IAM - (AWS-SAA)

은채의 성장통·2024년 12월 24일
aws
0

AWS

목록 보기
1/79

AWS IAM은 AWS 리소스에 대한 접근을 안전하게 관리할 수 있도록 도와주는 핵심 서비스입니다. 이 가이드를 통해 IAM의 주요 개념과 실제 사용 방법을 공부해보겟습니다.

1. IAM의 기본 특징

  • 글로벌 서비스: IAM은 특정 리전(사용국가)을 선택할 필요 없이 모든 AWS 리소스에 적용됩니다.
  • Root 계정 사용 제한: 보안 관점에서 root 계정의 사용은 권장되지 않으며, IAM 사용자를 생성하여 관리하는 것이 좋습니다.

2. 계정 생성 프로세스

IAM 사용자 생성 방법은 두 가지가 있습니다:

2.1 Identity Center 사용자 지정 (권장)

  • 고급 보안 시스템을 통해 직원을 등록하는 방식입니다.

2.2 IAM 사용자 직접 생성 (간단한 방식)

  • 간단하게 출입증을 즉시 발급하는 방식입니다.

사용자 생성 시 주목할 점

  • 그룹을 통한 권한 관리: 효율적으로 권한을 관리할 수 있습니다.
  • Administrator 권한 그룹 설정: admin 그룹을 통해 관리자 권한을 부여할 수 있습니다.
  • 메타데이터 관리: 모든 리소스에 태그를 추가하여 관리합니다.
  • 로그인 지침 제공: 생성 완료 후 PDF 또는 CSV 형태로 로그인 지침을 받을 수 있습니다.

3. IAM 정책 관리

정책 관리는 다음 세 가지 방식으로 이루어집니다:

3.1 그룹 기반 정책

  • 부서별로 접근 권한을 설정합니다.

3.2 인라인 정책

  • 특정 사용자에게만 적용되는 정책입니다.

3.3 크로스 팀 정책

  • 여러 팀이 함께 사용하는 정책으로, 예를 들어 감사팀(Audit team)에게 적용할 수 있습니다.

주요 정책 예시

  • AdministratorAccess 정책
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowS3ReadAccess",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/johndoe"
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::example-bucket",
        "arn:aws:s3:::example-bucket/*"
      ],
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": "203.0.113.0/24"
        },
        "DateGreaterThan": {
          "aws:CurrentTime": "2023-01-01T00:00:00Z"
        }
      }
    }
  ]
}

    Effect

    • 설명: 특정 작업을 허용("Allow")할지 거부("Deny")할지를 결정합니다.

      Principal

    • 설명: 정책이 적용되는 대상을 지정합니다.

    • 예시: IAM 사용자, 역할, AWS 서비스 등.

      Action

    • 설명: AWS 서비스에서 수행할 수 있는 특정 작업을 나타냅니다.

    • 예시"s3:GetObject""ec2:StartInstances" 등.

      Resource

    • 설명: 정책이 적용되는 AWS 리소스를 지정합니다.

    • 예시: Amazon Resource Name (ARN) 형식으로 표현됩니다.

      Condition

    • 설명: 정책이 적용되는 조건을 지정합니다.

    • 예시: 특정 시간대, IP 주소 범위, 태그 등.

  • IAMReadOnlyAccess 정책
    • IAM 리소스의 읽기 권한만 제공하며, Get과 List로 시작하는 모든 API 호출이 허용됩니다.

4. 보안 강화를 위한 설정

4.1 비밀번호 정책

  • 최소 길이 설정
  • 특수문자, 대소문자, 숫자 요구사항 설정
  • 정기적인 비밀번호 변경 강제
  • 이전 비밀번호 재사용 방지

4.2 MFA (Multi Factor Authentication)

MFA는 보안을 강화하는 중요한 요소입니다. 다중인증장치

  • 지원되는 MFA 종류:
    • Virtual MFA device : 가상 MFA 장치(구글 인증 장치 등)
    • Universal 2nd Factor (U2F) Security Key
    • Hardware Key Fob MFA Device
    • AWS GovCloud용 Hardware Key Fob

특히, 개인 PC의 지문 인식도 MFA로 활용할 수 있습니다. 이렇게 AWS IAM을 통해 강력한 보안 정책을 구현하면서도 효율적인 접근 관리를 할 수 있습니다. MFA 활성화는 보안 강화를 위해 반드시 권장되는 설정입니다.

공부한줄평

  • 용어관련 암기가 중요할거 같아요..
profile
은채의 성장통
인생 별거 없어
다음 포스트

IAM 및 AWS CLI - (AWS-SAA)

0개의 댓글