 permission(허가)를 정의한다.
  • Roles: EC2 인스턴스나 다른 AWS 서비스로 무언가를 하기 위해 허가를 받아야 한다면 Roles를 이용하면 된다.
  • Security: MFA + Password Policy를 이용한다.
  • Access Keys: CLI 또는 SDK를 이용해 AWS에 엑세스 하는 데 사용된다.
  • Audit: IAM 대시보드를 감사하기 위해 사용하는 것으로 "IAM Credential Reports"(계정 내의 모든 IAM 사용자들에 대한 정보를 얻을 수 있다)와 "IAM Access Advisor"(특정 IAM 사용자를 감시할 수 있다)가 있다.
profile
쿄쿄

0개의 댓글