Identity & Access Management
IAM이란, 통합 계정 관리는 지칭한다.
IAM은 일반적인 환경과 SOA 및 웹 서비스 환경에서도 IT 관리에 대한 통합적인 관리 방법을 제시하며, ID 및 액세스 관리를 효과적으로 수행할 수 있도록 지원하는 솔루션이다.
지속적으로 증가하는 내/외부 사용자의 사용자 계정을 생성, 수정 및 삭제 과정을 자도오하하고, 메인프레임에서 웹 애플리케이션에 이르는 모든 범위의 전사적 시스템 상에서 감사 기능을 제공해 고객들의 비즈니스를 보다 안정적이고 효율적으로 지원한다.
계정 관리 시스템
회사 내 시스템에 대한 계정 정보 관리 및 시스템에 대한 통합 권한 관리 솔루션으로 세 가지가 있다.
| 구분 | 내용 |
|---|---|
| SSO (Single-Sign-On) | - 한 번의 인증으로 다양한 시스템에 추가적인 인증없이 접속 가능하도록 하는 보안 솔루션 - 다수의 인증 절차 없이 1개의 계정으로 다양한 시스템 및 서비스에 접속 가능 - 사용자 편의성 과 관리 비용 절감 가능 |
| EAM (Extranet Access Management) | - SSO, 사용자 인증 관리 및 애플리케이션, 데이터에 대한 접근 관리 기능 제공 - 보안 정책 기반의 단일 메커니즘을 이용한 솔루션 |
| IAM (Identity Access Management) | - 계정 관리 전반 및 프로비저닝 기능을 포함한 포괄적인 의미의 계정 관리 솔루션 - EAM과 SSO 기능보다 포괄적인 개념 - 고객의 요구를 반영한 기능 조합 및 확장 가능 - 업무 프로세스를 정의하고 관리하는 인프라 - 업무 효율성, 생산성, 보안성의 극대화를 통해 확실한 이익 창출을 보장하는 비즈니스 툴 |
AWS IAM
Amazon Web Services 리소스에 대한 액세스를 안전하게 관리할 수 있게 해주는 서비스로 AWS 사용자 및 그룹을 만들고 관리하며, 권한을 사용해 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있다.
암호나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 관리하고 사용할 수 있는 권한을 다른사람에게 부여할 수 있으며, 리소스에 따라 여러 사람에게 권한을 부여하거나 특정 EC2 및 애플리케이션에서 실행 가능하도록 안전한 방법을 제공한다.
주요 특징
사용자와 그룹의 정의
IAM 사용자란, AWS에서 생성하는 개체로 AWS와 서비스 및 리소스와 상호 작용하기 위해 그 개체를 사용하는 사람 또는 서비스를 말한다.
IAM 사용자는 필요에 따라 신규 생성/수정/삭제할 수 있으며, 하나의 AWS 계정에 5000개의 계정을 생성할 수 있고, 각 IAM 사용자는 오직 한 개의 AWS 계정만 연결된다.
-
IAM 그룹
: IAM 그룹은 사용자들의 집합이다. 그룹을 활용하면 다수의 사용자들에 대한 권한을 지정함으로써 해당 사용자들에 대한 권한을 쉽게 관리할 수 있다. -
IAM 역할 (Role)
: AWS에서 자격증명을 처리하거나 하지 못하도록 권한 및 정책을 보유하고 있다는 측면에서 IAM 역할은 사용자와 유사하다. 하지만 역할은 한 사용자만 연결되지 않고 그 역할이 필요한 사용자 또는 그룹이면 누구든지 연결할 수 있도록 고안되었다.
IAM의 자격증명 관리 기능
영구적인 자격 증명이 아닌, 임시 자격증명이 필요한 경우 IAM 역할을 사용하면 AWS 리소스에 대한 액세스 권한이 없는 사용자나 서비스에 임시적인 액세스 권한을 부여할 수 있다.
- IAM 자격증명 관리 기능
- 암호 : AWS Management Console, AWS 토론 포럼 등 AWS 보안 페이지에 로그인하는데 사용
- 액세스 키 : AWS API, AWS CLI, AWS SDK 등의 AWS 도구에서 프로그래밍 방식으로 호출하는데 사용
- Amazon CloudFront 키 페어 : CloudFront가 서명된 URL을 생성하는 데 사용
- SSH 퍼블릭 키 : AWS CodeCommit 레포지토리를 인증하는데 사용
- X.509 인증서 : 부 AWS 서비스에 안전한 SOAP 프로토콜 요청을 수행하는 데 사용
