IAM은 AWS 환경 내에서 보안, 접근 제어, 감사 및 컴플라이언스 관리의 핵심을 이루며, 사용자와 리소스의 안전한 관리를 위해 반드시 필요한 서비스이다. IAM을 통해 조직은 개별 사용자, 그룹, 서비스 및 리소스에 대한 액세스 권한을 세밀하게 제어하고 관리할 수 있다. AWS 사용자들은 대부분 집단의 형태를 띄고 있으므로 리소스에 대한 전체적인 관리를 위해 IAM 서비스를 사용하는 것은 필수적이다. 따라서 IAM을 이해하고 활용할 줄 아는 것은 중요하다.

출처 : https://aws.amazon.com/ko/iam/?nc=sn&loc=1

IAM 은 AWS에만 존재하는 기능일까 ?

그런 것은 아니다. AWS IAM은 AWS에서 사용하는 용어이지만, 개념 자체는 다른 주요 클라우드 서비스 제공업체에서도 비슷한 기능과 서비스를 제공한다. IAM은 사용자, 그룹, 권한 및 정책을 관리하여 클라우드 리소스에 대한 액세스를 제어하는 시스템이다. 다른 클라우드 서비스 제공업체들도 이와 유사한 기능을 제공하며, 각각 고유의 명칭과 특성을 가지고 있다.

Microsoft Azure

Microsoft Entra ID (이전에는 Azure Active Directory)

Google Cloud Platform (GCP)

Identity and Access Management (Cloud IAM)

IBM Cloud

IBM IAM

Oracle Cloud

Oracle IAM

IAM 의 중요성이 드러나는 기능적 측면들

1. 보안강화

IAM을 사용하면 누가 어떤 AWS 리소스에 액세스할 수 있는지 정확하게 제어할 수 있다. 이는 불필요한 리소스 접근을 방지하여 보안을 강화하는 데 기여한다.

2. 최소 권한 원칙의 적용

IAM은 최소 권한 원칙을 적용하는 데 있어 필수적이다. 이 원칙은 사용자나 시스템이 업무 수행에 필요한 최소한의 권한만을 가지도록 하는 보안 관행이다. IAM을 통해 각 사용자나 서비스에 필요한 권한을 정확히 부여함으로써, 과도한 권한으로 인한 보안 위험을 줄일 수 있다.

3. 다단계 인증(MFA) 지원

IAM은 다단계 인증(MFA)을 지원한다. 사용자가 로그인할 때 비밀번호와 함께 추가 보안 정보(예: SMS 메시지로 받은 코드, google authenticator 에서 발급 받은 코드)를 입력해야 하는 이중 인증 방식을 통해 계정의 보안을 한층 더 강화할 수 있다.

4. 세분화된 액세스 제어

IAM을 통해 개발자, 시스템 관리자, 최종 사용자 등 다양한 역할에 맞춰 세밀한 액세스 제어를 설정할 수 있다. 이는 조직 내 역할 기반 접근 제어(RBAC)를 구현하는 데 매우 유용하다.

5. 정책 기반 관리

IAM 정책을 사용하여 사용자, 그룹, 역할 및 리소스에 대한 권한을 선언적으로 관리할 수 있다. 이 정책들은 JSON 형식으로 작성되며, 이를 통해 복잡한 규칙과 조건을 설정하여 조직의 보안 요구사항을 충족시킬 수 있다.

6. 감사 및 컴플라이언스

IAM은 AWS 리소스에 대한 액세스 시도를 로깅하고 모니터링하는 기능을 제공한다. 이를 통해 보안 감사 및 컴플라이언스 요구 사항을 충족시키는 데 도움이 된다. AWS CloudTrail 과 함께 사용하면 누가, 언제, 어떤 리소스에 액세스하려고 시도했는지에 대한 상세한 로그를 제공받을 수 있다.

IAM, Identity and Access Management

AWS의 자격증 시험에도 굉장히 자주 등장하는 내용인데, 사용사례를 접하고 모범적인 구축을 하려고 보면 헷갈릴 때가 많다. 그 이유는 IAM 에서 제공하는 세부적인 기능을 실제로 모두 사용해보지 않아서 일 수 도 있고, 해당 기능에서 추구하는 원칙을 추상적으로만 이해하고 있어서 일 수도 있다. IAM 이라고 줄여부르다 보니 더 원칙을 잊게 되는 것 같기도 하다.

공식문서 에 접속하여 왼쪽의 카테고리들을 보면 IAM 은 말 그대로 identity를 관리하는 것과 access 를 관리하는 것 이렇게 두가지로 분류를 하여 소개하고 있다. 이 관점으로 서비스들을 바라보면 좀 더 기능을 활용하는 데 있어 목적을 알고 사용할 수 있을 것이라고 생각한다.

다음 글에서는 이 두가지를 분류하여 서비스의 목적을 설명하고, 각 기능별로 aws의 어떤 서비스들과 통합될 수 있는지에 더하여 그 기능을 대체할 수 있는 다른 기능은 어떤 것이 있는지 소개를 해보겠다.