IAM(Identity and Access Management)?

IAM은 Identity and Access Management의 약자로 사용자를 생성하고 그룹에 배치하는 글로벌 서비스에 해당한다. AWS 계정을 생성하면 생성한 계정은 루트 계정이 된다. 루트 계정은 오직 계정을 생성할 때만 사용되어야 한다. 그 후 루트 계정을 더 이상 사용해서도, 공유해서도 안된다. 그 대신에 사용자를 생성해야 한다.

Users & Groups

IAM에서 사용자를 생성할 때 하나의 사용자는 조직 내의 한 사람에 해당된다.
필요하다면 사용자들을 그룹으로 묶을 수도 있으며 한 사용자는 여러 그룹에 속할 수 있다.

Permissions(권한)

앞에서 봤듯 사용자와 그룹을 생성하는 이유는 무엇일까? 그 이유는 사용자가 AWS 계정을 사용하도록 허용하기 위해서이다. 이러한 허용을 위해서는 사용자에게 권한을 부여해야 한다.
권한을 부여하기 위해서는 사용자 또는 그룹에게 정책 또는 IAM 정책이라고 불리는 JSON 문서를 지정할 수 있다. 문서의 형태 예시는 아래와 같다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
    	"Effect": "Allow",
    	"Action": "ec2:Describe*",
  		"Resource": "*"
    },
    {
    	"Effect": "Allow",
    	"Action": "elasticloadbalancing:Describe*",
  		"Resource": "*"
    },
    {
    	"Effect": "Allow",
    	"Action": [
        	"cloudwatch":"ListMetrics",
          	"cloudwatch":"GetMetricStatistics",
          	"cloudwatch":"Describe*",
        ],
  		"Resource": "*"
    }
  ]
}

특정 사용자, 혹은 특정 그룹에 속한 사용자들이 어떤 작업에 권한을 가지고 있는지를 쉽게 알 수 있다. 예시에서는 사람들에게 EC2 사용 및 Describe이 허용되어 있는 상태이며 Elastic Loadbalancing 서비스와 Describe, 그리고 CloudWatch의 사용도 허용이 되어 있다는 걸 볼 수 있다. 이와 같은 JSON 형태의 문서를 통해 사용자들이 AWS의 다양한 서비스들을 이용할 수 있도록 허용할 수 있다.

AWS에서는 모든 사용자에게 모든 권한을 허용하지 않는다. 생각하지 못한 사용자가 너무 많은 서비스를 발생시키거나 보안 문제를 야기할 수 있기 때문이다. 그래서 AWS에서는 최소 권한의 원칙(Least privilege principle)을 적용한다. 사용자가 세 개의 서비스에만 접근해야 한다면 그에 맞는 권한만 부여하는 것이다.

IAM 정책 상속

{
  "Version": "2012-10-17",
  "Id": "S3-Account-Permissions",
  "Statement": [  
 	 {
		"Sid": "1",
		"Effect": "Allow",
       	"Principal": {
          	"AWS": ["arn:aws:iam:123456789012:root"]
        },
		"Action": [
          	"s3:GetObject",
        	"s3:PutObject"
        ],
       	"Resource": ["arn:aws:s3:::mybucket/*"]
	 }
  ]
}

정책의 구조는 JSON 문서로 되어 있으며 정책 구조와 정책 명명법은 다음과 같다. 앞으로 AWS에서 자주 보게 될 형식이라 익숙해 지는 것이 좋다.

• Version : 버전 숫자를 의미하며 보통은 2012-10-17 정책 언어 버전이다.
• Id : 정책을 식별하는 ID로 선택사항이다.
• Statement : 정책을 구성하는 문장이다. 하나일수도 여러개일수도 있다.
  • Sid : Sid는 문장 ID로 문장의 식별자이며 선택사항이다.
  • Effect : 문장이 특정 API에 접근하는 것을 허용할지 거부할지에 대한 내용이다.
  • Principal : 특정 정책이 적용될 사용자, 계정 혹은 역할로 구성된다.
  • Action : Effect에 기반해 허용 및 거부되는 API 호출의 목록이다.
  • Resource : 적용될 action의 리소스 목록이다.
  • Condition : Statement가 언제 적용될지를 결정하며 선택사항이다.

IAM 패스워드 정책

AWS에서는 다양한 옵션을 이용해 비밀번호 정책의 생성이 가능하다.

먼저 비밀번호의 최소 길이를 설정할 수 있고 특정 유형의 글자 사용을 요구할 수 있다. 예를 들면 대문자나 소문자 특수문자 등을 요구할 수 있다.

또한 IAM 사용자들의 비밀번호 변경을 허용 또는 금지할 수 있다. 일정 기간이 지나면 비밀번호를 만료시켜 비밀번호 설정을 요구할 수 있다.

마지막으로 사용자의 비밀번호 재사용을 막아 비밀번호 변경 시, 동일한 패스워드를 사용하지 못하게 할 수 있다.

MFA : Multi Factor Authentication

다요소 인증이라고 불리는 MFA는 AWS에서 이 메커니즘을 필수적으로 사용하도록 권장하고 있다.

사용자들은 계정에 접근 권한이 있고 많은 작업이 가능한데 특히 관리자들은 구성을 변경하거나 리소스를 삭제하는 등 많은 작업을 할 수 있다. 따라서 적어도 루트 계정은 무슨 일이 있어도 반드시 보호해야 하며 그렇지 않은 전체 IAM 사용자들도 보호를 해야한다.

MFA 장치

AWS에서 MFA 장치 옵션으로는 다음과 같은 장치들이 있다.

• 가상 MFA 장치
  ex) Google Authenticator, Authy
• Universal 2nd Factor(U2F) Security Key : 물리적 장치
  ex) Yubico사의 YubiKey
• 하드웨어 키 팝 MFA 장치

AWS 액세스

AWS를 관리하기 위해 액세스 하는 방법으로는 세 가지가 있다.

• AWS 관리 콘솔 : 사용자 이름 및 MFA로 보호
• AWS CLI(Command Line Interface) : 액세스 키로 보호
• AWS Software Developer Kit(SDK) : 액세스 키로 보호

액세스 키란 자격 증명으로 CLI에서 AWS를 관리하고 싶다면 액세스 키를 사용해야 접근이 가능하다. AWS로부터 SDK는 애플리케이션 코드 내에서 API를 호출하고자 할 때 사용되는 방식이다. CLI접근과 SDK 모두 액세스 키로 보호된다.

액세스 키는 관리 콘솔을 사용해서 생성할 수 있으며 사용자들이 자신들의 액세스 키를 직접 관리한다. 그러므로 사용자는 자신의 액세스 키를 외부로 유출해서는 안된다.

IAM Roles (구성 요소)

어떠한 AWS 서비스는 계정에서 실행되어야 한다. 이를 위해서는 사용자와 마찬가지로 어떤 권하이 필요하다. 따라서 AWS 서비스에 권한을 부여해야 한다.

IAM Role은 사용자와 같지만 실제 사람이 사용하도록 만든 것이 아닌 AWS 서비스에 의해 사용되도록 만들어졌다. 예를 들어 EC2 인스턴스에서 어떤 작업을 수행하려 할때 EC2 인스턴스에 권한을 부여해야 한다. 이 때 IAM Role을 만들어 하나의 개체로 만든다. EC2 인스턴스가 AWS의 어떤 서비스에 접근하려고 할 때 IAM Role을 사용하게 될 것이다.

IAM 보안 도구 (Security Tools)

• IAM 자격 증명 보고서 : 계정 수준에서 가능하며 보고서는 계정에 있는 사용자와 다양한 자격 증명의 상태를 포함한다.

• IAM 액세스 관리자 : 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 액세스한 시간이 보인다. 최소 권한의 원칙을 유지하기에 매우 도움이 되는 정보를 제공한다. 해당 도구를 사용하여 사용자의 권한을 줄일 수 있다.