IAM (Identity and Access Management)
모든 AWS에 대해 세분화된 Access 제어를 제공
IAM Policies
IAM Role과 User에게 부여될 수 있다. 최소 권한의 원칙의 원칙을 따른다
ex)
example_bucket이라는 하나의 Amazon S3 버킷 목록에 암시된 보안 주체를 허용
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::example_bucket"
}
}IAM User and Group
IAM User는 AWS 계정 내에 한 역할에(한 사람 혹은 앱)에 대한 구체적 permission을 가진다.
IAM Group은 IAM User의 모음이다. 특정 set에 대한 권한(permission)을 돕는다.
Policy를 User에게 부여한다. 장기적이다.
IAM Role
AWS Account에 생성할 수 있는 특정 권한을 정의한 것. Service 또는 User에도 부여될 수 있다.
임시자격을 부여한다.
IAM Security Tools
- IAM Credentials Report (account-level)
계정 내 유저들의 다양한 자격 증명 상태를 보여준다. - IAM Access Advisor (user-level)
유저가 사용한 서비스 권한들을 보여준다.
주의할 점은 "거부" 규칙이 항상 "허용" 규칙보다 우선권을 가집니다.
[참조]
insea