AWS의 IAM

IAM에 대해 공부를 하였다.

Identity and Access Management

처음 회원가입을 진행하고 로그인 진행을 할 때 root account

Root Account는 기본적으로 사용하거나 공유가 되어서는 안된다. 사용하는 것도 좋지 않다.

대신 해야되는 것이 Users 추가로 만들어줘서 사용을 해줘야 한다.

서비스를 만들기 위해서 Root Account를 만들어야 한다.

팀원들이 작업을 해야할 때 팀원들끼리 아이디와 비밀번호를 주고 받으면 보안에 문제가 생길 수 있다.

공유 자체가 안 좋은 상황이다. AWS에서 Root Account 개발자가 5명이 있으면 User에서 5개를 할당하고 운영을 해야한다면 User로 할당해주고 할 수 있다.

Groups 안에서는 그룹 안에서 어떤 것을 이용하게 해줄 것인지 설정 할 수 있다.

주로 policy에 들어가서 어떤 것이 가능한지?

개발 측이든, 운영 측이든 사용할 것이 있다. 최소한의 기능만 허용해주는 것이

정책의 원칙이다.

노출을 최소화 하기 위해서!!

그룹별로 어떤 권한들이 있는지 설정해줘야 한다.

• 순서 Users > Add User > username 설정 > access키, password > 권한 설
  • access키: 프로그램에서 aws 접근 시 필요한 비밀번호
  • password: 사이트에서 들어올 때 필요한 것
• 2가지 채택
  • 자동생성 시 비밀번호 재설정으로 할 수 있음

생성 후 csv를 만들고 팀원들에게 보내주거나 나도 가지고 있다.

IAM dashboard에서 정책을 내가 직접 만들 수 있다.

aws iam policy 정책들을 보고 어디에 와서 설정을 해야되는지 배울 예정

MFA 추가하라고 나온다. 패스워드 이외에 OTP도 설정하는 것이 있는데 반드시 추가하도록 해야한다. (해킹 사고가 많다! 해킹 터졌을 때 사용되는 금액이 최악의 경우 몇 천 만원이 나올 수 있다!!!!!)

IAM 기능

IAM에서는 다음 기능을 제공합니다.

AWS 계정에 대한 공유 액세스암호나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 관리하고 사용할 수 있는 권한을 다른 사람에게 부여할 수 있습니다.세분화된 권한리소스에 따라 여러 사람에게 다양한 권한을 부여할 수 있습니다. 예를 들어 일부 사용자에게 Amazon Elastic Compute Cloud(Amazon EC2), Amazon Simple Storage Service(Amazon S3), Amazon DynamoDB, Amazon Redshift 및 기타 AWS 서비스에 대한 완전한 액세스를 허용할 수 있습니다. 다른 사용자에게는 일부 S3 버킷에 대한 읽기 전용 권한, 일부 EC2 인스턴스를 관리할 수 있는 권한 또는 결제 정보에만 액세스할 수 있는 권한을 허용할 수 있습니다.Amazon EC2에서 실행되는 애플리케이션을 위한 보안 AWS 리소스 액세스EC2 인스턴스에서 실행되는 애플리케이션의 경우 IAM 기능을 사용하여 자격 증명을 안전하게 제공할 수 있습니다. 이러한 자격 증명은 애플리케이션에 다른 AWS 리소스에 액세스할 수 있는 권한을 제공합니다. 예를 들면 이러한 리소스에는 S3 버킷 및 DynamoDB 테이블이 있습니다.멀티 팩터 인증(MFA)보안 강화를 위해 계정과 개별 사용자에게 2팩터 인증을 추가할 수 있습니다. MFA를 사용할 경우 계정 소유자나 사용자가 계정 작업을 위해 암호나 액세스 키뿐 아니라 특별히 구성된 디바이스의 코드도 제공해야 합니다. 이미 다른 서비스와 함께 FIDO 보안 키를 사용하고 있으며 FIDO 보안 키의 구성에 AWS가 지원되는 경우. 자세한 정보는 FIDO 보안 키 사용에 지원되는 구성을 참조하십시오.ID 페더레이션기업 네트워크나 인터넷 자격 증명 공급자와 같은 다른 곳에 이미 암호가 있는 사용자에게 AWS 계정에 대한 임시 액세스 권한을 부여할 수 있습니다.보장을 위한 자격 증명 정보AWS CloudTrail을 사용하는 경우 계정의 리소스를 요청한 사람에 대한 정보가 포함된 로그 레코드를 받게 됩니다. 이 정보는 IAM 자격 증명을 기반으로 합니다.PCI DSS 준수IAM에서는 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원하며, Payment Card Industry(PCI) Data Security Standard(DSS) 준수를 검증받았습니다. AWS PCI 규정 준수 패키지의 사본을 요청하는 방법 등 PCI DSS에 대해 자세히 알아보려면 PCI DSS 레벨 1을 참조하세요.많은 AWS 서비스와의 통합IAM과 함께 사용할 수 있는 AWS 서비스의 목록은 AWS IAM으로 작업하는 서비스 섹션을 참조하세요.최종 일관성IAM은 다른 많은 AWS 서비스처럼 최종 일관성이 있습니다. IAM은 전 세계 Amazon 데이터 센터 내의 여러 서버로 데이터를 복제함으로써 고가용성을 구현합니다. 일부 데이터를 변경하겠다는 요청이 성공하면 변경이 실행되고 그 결과는 안전하게 저장됩니다. 그러나 변경 사항은 IAM 전체에 복제되어야 하고, 이 작업에는 어느 정도 시간이 소요됩니다. 그러한 변경 사항에는 사용자, 그룹, 역할 또는 정책을 만들거나 업데이트한 것이 포함됩니다. 그러한 IAM 변경 사항을 애플리케이션의 중요한 고가용성 코드 경로에 포함시키지 않는 것이 좋습니다. 대신 자주 실행하지 않는 별도의 초기화 루틴이나 설정 루틴에서 IAM을 변경하세요. 또한 프로덕션 워크플로우에서 변경 사항을 적용하기 전에 변경 사항이 전파되었는지 확인하세요. 자세한 내용은 변경 사항이 매번 즉시 표시되는 것은 아닙니다 섹션을 참조하세요.무료 사용AWS Identity and Access Management(IAM) 및 AWS Security Token Service(AWS STS)는 추가 비용 없이 AWS 계정에 제공되는 기능입니다. IAM 사용자 또는 AWS STS 임시 보안 자격 증명을 사용하여 다른 AWS 서비스에 액세스하는 경우에만 요금이 부과됩니다. 다른 AWS 제품 요금에 대한 자세한 내용은 Amazon Web Services 요금 페이지를 참조하세요.

참조: https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html