AWS 액세스 키, CLI 및 SDK
1. How can users access AWS?
AWS에 접근할 수 있는 옵션은 3가지가 있다.
- AWS Management Console : password + MFA
- AWS Command Line Interface (CLI) : protected by access keys
- AWS Software Developer Kit (SDK) : protected by access keys(for code)
Access key 생성 : AWS Console을 통해 생성한다.
Access key 는 개인마다 다르게 부여되기 때문에 아래와 같이 생각하면 편하다.
- Access key ID ~= username
- Secret Access Key ~= password
<퀴즈> IAM 사용자들은 루트 계정 자격 증명을 통해 AWS 서비스에 액세스한다? X
=> IAM 사용자들은 자신만의 자격증명(사용자 이름 & 비밀번호, 혹은 액세스 키)를 통해 AWS 서비스에 액세스 한다.
2. What's the AWS CLI?
CLI(Command Line Interface) : AWS services using commands in your command-line shell
CLI을 사용하면 AWS Management Console의 대안이 될 수 있다.
3. What's the AWS SDK?
SDK(Software Development Kit) : access and manage AWS services programmatically
SDK 의 지원 : Mobile SDKs(안드로이드, ios), Iot Device SDKs(아두이노, 임베디드), SDKs(자바스크립트, 파이썬 등)
AWS 서비스에 대한 IAM 역할
AWS 서비스에서 각각 IAM Roles 을 정할 수 있다.
예를들어 EC2 인스턴스를 만들려고 할 때 IAM Role을 적용시켜 권한에 따라 분리할 수 있다. 또한 예시로 Lambda Function Roles, CloudFormation Roles을 정할 수 있다.
IAM Security Tools
- IAM Credentials Report(account-level)
계정의 모든 사용자와 다양한 자격증명 상태를 나열하는 보고서로 표시
- IAM Access Advisor(user-level)
Access Advisor는 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 Access 한 시간을 보여준다.
IAM Guidelines & Best Practices
- One physical user = One AWS user
- Assign user to groups and assign permission to groups
- Create a strong password policy
- Multi Factor Authentication(MFA) 사용
- AWS services 에 대한 Roles 을 적용
- CLI/SDK 를 사용(Programmatic Access 시)
- IAM users & Access Keys 를 공유하지 않는다
