AWS Identity and Access Management (IAM)

아키텍처 측면에서의 필요성
→ 팀원이 전문적인 역할을 맡고 있을 만큼 충분히 큰 규모의 조직입니다. 필수 권한을 통한 보호 및 액세스 제
어 기능이 필요합니다.

AWS 계정 루트 사용자

AWS 계정을 처음 생성할때 루트 사용자로 시작합니다. 이 사용자는 계정의 모든 AWS 서비스 및 리소스에 대한
전체 액세스 권한을 가집니다. 이 자격 증명은 AWS 계정 루트 사용자라고 하며, 계정을 생성할 때 제공한 이메
일 주소 및 암호로 로그인하여 액세스합니다.
AWS 계정 루트 사용자는 강력한 권한을 가지며 제한을 받지 않습니다

더욱 안전한 관리 방법

• IAM 관리 사용자 생성
• 루트 사용자 자격 증명 잠금
• IAM 관리 사용자 사용

AWS 계정 루트 사용자는 계정의 모든 리소스에 대한 전체 액세스 권한을 가지며, 사용자는 루트 계정 자격 증
명의 권한을 제어할 수 없습니다.
AWS와의 일상적인 상호 작용에는 루트 계정 자격 증명을 사용하지 않는 것이 좋습니다. IAM 사용자는 비교적
쉽게 관리될 수 있으며 감사될 수 있습니다. IAM 계정 보안 주체(나중에 설명)에 더 많은 권한이 필요할 경우 권
한을 추가할 수 있습니다. 마찬가지로 권한을 제거 또는 취소해야 할 경우, 환경에 미치는 영향을 최소화하며 해
당 작업을 수행할 수 있습니다.
IAM을 사용하여 추가 사용자를 생성하고, 이러한 사용자에게 권한을 지정하여, 최소한의 권한 원칙을 적용하십시
오.

2

IAM 보안 주체

보안 주체란 AWS 리소스에 대해 작업을 수행할 수 있는 엔터티입니다.

IAM 사용자, IAM 역할, 연동 사용자 및 애플리케이션, AWS 서비스(예: Amazon EC2, SAML 공급자 또는 자격 증
명 공급자(IdP))은 모두 AWS 보안 주체입니다
AWS 계정에서 IAM 사용자를 생성하는 대신 IdP를 사용할 수 있습니다. IdP를 사용하면 AWS 외부의 사용자 자
격 증명을 관리하고(예: Login with Amazon, Google 및 Facebook) 이러한 외부 사용자 자격 증명에 계정의 AWS
리소스를 사용할 권한을 제공할 수 있습니다.

IAM 사용자

IAM 사용자는 별도의 AWS 계정이 아니라 계정 내 사용자입니다
각 사용자는 자체 자격 증명을 갖습니다.
기본적으로 주어진 권한은 없습니다.
IAM 사용자는 부여된 권한을 기준으로 특정 AWS 작업을 수행할 권한이 있습니다.

IAM 사용자 그룹

사용자 그룹에 정책을 할당할 수 있다.

IAM 역할

• 권한을 역할에 연결하고 역할을 사용자 또는 서비스에 위임합니다.

역할을 사용하면 사용자 또는 서비스가 필요한 리소스에 액세스하기 위한 권한 집합을 정의할 수 있으며,
권한은 역할에 연결되며 역할은 사용자 또는 서비스에게 위임됩니다.
사용자가 역할을 수임하면 기존 권한은 일시적으로 무시됩니다.

AWS 권장 사항

AWS가 권장하는 두 가지 기본 아키텍처 패턴은 다중 VPC(단일 AWS 계정 내)와 다중 계정입니다.
다중 계정 시스템에서 각 계정에 단일 VPC가 제공됩니다. 실제로 조직은 (크고 작은) 여러 계정을 생성합니다.
이들 계정은 관리, 유지 및 감사해야 합니다.