AWS IAM과 접근 권한
접근 권한 설정
AWS IAM이란
: Identity and Access Management(ID와 접속 관리)의 약어로 AWS의 인증 기능이다.
| AWS계정 | IAM |
|---|---|
| 계약을 관리하는 계정 | 각 서비스에 대한 접속을 관리하는 기능 |
IAM 사용자
: 사람에 대해 부여하는 IAM
IAM 역할
: 서비스나 프로그램 등에 부여하는 IAM
💰 IAM 자체는 추가 요금이 없고 무료로 사용할 수 있다.
➡️ AWS는 사용자 인증에 MFA를 사용할 것을 권장
IAM 그룹과 IAM 정책
IAM 사용자, IAM 역할 두 가지 모두에 필요한 최소한의 기능을 부여하고, 필요한 사람에게만 전달하여 운영하는 것이 기본이다.
- AWS는 여러 개의 EC2 인스턴스나 S3 버킷을 다루는 경우가 많다.
- 각각의 서비스에 대해서 멤버 한 사람에게 권한을 설정하는 것은 힘든 일이다.
✅ 사용자나 역할을 효과적으로 설정하고 관리할 수 있는 구조로 되어 있다.
IAM 그룹
그룹화하면 같은 권한을 부여하고 싶은 사용자를 일괄로 관리할 수 있다.
IAM 정책
실행자(사용자, 역할, 그룹)가 어떤 서비스에 접속할 수 있는지 정해진 규칙을 설정하는 기능이다.
✅ 실행자가 무엇을 할 수 있는지 개별로 설정❌, 정책을 적용하는 형태⭕
정책은 실행자 한 명에 대해 여러 설정을 할 수 있고, 정책 한 개를 여러 사용자나 역할에 설정할 수도 있다.
IAM 정책 설정하기
무엇에 대해서(Amazon EC2 서버나 Amazon s3의 폴더 등) 어떤 조작을(시작 및 정지, 파일 쓰기 및 읽기, 삭제 등) 허가할지 말지를 설정하는 것이다.
| 자격 기반 정책 | 리소스 기반 정책 |
|---|---|
| 실행자(사용자, 역할, 그룹)가 '어떤 일을 할 수 있는가' | 조작 대상(서버 및 폴더 등)에 대해서 '무엇을 허가할 것인가' |
_Ex) 스토리지 서비스인 Amazon S3의 경우는 읽기, 추가하기, 덮어쓰기, 삭제하기 등 세밀하게 설정할 수 있고 특정한 장소(IP 주소)에서만 허가하는 설정
AWS 관리 정책을 사용하는 것을 추천한다.
→ 자기만의 정책을 생성하는 것도 가능(고객 관리형 정책)
AWS 관리 정책과 다른 부분만 고객 관리형 정책을 설정하는 식으로 조합하면 좋다.
다단계 인증 · 다요소 인증
다단계 인증
한 종류 · 1단계 인증은 암호를 알면 관리 콘솔에 로그인이 가능하다. + 두 번 이상의 인증을 수행하는 것
다요소 인증
ID와 암호뿐만 아니라 전용 하드웨어를 사용하거나 생체 인증을 사용하는 등 다른 종류의 인증을 사용하는 것이 일반적
Amazon CloudWatch
Amazon EC2의 리소스 상태 감시
Amazon CloudWatch란
: 각 AWS 서비스의 리소스 모니터링과 관리를 담당하는 서비스
✅ AWS의 각 서비스에서 지표(여러 관점에서 동작을 평가하는 수치), 로그 등을 수집, 기록한다.
✅ 수집한 로그가 임계 값을 넘으면 특정 동작이 일어나도록 설정할 수 있기 때문에 감시 상황에 대처하는 관리도 가능하다.
💰 기본 요금은 없고 종량제 요금제로 사용한 만큼만 지불한다.
사용 가능한 조작과 Amazon CloudWatch Logs
CPU 사용률, 볼륨의 읽기 쓰기 횟수나 바이트 수, 네트워크 송수신 패킷 수 등을 감시할 수 있다.
- 감시하고 있는 항복이 임계 값을 넘을 경우에 어떠한 작업을 하도록 설정할 수 있다.
이메일 송신, EC2 작동(인스턴스 시작 · 정지 등), Auto Scaling(인스턴스 수를 변경), Landa 함수에 의한 임의 프로그램 실행 등
Amazon CloudWatch Logs
: 각종 로그를 기록할 수도 있다.
| Lamda 함수 | Amazon EC2 | AWS CloudTrail |
|---|---|---|
| 로그가 기록되며 이 로그는 범용적인 로그이다. | 인스턴스에 에이전트를 설치하면 인스턴스 내에서 임의의 로그를 기록할 수 있다. | 감사(aduit) 서비스를 활성화하면 누가 어떤 리소스에 접근했는지도 기록으로 남길 수 있다. |
