IAM 및 AWS CLI

mj·2026년 1월 6일

aws

AWS Certified Solutions Architect Associate

목록 보기

1/4

IAM

💡 IAM (Identity Access Management)
AWS의 보안 인증 서비스로, AWS 계정 및 리소스에 대한 보안을 관리하고 권한을 제어한다.

IAM은 글로벌 서비스다. (선택할 리전이 없다는 뜻)
실제 물리적 사용자와 매핑한다.

Root Account

처음 계정을 생성하면 기본적으로 만들어진다.
루트 계정은 처음 계정생성했을때만 사용하고, 이후에는 IAM으로 Users를 만들어 사용하는 것이 권장된다.(보안 강화를 위해)

IAM Users

: 사용자

하나의 사용자는 여러 그룹에 속할 수 있다.
반드시 사용자가 그룹에 속해야하는건 아니다.
IAM 정책은 IAM 사용자에게 직접 지정, 연결할 수 있다. (그룹을 통해 정책 지정하는 것이 아닌 사용자 개별마다 직접 지정가능)

IAM Groups

: 사용자들을 묶어 그룹으로 관리한다.

그룹안에 그룹을 포함시킬 수 없다.

방어 매커니즘

1. 비밀번호 강화

2. MFA (Multi-Factor Authentication)

비밀번호 + 보안기기를 사용하여 이중으로 보안을 강화한다.

MFA의 이점은 앨리스가 비밀번호를 도난당하거나 해킹당하여 비밀번호를 잊어버린 경우에도 해커가 앨리스의 물리적 장치도 확보해야 하므로 계정이 손상되지 않는다는 것입니다

Virtual MFA 실제 장비 없이도 보안을 강화해준다. 예시로 스마트폰에 인증앱을 설치하는 방법이 있다. 로그인할때 비밀번호 + 스마트폰 twilio 인증앱에서 생성된 인증코드를 웹사이트에 그대로 입력
물리적 장치 (e.g. 보안토큰)

Permissions

IAM 정책을 JSON 문서로 지정

💡 최소 권한의 원칙 (least privilege principle)
: 사용자 또는 시스템이 업무 수행에 꼭 필요한 권한만 부여받아야 한다.

Policies Structure

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PublicReadGetObject",
      "Effect": "Allow",
      "Principal": {
			  "AWS": "arn:aws:iam::123456789012:user/Alice"
			},
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-public-bucket/*"
    }
  ]
}

Consists of

Version:
Id:
Statement: 한 개 이상의 statements (required)

Statements consist of

Sid(시드): Statement ID (선택사항)
Effect(효과): Allow / Deny
Principal(원칙/주체): 누가 액세스하는지
Action(조치): 어떤 API를 허용/거부할지
Resource(리소스): 어떤 리소스에 적용할지
Condition(조건):

IAM Roles 역할

→ 임시된 권한 부여

다른 AWS 리소스나 서비스에 임시로 액세스하기 위해서 특정사용자나 서비스가 임시적으로 권한을 얻게하는 방법이다.

⛑️ 모자로 생각하면 이해하기 쉽다.
Developer가 DA모자를 쓰면 잠시 DA업무를 수행가능하게된다. 단, 기존의 Developer의 권한은 없어진다.

IAM 보안도구

→ 계정의 권한을 감시하기 위함이다.

1. IAM Credential Reports 자격증명보고서
csv파일로 생성됨. 계정을 생성한 시기, pw를 바꾼 시기, access key를 만든 시기… 등에 대한 정보를 파악가능.

2. IAM Access Advisor 액세스 관리자
언제 어떤 서비스에 접근했는지를 보여준다.

How can users access AWS?

1. Management Console

AWS 관리를 위한 웹 기반 인터페이스 (aws 웹에서 접속하는 방법)

2. AWS CLI

Command Line Interface
AWS를 CLI로 접근하는 방법, access key가 필요하다.

3. AWS SDK

Software Development Kit
코드 내에서 API를 호출하기 위한 방법, access key가 필요하다.

IAM Section – Summary

Users: mapped to a physical user, has a password for AWS Console
Groups: contains users only
Policies: JSON document that outlines permissions for users or groups
Roles: for EC2 instances or AWS services
Security: MFA + Password Policy
AWS CLI: manage your AWS services using the command-line
AWS SDK: manage your AWS services using a programming language
Access Keys: access AWS using the CLI or SDK
Audit: IAM Credential Reports & IAM Access Advisor

참고
https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/

일단 하자.

다음 포스트