IAM의 방어 매커니즘
- 비밀번호 정책
최소길이 지정
특수 문자 사용
비밀번호 변경 허용/금지
비밀번호 만료 기간 지정
비밀번호 재사용 막기 - MFA(Multi Factor Authentication) = 비밀번호 + 보안장치(MFA)
- 가상 MFA 장치
google Authenticator, Authy - 물리 MFA 장치
YubiKey U2F - 키 팝
- 가상 MFA 장치
user access 옵션
AWS 관리 콘솔
AWS CLI
AWS SDK: 애플리케이션 코드내에서 API 호출해 사용, 여러 언어 지원
IAM 역할 서비스
사용자에게 권한을 주는 것이 아닌 서비스에 권한을 주는 것.
ex: EC2 인스턴스 역할, 람다 기능 역할, CloudFormation에 대한 역할. 등등..
IAM 보안 도구
- 자격 증명 보고서(계정 수준): 계정에 있는 사용자와 다양한 자격 증명의 상태를 포함한다.
- IAM 액세스 관리자(사용자 수준): 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 접근한 시간을 볼 수 있다.
-> 최소 권한 원칙을 정하는데 도움이 된다.
IAM 지침
1) 루트 계정은 계정생성 및 설정외에는 가급적 사용하지 않는다.
2) 사용자를 그룹에 넣어 그룹에 권한을 부여한다.
3) 강한 PW 정책을 사용한다.
4) MFA사용을 권장한다.
5) AWS 서비스에 권한 부여시 역할을 만들고 사용한다.
6) CLI/SDK 사용시에는 액세스키를 생성해 사용한다.
7) 계정권한 감사는 IAM 자격증명보고서와 IAM 액세스 분석기를 사용한다.
8) 사용자와 액세스키는 공유하지말자.
IAM 용어
Policies: JSON문서를 통해 사용자,그룹에 대한 권한, 보안
Roles: EC2 인스턴스 또는 AWS 서비스용 보안.
Access Keys: CLI,SDK사용할때 액세스할 키
Audit: IAM 자격 증명 보고서 및 IAM 액세스 관리자
