AWS Identity and Access Management (IAM)

IAM을 사용하여 AWS 리소스에 대한 액세스 관리

• 리소스는 사용자가 작업을 수행할 수 있는 AWS 계정의 entity
• 리소스 예: ec2, s3
• 세분화된 액세스 권한 정의
  • 리소스에 액세스할 수 있는 사용자
  • 액세스할 수 있는 리소스와 사용자가 리소스에 수행할 수 있는 작업
  • 리소스에 액세스 하는 방법

 

IAM 사용자: AWS 계정으로 인증할 수 있는 사람 또는 애플리케이션

IAM 그룹: 동일한 권한 부여를 허락받은 IAM 사용자의 모음

IAM 정책: 액세스할 수 있는 리소스와 각 리소스에 대한 액세스 수준을 정의하는 문서

IAM 역할: AWS 서비스 요청을 위한 권한 세트를 부여하는 유용한 메커니즘

 

 

IAM 사용자 정의 시 사용자가 사용할 수 있는 액세스 유형 선택

• 프로그래밍 방식 액세스
  • 인증 방법
    • access key ID
    • 보안 액세스 키
  • AWS CLI 및 AWS SDK 액세스 제공
• AWS Management Console 액세스
  • 인증 방법
    • 12자리 계정 ID 또는 별칭 (alias)
    • IAM 사용자 이름
    • IAM 암호
  • MFA (Multi-Factor Authentication): 인증 코드 필요

 

IAM 그룹

• IAM 사용자의 모음
• 여러 사용자에게 동일한 권한을 부여하는데 사용됨
  • IAM 정책을 그룹에 연결하여 권한 부여
• 한 사용자가 여러 그룹에 속할 수 있음
• 기본 그룹은 없음
• 그룹을 중첩할 수 없음

 

 

IAM 정책

자격 증명 기반 정책

• 정책을 모든 IAM 엔터티에 연결: IAM 사용자, IAM 그룹, IAM 역할
• 정책은 다음을 지정
  • 엔터티가 수행할 수 있는 작업
  • 엔터티가 수행할 수 없는 작업
• 단일 정책을 여러 엔터티에 연결할 수 있음
• 단일 엔터티에 여러 정책을 연결할 수 있음

리소스 기반 정책

• 리소스(S3 버킷)에 연결됨
• 리소스에 액세스할 수 있는 사용자와 해당 사용자가 수행할 수 있는 작업 지정
• 일부 AWS 서비스에서만 지원됨

 

IAM 권한

IAM 정책을 생성하여 권한 할당

권한은 허용되는 리소스와 작업을 결정

• 기본적으로 모든 권한은 암시적으로 거부됨
• 명시적으로 거부된 항목은 절대 허용하지 않음

모범 사례: 최소 권한의 원칙 따르기

 

권한 결정 방법

 

IAM 역할

시나리오

• EC2 인스턴스에서 실행되는 애플리케이션에 S3 버킷에 대한 액세스 권한이 필요한 경우

솔루션

• S3 버킷에 대한 액세스 권한을 부여하는 IAM 정책 정의
• 정책을 역할에 연결
• EC2 인스턴스가 이 역할을 수임하는 것을 허용

 

Root 사용자 vs IAM 사용자