[AWS] IAM USER를 이용하여 안전하게 계정 공유하기

내가 속해있는 팀은 현재 AWS 스타트업 지원 사업에 선정되어 AWS 크레딧을 1000$ 가지고있다. AWS를 사용하는 친구들이 있으면 크레딧을 사용할 수 있게 공유해주고 있다.

다만 모든 권한을 가지고있는 루트사용자를 넘겨줄 순 없다. 따라서 나는 IAM USER를 생성하여 권한을 제한하고, 해당 USER를 넘겨주는 작업을 할 것이다.

마침 요즘 AWS Certified Solutions Architect - Associate 자격증을 공부중이고, 배운 내용을 써먹을 수 있는 곳이라 기록으로 남겨본다.

🔥USER? ROLE? POLICY?
IAM과 관련하여 헷갈리는 용어를 정리해보자.

IAM USER(사용자) : AWS 사용자이다. 루트사용자가 아닌 사용자를 만들어, 정책(POLICY)을 부여하고 제어할 수 있다.
USER GROUP(사용자 그룹) : AWS 사용자를 여러명 묶을 수 있는, 말그대로 그룹이다. 그룹에 속한 사용자는 그룹의 POLICY를 따른다.
IAM ROLE(역할) : AWS 서비스(EC2, lambda..)가 가질 수 있는 역할이다. 해당 역할에서 접근 가능한 범위는 정책(POLICY)를 부여하여 지정한다.
IAM POLICY(정책) : AWS 서비스에 접근할 수 있는 정책을 설정한다. ec2를 생성/삭제할 수 있다든가, s3에 읽기권한을 부여한다든가...

1. IAM USER 만들기

루트사용자로 로그인하여 IAM - 사용자에서 사용자를 생성한다.

위 사진처럼 IAM Identity Center에서 사용자를 만들면 해당 콘솔에서 관리가 가능하다.
하지만 나는 친구에게 빌려주는 것이므로 ID/PW를 이용하여 간단하게 계정공유를 제공할 것이기 때문에 아래것을 골랐다.'

이렇게하면 ssunbear라는 이름의 사용자가 생성된 것이다.

2. 그룹 생성 및 그룹 Policy 설정

위 사진처럼 새로운 사용자를 만들때 어느 그룹에 추가할지 선택할 수 있다.
다음을 누르면 그룹에 속해있지 않은 사용자를 만들 수 있지만, 학습 차원에서 간단한 그룹을 만들어 보겠다.

위 사진처럼 AdministratorAccess 정책(policy)를 선택하여 모든 관리자 권한을 제공한다.
aws에서 만들어 놓은 많은 policy가 있기 때문에 입맛에 맞게 골라도 되고, 직접 생성을 해도 된다.

이렇게 fullAccessForSsunbear라는 그룹을 만들게 되면, 해당 그룹에 속하는 모든 사용자는 모든 관리자 권한을 가질 수 있게 되는 것이다.

3. 그룹 내 사용자 추가

위 사진처럼 아까 만들었던 ssunbear 사용자를 fullAccessForSsunbear 그룹에 포함시키자. 이제 ssunbear 사용자는 해당 그룹의 policy에 따른 권한을 획득하게 되었다.

위 사진처럼 사용자에 어떤 권한이 부여가 되었는지 확인 가능하다.

위 사진에 있는 URL로 들어가면 아래와 같은 로그인창이 나타난다. 그리고 입력했던 사용자이름과 패스워드를 입력하자

4. IAM USER를 이용한 로그인

위에서 주어진 콘솔 URL로 접속을 하든가, ID와 사용자 이름, 비밀번호를 입력하면 해당 사용자로 로그인을 할 수 있다!