<TIL - 0032> AWS

개발일지·2023년 5월 1일
TILaws
0

til

목록 보기
32/43

이제 배포를 위한 AWS 스터디 시작

1. IAM

AWS Identity and Access Management
AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스.

IAM 보안 기능 수행.

  1. 인증: AWS 리소스에 액세스할 때 사용자 이름과 암호를 요청하여 인증할 수 있다.
  2. 권한 부여: 사용자, 그룹 또는 역할에 대한 권한을 지정할 수 있다.
    권한은 AWS 리소스에서 수행할 수 있는 작업을 나타내며 IAM 정책을 사용하여 지정할 수 있다.
  3. 권한 검증: 사용자가 AWS 리소스에 대한 액세스를 요청할 때 요청이 인증된 사용자에게 허용되는지 여부를 결정할 수 있다. IAM은 권한 검증을 수행하기 위해 사용자가 AWS 리소스에 대한 액세스를 요청할 때 IAM 정책을 적용.

IAM은 AWS에서 보안을 강화하고 규정 준수 요구 사항을 충족하는 데 중요한 역할을 합니다. IAM을 사용하면 사용자에게 필요한 권한만 부여하여 보안을 유지하고, 일부 규정 준수 규정을 준수하기 위해 일부 사용자에게만 특정 리소스에 대한 액세스를 부여할 수 있습니다

2. Users, Groups, Policies

  1. 사용자(User): IAM에서 사용자는 AWS 계정에 액세스하는 개별 인물 또는 서비스입니다. AWS IAM에서는 계정에 액세스하는 각 사용자에 대해 별도의 보안 자격 증명을 생성할 수 있습니다. 이를 통해 사용자가 AWS 리소스에 대한 액세스 권한을 가지며, 이러한 액세스 권한은 IAM 정책을 사용하여 관리됩니다.
  2. 그룹(Group): IAM에서 그룹은 하나 이상의 사용자를 그룹화하여 이들에게 공통된 권한을 부여하는 데 사용됩니다. 예를 들어, 특정 Amazon S3 버킷에 대한 읽기 및 쓰기 액세스를 가진 모든 사용자를 그룹화할 수 있습니다. 그룹에 대한 권한은 IAM 정책을 사용하여 관리됩니다. 그룹은 유사한 권한을 가진 여러 사용자를 효과적으로 관리할 수 있도록 도와줍니다.
  3. 정책(Policy): IAM 정책은 AWS 리소스에 대한 액세스 권한을 지정하는 데 사용되며, 사용자 또는 그룹과 연결됩니다. IAM 정책은 JSON 형식으로 작성되며, 허용 또는 거부할 수 있는 작업 및 AWS 리소스에 대한 액세스 수준을 지정합니다. IAM 정책은 일반적으로 최소 권한 원칙을 따릅니다. 즉, 필요한 권한만 부여하고, 불필요한 권한을 제거하여 보안을 강화합니다.

위와 같이 IAM에서는 사용자, 그룹, 정책을 사용하여 AWS 리소스에 대한 액세스 권한을 지정하고 관리합니다. 이를 통해 AWS 리소스에 대한 보안을 강화하고, 사용자에게 필요한 권한만 부여하여 보안을 유지할 수 있습니다.

3. Policy Structure

{
  "Version": "policy-version",
  "Statement": [
    {
      "Effect": "allow-or-deny",
      "Action": ["action-name"],
      "Resource": ["resource-arn"],
      "Condition": {
        "condition-operator": {
          "condition-key": "condition-value"
        }
      }
    }
  ]
}
  • Version: 정책 버전. 현재는 "2012-10-17" 에서 고정.
  • Statement: 정책 규칙. 배열 형태로 여러 개의 규칙을 작성할 수 있다.
  • Effect: 규칙 적용 여부. "allow" 또는 "deny" 중 하나를 선택.
  • Action: 규칙 적용 작업 종류. 예를 들어 "s3:ListBucket"과 같은 형식으로 작성.
  • Resource: 규칙 적용 리소스의 ARN(Amazon Resource Name). 예를 들어 "arn:aws:s3:::my-bucket/*"과 같은 형식으로 작성.
  • Condition: 규칙 적용 조건. 필수는 아니며, 필요 시 추가 가능.
    다양한 조건 연산자 사용가능. 예를 들어 "IpAddress" 조건 연산자를 사용하면 특정 IP 주소에서만 작업을 수행할 수 있도록 제한.

4. MFA

Multi-Factor Authentication 다중 인증 요소 인증 방식
일반적인 사용자 ID와 비밀번호 입력 외 추가적인 인증 요소를 요구하여 보안을 강화하는 방법

사용자 로그인 정보 유출 시에도 보안 유지
추가인증 요소 미입력시 로그인 불가능

  • 루트유저 반드시 적용
  • 추가 IAM User도 반드시
profile
개발일지
아닐지
이전 포스트

<TIL - 0031> null, default

다음 포스트

<TIL - 0033> RDS

0개의 댓글