강의복습
<Udemy> Ultimate AWS Certified Developer Associate 2024 NEW DVA-C02
- Section 4: IAM & AWS CLI
IAM 이란
IAM 이란 Identity and Access Management으로, AWS 전체에서 사용되는 Global Service 이다.
AWS를 처음 가입할때 default로 생성되는 Root Account는 절대 사용되거나 공유되어선 안된다.
Root Account로 모든 리소스를 사용하는 게 가능하나 이는 권장되는 바가 아니다.
AWS는 User를 생성하여 Group별로 분류하고 꼭 필요한 권한만을 할당하여 특정 리소스에만 접근하게 하는 것을 권장하고 있다.
Users & Group
한 User는 여러 개의 Group에 속할 수 있다.
User를 무소속으로 두는 것보단 Group에 배치하는 것이 best practice이다. Group은 다수의 User들이 가지는 역할을 좀 더 분명하게 명시할 수 있다.
User나 Group에 대한 정책(어떤 리소스에 대한 어떤 권한이 있는지 명시한 것)은 JSON 형식으로 기술되어진다.
아래는 그 예시이다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:Describe*",
"Resource": "*"
}
]
}User나 Group의 요구에 따라 최소한의 권한만을 할당해주는 것이 좋다.
실습
1. User 생성
사용할 이름을 설정해주고 사용자 유형을 'IAM 사용자'로 지정한다.
암호 생성 방식을 지정해주고 로그인 시마다 암호 생성하는 것은 체크를 해제해준다.
(로그인할 때마다 암호가 초기화되서 그때마다 저장해주는건 번거롭기 때문이다.)
'다음'을 누르면 아래와 같은 화면을 마주하게 되는데, 아직 그룹이 없는 상태이므로 그룹을 생성해준다.
그룹명을 설정해주고 정책에 추가할 권한으로 AdministratorAccess를 선택해준다.
그러고 나면 아래와 같이 생성한 그룹을 선택할 수 있게 된다.
'다음'을 누르면 내가 생성한 유저의 대략적인 정보와 함께 추가정보를 기입해줄 태그를 생성할 수 있는데, 나는 다음과 같이 설정해줬다.
그러면 IAM 유저가 생성이 되고, 해당 유저명과 패스워드로 로그인할 수 있는 링크가 나타난다.
2. 루트 계정에 별칭 지정하기하여 IAM 로그인 url 변경
IAM 유저의 로그인을 위한 url은 https://${계정ID}.signin.aws.amazon.com/console 형태를 가진다.
그러나 계정ID 는 외우기 힘들기 때문에 좀 더 명확한 url을 얻기 위해 계정에 별칭을 지정해줄 수 있다.
가령 아래와 같이 별칭을 'rootaliasdev'로 지정해줄 경우,
https://rootaliasdev.signin.aws.amazon.com/console 로 접속해서 로그인할 수 있게 된다.
되는지 테스트해보기 위해서 시크릿 창을 열고 주소창에 다음과 같이 입력했다.
로그인 화면이 정상적으로 나타나는 걸 확인했다.
아까 생성해준 IAM 계정으로 로그인을 시도해본다.
IAM으로 로그인이 되는 걸 확인했다.
