1. AWS의 기본 , IAM

JW·2022년 7월 21일
aws-ssa-c02
0

AWSSAA

목록 보기
2/5

Region

  • Region은 data center의 cluster 이다.

  • US-EAST-1 , US-EAST-2 , AP-EAST-1 등 전 세계에 분포되어 있으며,
    많은 AWS 서비스들은 Region-scoped 되어있다.

  • 어떠한 지역에 나의 서비스를 런칭할 건지 결정하기 위해 기준이 있다.
    법률규제라던가 , 가격 , latency 등이 있으며

  • 가장 중요한 것은 모든 서비스가 모든 리전에서 제공되지 않기 때문에 잘 알아보고 해야 한다.

AZ

  • Availability Zone을 각 Region이 가지고 있다고 생각하면 된다.
    ap-southeast-2a , ap-southease-2b 식이다.

  • 각 AZ는 하나 이상의 데이터 센터를 가지고 있고 , 각 AZ는 서로 분리되어 재해로부터 독립적이다.

  • AZ끼리는 고성능의 네트워크로 서로 이어져 있다.

AWS의 서비스들

Global Service :
IAM
Route 53
CloudFront
WAF

Region-scoped :
EC2
Beanstalk
Lambda
Rekognition

이런식으로 Global (리전에 상관없이 제공되는) 과 Region마다 나누어져 있는 서비스가 따로 있다.

IAM

IAM : Identity and Access Management

  • Root account : 기본으로 설정되어 있으며 , 사용자들이 사용하지 못하게 해야한다.

  • User : 조직에 있는 사람으로써, 그룹화가 가능하다
    (User는 다양한 Group에 들어갈 수 있다.)

  • Group : 사람을 포함할 수 있는 집단이다.
    (Group 안에는 또 다른 Group이 들어갈 수 없다

IAM Permission

  • User와 Group은 정책을 가질 수 있다.

  • 권한들을 JSON 문서로 나타내어 관리하고 있으며, least privilege principle 로 정책을 관리 해야 한다.
    (최소한의 권한만을 제공해 주어야 한다. )

  • Group에 정책을 설정해 두면 , 그 그룹안에 있는 user들에게도 모두 그 정책이 적용되며, 개개인에게도 따로 정책을 지정해줄 수 있다.

  • 즉, 어떤 user가 group policies와 개인 정책 모두 가질 수 있다는 뜻

IAM Policies Structure

Sid : statement을 구분해주는 구분자다

Effect : 정책이 허용하는 정책인지 거부하는 정책인지 알려준다.

Principal : 어느 곳에 정책이 적용되는지 알려준다

Action : 허용되거나 거부되는 행위를 알려준다 ( GetObject 등)

Resource : 적용되는 곳이 어딘지 알려준다

Condition : 어떤 조건에서 이 정책이 적용되는지 알려준다.

Multi Factor Authentication - MFA

MFA = password + security device you own

다중 잠금 장치라고 생각하면 된다 .

(비밀번호를 누가 알아도 계정을 쓸 수 없다 )

AWS 접근 방법

  1. Console로 접근 할 수 있다.
    (password + MFA)
  2. CLI 로 접근할 수 있다
  3. SDK를 사용해 접근 할 수 있다. (Application 내부에 넣어 놓음)

access key가 2,3번의 방법에 필요하며, API 사용에도 쓰인다.

IAM 정책을 서비스에 적용하기

  • AWS service에 permission을 주기 위해 IAM Role을 사용한다.
    EC2 Instance Role , Roles for CloudFormation 등으로 말이다.

IAM 보안 도구

  • IAM Credentials Report (account-level)
    Acoount의 사용자들이 각각 어떤 자격증명을 받았는지 알려준다.

  • IAM Access Advisor(user-level)
    user에게 부여된 허용 권한이 어떤 것이고, 최근에 접근했는지 알 수 있다.

IAM Guideline

  1. 루트 계정을 사용하지 마라
  2. 실제 사람 한명당 하나의 AWS user를 설정해라
  3. 그룹에 권한을 주고 그 그룹에 유저를 넣어라
  4. 비밀번호를 빡세게 잡아라(어렵게 해라)
  5. MFA를 사용해라
  6. Role를 만들어서 AWS service에 허용 권한을 줘라
  7. Access key를 활용해 CLI,SDK를 사용해라
  8. IAM Credentials Report를 사용해 계정의 허용권한을 봐라
  9. 계정 공유 x
profile
JW
뭘 할까?
이전 포스트

AWS Certified Solutions Architect - Associate

다음 포스트

2. EC2

0개의 댓글