IAM이란
IAM은 Identity and Access Management의 약자로 IAM에서는 사용자를 생성하고 그룹에 배치하는 글로벌 서비스입니다. 즉, AWS 계정으로 개별 사용자 및 해당 권한을 생성하고 관리하기 위한 중앙 집중식 메커니즘입니다.
보안상의 이유로 프로젝트 관리 시, AWS ROOT user를 사용하기 보다 권한을 위임한 유저로 프로젝트를 관리하는 것이 좋습니다.
아래와 같은 AdministratorAccess 관리자정책을 가진 그룹으로 생성하게 되면, 거의 root와 동일하게 권한을 가진 유저를 생성할 수 있습니다.
AdministratorAccess
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}모든 작업과 리소스 및 권한 허용되는 정책
Statement: Effect, Action, Resource, Condition
IAM 사용자로 로그인하기
- 아래와 같이 로그인 화면에서 IAM사용자를 선택하고 로그인하는 방법
- IAM 대시보드 상에서 제공하는 링크를 통해 로그인하는방법
두가지 방법 모두 로그인을 위한 계정ID나 IAM생성시, 만든 비밀번호를 기입하면 로그인이 가능합니다. IAM 생성시 비밀번호를 자동으로 입력했다면 미리 다운받아놓은 csv파일을 사용해야합니다.
AWS cli 설치 (macOS)
-
링크에 나온 PKG 파일을 설치 (파이썬이 설치되어 있어야합니다.)
-
aws 버전확인
CLI 실습
- IAM 유저로 로그인
- IAM 유저의 user탭에서 보안자격증명 탭 클릭
- access key 생성 클릭 후, cli 선택 후 만들기
4.생성된 access key csv파일을 비밀스럽게 잘 저장하고, 터미널에서 aws configure 명령을 통해 aws user 연결
리전은 가까운 서울 리전으로 선택 Default output format은 따로 설정하지 않았습니다.
- 연결된 aws user확인
aws iam list-users
Cloudshell을 사용해서도 터미널을 사용할 수 있으나 사용가능한 리전이 제한되어 있습니다.
ps 위와 같은 방법으로 설정할 시, 해당 계정 상의 누구라도 다시 EC2 인스턴스 커넥트 등을 통해 EC2 인스턴스에 다시 접속해서 인스턴스에 입력된 자격 증명 정보를 회수할 수 있게 되기 때문에, 현업에서는 절대로 위와 같은 방식으로 추가해서는 안됩니다.
- 아래와 같이 ec2 인스턴스의 role추가를 통해서만 aws iam list-user에 추가해주세요
IAM 보안 도구 실습
- user(사용자) 탭에서 해당 user를 클릭하고 액세스 관리자 탭으로 들어가면 지난 4시간 동안의 사용자의 활동내역을 알 수 있습니다.
- 자격 증명 보고서 (credential report)
위의 파일을 다운로드하면 특정 유저의 접속 기록과 access 현황이 파악 가능합니다.
https://aws.plainenglish.io/aws-identity-and-access-management-iam-31e7f72ce1b0
