AWS IAM (Identity and Access Management) 요약 노트

Udemy - Stephane Maarek AWS SAA 강의를 듣고 메모 목적으로 남김

1. IAM 기본 개념 및 구조

• AWS 전역(Global) 단위로 묶이는 서비스. (특정 리전에 종속되지 않음)
• 루트 계정(Root account): 계정 생성 시 만들어지는 절대 권한. 초기 설정 외에는 봉인해두고 절대 일상적으로 쓰거나 남과 공유하면 안 됨.
• 사용자(Users)와 그룹(Groups)
  • 조직원 1명당 1개의 사용자 계정을 매핑하는 것이 원칙.
  • 그룹은 사용자들을 묶어 권한을 한 번에 관리하기 위한 단위.
  • 주의할 점: 그룹 안에 또 다른 그룹을 넣을 수는 없음. 대신 한 사용자가 여러 그룹에 양다리(?)를 걸치는 건 가능. 아예 그룹 없이 단독으로 있는 것도 가능함.

2. 권한(Permissions)과 정책(Policy)

• 권한은 JSON 형태의 문서인 정책(Policy)을 통해 줌.
• 제일 중요한 원칙은 최소 권한의 원칙(Least privilege). 딱 필요한 일만 할 수 있게 권한을 타이트하게 잡아야 함.
• JSON 구조
  • Statement (필수 항목), Version, Id (선택)
  • Statement 내부 상세:
    • Effect: 허용(Allow)할 건지, 거부(Deny)할 건지
    • Principal: 이 정책을 누구한테 적용할 건지
    • Action: 어떤 API/작업을
    • Resource: 어떤 AWS 리소스에 대고 할 건지
    • Condition: 특정 조건일 때만 (선택)

3. 비밀번호 정책 및 MFA (다중 인증)

• 비밀번호 빡세게 관리하기: 최소 길이 설정, 대/소문자/숫자/특수문자 조합 강제, 주기적 만료 세팅, 예전 비밀번호 돌려막기 방지 등 전부 가능. 사용자 본인이 직접 비번을 바꾸게 권한을 줄 수도 있음.
• MFA (Multi Factor Authentication): 루트 계정이든 일반 사용자든 선택이 아닌 필수. 비밀번호가 털려도 계정을 방어해주는 핵심 수단.
  • 가상 앱(구글 OTP, Authy), 하드웨어 키(YubiKey), 키 폽 등 다양한 방식 지원.

4. AWS 환경 접근 방법 3가지

• 콘솔(Management Console): 웹 브라우저로 접속 (비밀번호 + MFA 사용)
• CLI (Command Line Interface): 터미널에서 명령어로 제어 (액세스 키 사용)
• SDK (Software Development Kit): 파이썬, 자바 등 코드로 애플리케이션 내에서 제어 (액세스 키 사용)
  • 참고: 여기서 말하는 액세스 키(Access Key ID & Secret Access Key)는 아이디/비밀번호와 똑같은 급임. 절대 깃허브나 퍼블릭 공간에 노출하면 안 됨.

5. IAM 역할 (Roles)

• 사용자가 아니라 AWS 서비스(EC2, Lambda 등)가 다른 서비스를 건드려야 할 때 모자처럼 씌워주는 임시 권한.
• 예: EC2 인스턴스 위에서 도는 앱이 S3 버킷에서 데이터를 퍼와야 할 때, 액세스 키를 코드에 박아넣는 대신 EC2 자체에 IAM 역할을 부여해서 안전하게 해결함.

6. 보안 감사 툴 & 필수 모범 사례

• 감사 도구 비교
  • IAM Credentials Report (자격 증명 보고서): 계정 전체 수준. 모든 유저의 비밀번호, MFA, 키 상태를 엑셀처럼 쫙 뽑아줌.
  • IAM Access Advisor (액세스 관리자): 사용자 개별 수준. 이 유저가 언제 마지막으로 어떤 서비스에 접근했는지 보여줌. 안 쓰는 권한 쳐낼 때 꿀기능.
• 실무 베스트 프랙티스 요약
  • 루트 계정 쓰지 마라.
  • 1명당 1계정 원칙.
  • 권한은 개별로 주지 말고 그룹으로 묶어서 줘라.
  • 강력한 비밀번호 + MFA는 무조건.
  • 애플리케이션 코드가 AWS 접근할 땐 액세스 키 말고 IAM 역할(Role) 써라.
  • 주기적으로 리포트 뽑아서 권한 다이어트 해라.
  • 키나 계정 공유는 절대 금지.