세션 기본값은 한시간으로 변경 가능
AWS 서비스에 롤 부여한 케이스
정책을 만들때는 아래 링크를 참고하면 됨.
https://us-east-1.console.aws.amazon.com/iamv2/home?region=ap-northeast-2#/policies/create?step=addPermissions
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow", / Allow | Deny
"Action": "s3:GetObject", / 허용 혹은 차단 하고자하는 접근 타입
"Resource": "arn:aws:sqs:us-west-2:123454444:queue1" /요청의 목적지가 되는 서비스
}
]
}
---
각 의미만 안다면 visualEditor로 쉽게 policy 생성 가능
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:PutBucketLogging",
"s3:PutAccessPointConfigurationForObjectLambda",
"s3:DeleteAccessPointPolicy"
],
"Resource": [
"arn:aws:s3:*:970698899539:accesspoint/*",
"arn:aws:s3:::*",
"arn:aws:s3-object-lambda:*:970698899539:accesspoint/*"
],
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
}
}
]
}
최소 권한의 원칙에 맞게 잘 설계해야한다...........ㅠ
요런 Documents들을 잘 읽고 만들어보면 됨
https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbackup.html
Identity Based Policy는 요청하는 주체에 연결됨.
Resource Based Policy는 요청을 받은 aws 자원(대상)에 연결됨.
Resource Based Policy 는 자원에 할당되는 정책이니 해당 리소스를 접근할 보안 주체에 대한 지정 즉, Principal이 필수적
모든 api 콜에 대해 기록
CloudTrail 로그를 s3에 저장하고 클라우드 와치 로그를 활용해서 간편하게 로그 데이터를 수집 및 검색
클라우드 와치 이벤트와 통합하여 알람 설정
클라우드트레일 이벤트 기록은 90일간 행위 이력을 무료로 조회 할 수 있고 이후 삭제 됨으로 다운 받거나 s3로 이관 필요
https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
개발자로서 성장하는 데 큰 도움이 된 글이었습니다. 감사합니다.