AWS Global Infra
https://aws.amazon.com/ko/about-aws/global-infrastructure/regions_az/
- 가용영역 : 하나 이상의 데이터센터로 구성됨. 논리적 데이터센터
- 리전 : 2개 이상의 가용영역의 모임
- 각 리전은 각각 다른 AWS 서비스 제공
- 엣지 로케이션(PoP) : CDN, DNS 서비스를 제공
🛴서울 리전
우리 나라에서 가장 많이 사용하는 리전 : ap-northeast-2
4개의 AZ로 구성되어 있음
- ap-northeast-2a
- ap-northeast-2b
- ap-northeast-2c
- ap-northeast-2d
🧩ROOT 사용자 MFA 적용하기
ROOT 사용자 계정을 안전하게 보안하기 위해 MFA를 적용해보겠습니다.
MFA적용을 위해 우측 상단의 보안 자격 증명으로 이동
멀티 팩터 인증(MFA)를 활성화 해줍니다.
가상 MFA 디바이스 선택
구글 OTP를 통해 인증을 거친후 6자리 숫자를 2번 입력해줍니다.
🙋♀️IAM(Identity and Access Management)이 뭔가요?
AWS Identity and Access Management는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹서비스 입니다.
리소스(Resource)와 접근(Access)
리소스는 자원으로써, AWS에서는 컴퓨팅, 스토리지, 네트워크등을 의미합니다.
접근은 리소스를 조작 및 제어하는 행위로 읽기,쓰기,변경,삭제 등을 말합니다.
즉, IAM은 사용자가 리소스를 사용하려고 할 때 권한을 세부적으로 조정하는 서비스입니다.
IAM Policy 의 종류
-
AWS 관리 정책
AWS가 미리 만들어 놓은 정책, 사용자는 편집 불가능 -
사용자 관리 정책
사용자가 직접 생성한 정책
기존 정책으로부터 생성 및 수정 또는 직접 생성 가능
GUI 편집기 / JSON 편집기 모두 사용 가능
그 외 1회성 정책인 inline 정책도 있다.
아래는 S3 특정 버킷 읽기 전용 정책의 예시입니다.
IAM Role
특정 개체에게 리소스의 접근 권한을 부여하기 위해 사용하며, Short term credentail 또는 임시 자격 증명으로 불립니다.
특정 개채? ( IAM 사용자, AWS 서비스, 다른 계정, AWS 관리계정)
안전모 아이콘으로 볼 수 있으며 assumeRole API를 이용해서 사용할 수 있으며 API를 호출할 때만 Role을 이용합니다.
주로 AWS 서비스들이 직접 다른 AWS 서비스를 제어하기 위해 사용합니다.
사용자나 응용 프로그램에서 일시적으로 AWS 리소스에 접근 권한을 얻을 때도 사용합니다.
💡IAM Role의 주요 구성 요소
- Role ARN : 역할을 호출하기 위해 필요
- IAM Policy : 이 역할이 어떤 권한을 부여를 할 수 있는가
- 신뢰 관계 : 어떤 개채가 IAM Role을 호출할 수 있는가
그외 유지 시간, 이름 등도 필요
💡IAM Role 사용예
- EC2 role : EC2 인스턴스에게 AWS 서비스 접근권한을 부여
- Lambda Execution Role : 람다에서 S3로부터 파일을 읽고 싶을 때 role에 권한 지정
- 다른 계정의 사용자에게 내 계정의 DynamoDB에 임시 접근 권한 부여
- 안드로이드 앱이 S3로 직접 동영상을 업로드할 때 사용
ARN
👨👧👧IAM andim 사용자 추가
IAM에서 그룹 생성
amdin 그룹 생성 후 정책 연결
관리자이기 때문에 AdministratorAccess 정책 추가
admin 사용자 추가 후 생성
new_user_credentials이라는 파일이 생성되었고 내부의 링크를 통해 IAM 사용자로 로그인 가능
🧩IAM 개발자 아이디 추가
새로운 developer 그룹과 PowerUserAccess 정책 추가
마찬가지로 사용자 추가
그룹 추가 및 생성
생성된 .csv 파일을 통해 로그인
😒 IAM 사용자를 위한 로그인 변경
별칭을 통해 간단하게 로그인
