IAM Introduction: Users, Groups, Policies
IAM: Users & Groups
- Users: 조직에 속한 사람들. 그룹에 속할 수 있는데, 속하지 않아도 되고 여러 그룹에 속할 수도 있다.
- Groups: 유저들만 포함할 수 있고, 타 그룹들은 포함할 수 없다.
IAM: Permissions
- JSON 문서로 유저와 그룹에게 정책을 할당한다.
- 유저가 필요로 하는 최소한의 권한을 허가해준다.
IAM Policies
IAM Policies inheritance
- 그룹 레벨에 정책 첨부하면, 모든 사용자가 상속받게 된다.
- 인라인(inline) 정책은 1 : 1 로 할당하는 정책이다.
IAM Policies Structure
-
Version, Id, Statement로 구성된다.
-
Statement는 다음 내용을 포함한다.
Sid: 식별자(옵셔널) Effect: Allow/Deny Principal: account/user/role 누구에게 적용할 것인지. Action: 허용하거나 거부할 액션 리스트 Resource: 액션이 적용될 리소트 리스트 Condition: 조건(옵셔널)
IAM MFA Overview
Multi Factor Authentication - MFA
- 루트 계정과 아이엠 유저를 보호한다.
- MFA = 패스워드 + 보안 장치
- 유저는 패스워드와 MFA를 입력해 로그인한다.
- MFA 장점: 패스워드를 도난당하거나 해킹당해도 계정은 손상되지 않는다.
AWS Access Keys, CLI and SDK
-
AWS에 액세스 하는 옵션
1. AWS Management Console: 패스워드와 MFA
2. AWS Command Line Interface(CLI): 액세스 키
3. AWS Software Developer Kit(SDK)- 코드 : 액세스 키 -
액세스키는 콘솔에서 생성할 수 있고, 유저는 자신의 액세스를 관리한다.
-
Access key ID, Secret Access Key: 다른 사람들과 공유하면 안된다.
IAM Roles for AWS Services
- IAM Roles을 통해 aws 서비스에 대한 권한을 할당한다.
- Common roles: EC2 Instance Roles, Lamda Function Roles, Roles for CloudFormation
IAM Security Tools
- IAM Credentials Report (account-level): 계정의 모든 유저들과 자격증명 상태를 리스트업한 리포트.
- IAM Access Advisor(user-level): 유저에 부여된 서비스 권한과 언제 최근에 엑세스했는지 보여줌. 정책 수정할 때 참고할 수 있음.
