유데미 - Pass the AWS Certified Solutions Architect Associate Certification 강의
Getting started with AWS
Region
cluster of data centers
(ex - us-east-1)
리전 고르는 법
Compliance :법적 요소
Proximity: 지연속도를 줄일 수 있는 곳
Avaliable Service: 해당 서비스를 사용할 수 있는 지역
Pricing
IAM
한 리전은 2~6개의 Availity Zones를 가지고 있다.
IAM은 글로벌 서비스
루트 계정은 안좋음, 정말 필요할 때만 사용
- 어드민 계정의 유저 만들기
- password 체크 (프로그래밍 패스워드)
- set permission (add user to group)
( 그룹 없으면 그룹 만들기 - 그룹명, 정책 선택) - tag - 유저 설명 같은 느낌 (부서, 직종)
User groups 탭 가면 그룹 생성된거랑 권한 확인할 수 있다.
IAM으로 로그인 하는 법
먼저
Account Alias 바꾸기
IAM 사이드에 있는 계정 링크 복사하거나
로그인 시 IAM User 선택해서 AccountID 쓰기
IAM Policies
그룹마다 다른 권한을 줄 수 있다.
그룹이 없는 개인의 경우 개인의 권한 부여 가능
Policies Structure
나중에 쓰는걸로 하고
Principal: account/user/role to which this policy applied to
ex)
ars:aws:iam:번호:root
이면 번호 계정의 root 사용자에게 Action을 허가한다는 뜻
JSON 형식 천천히 외워야 됨..
Policies Hands on
admin 그룹에서 제외하고 개인 권한 (ReadOnly)를 주게 되면
해당 유저는 IAM User를 추가할 수 없음 (권한이 없기 때문)
개인 권한 / 그룹 권한 / 그룹 권한
이렇게 3가지 가질 수도 있다.
IAM MFA
유저,그룹 보호하기 위해 하는 정책
- 비밀번호 (비밀번호 형식, 이전에 썼던 비번 금지 등등 정책 설정 가능)
- MFA (시험에 자주 나옴)
추천사항임 패스워드+ 내가 가진 보안 디바이스
MFA는 비밀번호를 해킹당해도 기기 검증을 하기 때문에 로그인 차단이 가능하다.
AWS에서 사용하는 MFA 기기
- Google Authenticator
- Authy
써드파티
yubikey
설정하는 법
Acount - Security Credential - MFA (액티브하기)
Virtual MFA로 하자^^
버추얼로 하면 MFA어플 깔아야댐
이거 하면 로그인 할 때마다 MFA 인증도 해야댐
(루트, IAM User 모두 설정 가능)
