IAM, Instance profile
EC2에서 AWS iam 권한을 가질 수 있는 방법 2가지를 조사하고 어떤 방법이 더 좋은 구성인지 설명하세요.
iam 정책 생성 방법 AWS Management Console, AWS CLI 또는 AWS API를 사용하여 IAM에서 고객 관리형 정책을 생성할 수 있습니다. 인라인 정책 대신 고객 관리형 정책 사용 또한 AWS 관리형 정책 대신 고객 관리형 정책을 사용하는 것이 가장 좋습니다.
시나리오
-
S3에 임의의 파일을 올립니다.
2-1. AWS 관리형 정책을 이용하여 EC2에서 S3의 파일을 다운받아보세요.(고객 관리 정책 X)
2-2. 고객 관리형 정책을 이용하여 EC2에서 S3의 파일을 다운받아보세요. (최소 권한)
요구사항
2-1. Admin 정책이 아닌 다른 정책을 사용해야합니다.
2-2. 하나의 버킷에서 필요한 행동(action)만 가능하도록 구성해야합니다.
1번 해결방법
s3의 버킷을 생성해 줍니다.
버킷을 생성할 때에는 모든 퍼블릭 액세스 차단을 체크 표시을 한번 클릭하여 해제 해주고 및에 경고 표시를 체크 해주고
생성해줍니다.
iam에서 역할 -> 역할 생성 -> 신뢰할 수 있는 엔터니 유형을 aws 서비스로 설정 사용 사례를 EC2로 설정 -> 다음 -> 권한 정책을 AmazonS3FullAccess정책을 추가 해줍니다.-> 역할 이름은 아무거나 해줍니다 그리고 역할을 생성해줍니다.
vpc와 인스턴스을 후에 생성한 인스턴스을 클릭 작업 -> 보안 -> IAM 역할 수정 -> IAM 역할에서 방금 생성한 iam 역할을 선택 후 IAM 역할 업데이트 해줍니다. 그리고 인스턴스에 접속해줍니다.
AWS S3 LS
을 입력하여 S3 파일이 있는지 확인해줍니다.
AWS S3 CP S3://버킷 이름/파일 이름 ./
AWS S3 CP S3://버킷 이름/파일 이름 .
둘 중 하나의 명령어를 사용하여 파일을 다운로드 해줍니다.
고객 관리형 정책을 이용하여 ec2에서 s3의 파일을 다운받는 법
iam -> 정책 -> 정책 생성 -> json에서
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowStatement1",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::자신의 버킷 이름/*"
]
}
]
}을 일력해줍니다. 다음을 클릭하고 이름은 아무거나 상관이 없습니다. 생성해줍니다.
지금 만든 정책으로 역할을 만들어 줍니다. 그리고 인스턴스에 적용해주고 인스턴스에 접속이후 버킷 파일 다운로드을 해줍니다
