IAM이란??

AWS 리소스에 대한 엑세스를 안전하게 관리할 수 있는 서비스

IAM으로 사용자, 그룹을 만들어 관리하고, 리소스에 대한 엑세스를 허용, 거부할 수 있다

Root user

AWS 계정을 처음 생성하면, 그 계정이 ROOT가 됩니다

• 생성한 계정의 모든 권한을 가짐
• 생성시 만든 이메일 주소로 로그인
• AWS API 호출 불가
• 관리용으로만 이용

IAM user

IAM으로 만든 유저

• 기본 권한이 없음
• 생성시 만든 아이디로 로그인
• AWS API 호출 가능
• 관리 이외의 모든 작업에 사용

IAM 기능

AWS 계정에 대한 공유 액세스

암호나 엑세 스 키를 공유하지 않고 AWS 리소스를 관리하고 사용할 수 있는 권한을 다른 사람에게 부여할 수 있다

세분화된 권한

리소스에 따라 여러 사람에게 다양한 권한을 부여할 수 있다

멀티 팩터 인증(MFA)

보안 강화를 위해 2팩터 인증을 추가할 수 있습니다

2단계 인증(2FA)은 사용자가 웹사이트, 애플리케이션 또는 리소스에 대한 액세스 권한을 받기 위해 두 가지 확인 요소를 정확하게 제공하도록 요구하는 인증 방법

IAM 구성

크게 사용자(Users), 그룹(Groups), 역할(Roles), 정책(Policies)으로 이루어짐

User

실제 AWS의 리소스, 서비스를 이용하는 사람, 서비스

• 사용자가 서비스를 엑세스하는 것 뿐만 아닌 서비스가 엑세스 하는 것 또한 포함

Group

다수의 사용자를 모아놓은 것

• 주로 여러명의 사용자에게 공통적인 권한을 주는 경우 많이 사용

Role

리소스에 엑세스 권한이 없는 사용자나 서비스에게 일시적인 권한을 주는 것
AWS 리소스의 자격증명서

• 일일히 권한을 설정하는 번거로움을 줄일 때 사용

• 보안 자격 증명을 공유하지 않음

• 자유로운 권한 부여, 회수

Policy

사용자, 그룹, 역할에게 부여하는 권한 설정 문서

Policy도 여러 정책 타입이 있지만

• 자격 증명 기반
• 리소스 기반
  요 둘만 거의 쓰기 때문에

자격 증명 기반

자격 기반 정책은 유저, 그룹, 역할가 수행할 수 있는 작업, 리소스 및 조건을 제어하는 JSON 문서

AWS 관리형

AWS에서 생성, 관리하는 정책
즉, 기본으로 제공되는 정책들

AWS Customer 관리형

사용자가 새로 생성, 커스텀한 정책

AWS 인라인 관리형

1대 1로 할당되는 정책

보통의 정책은 다수의 사용자에게 여러번 적용되지만
인라인은 하나의 유저에게 하나의 정책을 적용한다

리소스 기반 정책

AWS 서비스 리소스에 적용하는 정책

그럼.. 써보자

• 대충 권한 줘보고 확인해보기

유저 생성

IAM > 사용자 생성

일단 AmazonS3FullAccess만 주고 테스트해보자

콘솔 로그인 URL의 12자리 숫자는 IAM User의 계정 ID

accessKey, secretKey는 해당 사용자 상세정보 -> 보안 자격 증명 - > 엑세스 키 만들기 에서 생성할 수 있다

Group 생성

해서 생성

확인해보면 설정한 2가지 권한이 있다

로그인하기

다른 서비스에 들어가보면 안된다~