IAM 이란?

Identity and Accecss Management의 약자로 AWS를 사용할 때 root계정으로 사용하게 되면 발생 가능한 보안 문제를 해결하기 위해 사용하는 방법이다.

특징

• 기본적으로 제공되는 권한이 없고 따로 권한을 주어야 한다.
  -> 각 사용자의 역할에 맞게 권한 부여 가능
• AWS 계정을 만들 때 주어진 아이디로 로그인 가능하다
• 권한 부여시 root유저와 동일한 권한을 얻을 수 있지만, 빌링관련 작업은 root유저가 허용해야 한다.
• 사람이 아닌 어플리케이션 등 가상의 주체를 대표할 수 있다.

root계정에서 MFA 생성

1. 모바일로 설치한 google otp 앱을 사용하여 인증 코드를 발급 받겠다.

2. 받은 otp 앱으로 QR코드를 확인 받으면 주기적으로 바뀌는 6자리 숫자 2개를 입력한다.
   
3. QR 코드를 다른이미지로 저장하여 안전한 곳에 보관한다.
   ->핸드폰을 잃어버리면 로그인 불가.. 복구 힘듬..
4. MFA 디바이스 설정을 마친다.
   
5. 좌측 메뉴바에 대시보드로 이동하여 AWS 계정 별칭을 수정한다.
   
   -> 수정된 별칭 밑에 url 주소로도 로그인 가능하다.
6. 좌측 메뉴바에 사용자로 이동하여 IAM 계정을 생성하자
   
7. 사용자 유저 설정하기
   

• api등 다양한 서비스를 사용하기 위해서 엑세스키를 체크.
  IAM유저가 어플리케이션을 대표하도록 하고 있어 console 로그인 할 이유가 없어 체크할 필요가 없지만, 현재 나는 api테스트도 할 예정이라 체크 하였다.
• 비밀번호 재설정 필요 체크를 풀어 다른 사용자에게 계정을 만들어 줄 땐 비밀번호 재설정이 발생하고 나는 발생하지 않도록 하였다.

8. 권한 설정하기
   

• 기존 정책의 맨 위에 있는 admin으로 설정하였다.
  -> 빌링을 제외한 모든 aws 권한 부여

9. 사용자를 만들었다!
   
   

   .csv를 다운받고 절대 공개되지 않도록 주의하자!

10. 만든 사용자에 들어가서 IAM의 MFA도 설정해주자!
    
    MFA 디바이스 할당을 누르자
    

    root MFA설정한 것과 마찬가지로 QR인증하는 창이 나온다. OTP앱에 들어가서 오른쪽 하단의 + 버튼을 눌러 추가해주도록 하자.

• 이 QR코드는 저장할 필요없이 그냥 다시 iam을 만들면 해결된다.

이렇게 하면 IAM 계정으로 로그인이 가능하다.

로그인을 해보자!

계정 별칭에는 root계정의 id 혹은 별칭을 넣어주고
사용자 이름에는 iam 이름을 넣어주면 된다!

로그인 완료!!