Password Policy
- 사용자가 원하는 대로 비밀번호 정책을 생성할 수 있다.
- 최소 패스워드 길이
- 대문자, 소문자를 허용할 지 등등
MFA
- AWS에서 강력히 권고되는 필수 사항이다.
- MFA는 비밀번호의 조합을 이용한다.
- Password you know + Security device you own
- MAF를 이용하면 강력한 보안을 유지할 수 있다.
- MFA를 이용하면 만약 비밀번호가 도용 혹은 해킹 되었다고 해도 계정이 손상되지 않는다.
- 왜냐하면, 해커는 물리적인 디바이스도 함께 갖고 있어야 하기 때문이다.
MFA devices options
-
Virtual MFA device
- 하나의 디바이스에 다양한 토큰을 지원해 준다.
- Google Authenticator(phone only)
- Authy(multi-device)
-
Universal 2nd Factor(U2F) Security Key: 물리적인 장치
- 다양한 루트를 지원하고 IAM 유저는 단일 보안을 사용하기 때문에 사용자의 수 만큼 많은 키들을 가질 필요가 없다.
- YubiKey by Yubico(AWS의 3rd party)
-
Hardware Key Fob MFA Device
- by Gemalto(3rd party)
-
Hardware Key Fob MFA Device for AWS GovCloud: 미국 정부의 클라우드를 사용하게 된다면 AWS GovCloud가 사용자에게 특별한 열쇠고리를 준다.
- by SurePassID(3rd party)
아래 위치에서 생성할 수 있다(아래 계정은 예시용이기 때문에 사용 불가능한 계정이다).
아래 중 원하는 종류를 선택한다.
일반적으로 Virtual MFA device를 사용하며
이후 나오는 설정에서 Password1, Password2를 입력해 싱크를 맞추고 사용하면 된다.
IAM Roles for Services
- aws를 사용하다 보면 특정 aws 서비스는 사용자를 대신해서 어떠한 기능을 수행하는 경우가 생기게 된다.
- 이를 위해서 해당 aws 서비스는 몇 가지 종류의 허가가 필요하다.
- 이 경우, IAM 역할(role)을 이용해 aws 서비스에 권한을 할당할 수 있다.
- IAM 역할은 사용자와 같지만, 실제 사람에 의해 사용되는게 아니라 AWS 서비스에 의해 사용 된다.
ex) 가령, EC2 인스턴스를 생성했을 때 IAM role을 부여한다면 해당 인스턴스는 이를 이용해 AWS의 다른 서비스에 접근할 수 있게 된다.
- IAM Credentials Report(account-level)
- 이는 사용자의 계정에 있는 유저들을 모두 보여주며 해당 유저들의 다양한 자격 증명을 볼 수 있다.
- IAM Access Advisor(user-level)
-접근하는 사용자의 서비스 허가권을 보여주며 언제 해당 서비스가 마지막으로 액세스 되었는 지를 함께 보여준다.
- 이를 이용해 '최소 권한의 원칙'에 따라 사용자가 얻을 수 있는 권한을 줄일 수 있다.
Credentials report(자격 증명 보고서)
AWS Management console 중 IAM 서비스에 들어가서 메뉴 왼쪽 하단을 클릭하면 만들 수 있다.
- 생성 후 보고서를 csv 파일로 다운 받아 확인해 볼 수 있다.
- 키와 접근 증명, 그리고 다른 사용자들이 비밀번호를 바꾸지는 않았는지 혹은 해당 유저가 계정을 사용하고 있는 지 등을 확인할 수 있다.
IAM Aceess Advisor
Users > 원하는 사용자 선택 > "Access Advisor" 에서 확인할 수 있다.
이를 이용해 어떤 서비스의 마지막 접근 시기가 언제인지, 그리고 어떤 정책을 통해 접근이 가능한 지를 확인할 수 있다.
IAM 정리
- Users: 물리적인 유저와 매핑되며 AWS 콘솔에서 비밀번호를 가지고 있다.
- Groups: 유저들을 포함한다(유저만 포함할 수 있다).
- Policies: Json document로, 사용자 혹은 그룹에 대한 permission(허가)를 정의한다.
- Roles: EC2 인스턴스나 다른 AWS 서비스로 무언가를 하기 위해 허가를 받아야 한다면 Roles를 이용하면 된다.
- Security: MFA + Password Policy를 이용한다.
- Access Keys: CLI 또는 SDK를 이용해 AWS에 엑세스 하는 데 사용된다.
- Audit: IAM 대시보드를 감사하기 위해 사용하는 것으로 "IAM Credential Reports"(계정 내의 모든 IAM 사용자들에 대한 정보를 얻을 수 있다)와 "IAM Access Advisor"(특정 IAM 사용자를 감시할 수 있다)가 있다.