AWS a to z - IAM

NTbell·2025년 1월 28일

필자경우 단순이 프리티어로 EC2로 서버를 띄운적이 있으나 정확히 어떤 방식으로 어떻게 효율적으로 구성을 해야하는지 필요 지식이 필요했다 이에 따라 이번 포스팅을 시작으로 정리를 해볼까한다

Region(리전)

위 링크를 통해 전세계 가용한 리전 확인가능!


IAM(Identity and Access Management)

IAM 특징

  • 특정 리전에 종속되지 않는 글로벌 서비스
  • Root Account는 가입 시 자동 생성되며 절대 공유하거나 사용하지 않아야 함
  • IAM의 주요 구성 요소
    • 사용자(User): 하나의 계정을 여러 명이 공유하지 않도록 개별 사용자 단위로 관리함
    • 그룹(Group): 사용자만 포함 가능 (다른 그룹 포함 ❌)
      • 사용자 1명은 0개 ~ n개의 그룹에 포함될 수 있음
    • 정책(Policy): JSON 형태로 관리하며 권한을 제어함
      • 최소 권한 부여 원칙을 지켜야 함 ⭐
        • 필요 이상의 권한을 주지 말아야 함
        • 이유: 과도한 비용 발생 혹은 서비스의 심각한 보안 위험 가능성

IAM 정책(JSON) 예시

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:ListBucket",
      "Resource": "arn:aws:s3:::example-bucket"
    },
    {
      "Effect": "Deny",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::example-bucket"
    }
  ]
}
  • Version: 정책 버전을 명시
  • Statement: 정책의 동작을 정의하는 핵심 구성 요소
    • Effect: 허용(Allow) 또는 거부(Deny) 여부
    • Action: 허용 또는 거부할 AWS 서비스 작업
    • Resource: 정책이 적용될 AWS 리소스

IAM 비밀번호 정책

  • 최소 비밀번호 길이 설정
  • 특정 형식의 문자열 포함 (예: 숫자, 특수 문자 등)
  • 사용자 비밀번호 변경 허용
  • 주기적인 비밀번호 변경 권장
  • 비밀번호 재사용 금지

MFA(Multi-Factor Authentication)

  • IAM 사용자 또는 Root 계정에 대해 강력한 보안 필요
  • MFA를 적용하면 보안 수준을 대폭 향상할 수 있음 🔐

주로 사용하는 MFA 유형

  1. 가상 MFA 디바이스
    • MS Authenticator
    • Google Authenticator
  2. U2F 키
  3. 하드웨어 기반 MFA 기기

서비스 롤(Service Role)

  • AWS 서비스가 내부적으로 AWS 리소스에 접근할 수 있도록 설정함
  • 서비스 롤을 통해 접근 권한을 제한적으로 제공

IAM 보안 도구

IAM 보안 보고서 (Credential Report)

  • Account 단위 보고서 제공
  • 모든 사용자 상태와 민감 정보 상태를 요약

IAM Access Advisor

  • 사용자 단위 접속 기록 확인 가능
  • 사용자에게 부여된 권한 및 서비스 접속 기록을 제공
  • 정책 적절성 확인에 활용

IAM은 AWS 자원을 안전하게 관리하고, 최소 권한 원칙과 MFA를 활용하여 보안을 강화하는 것이 핵심임 💡

profile
어떤 개발자가 되고싶나

0개의 댓글