Cloud/AWS Certified Solutions Architect - Asso

Identity and Access Management(IAM)

Tony Lim 2023. 8. 1. 13:23
728x90

IAM 개요

  • AWS 계정 및 권한 관리 서비스
  • AWS 서비스와 리소스에 대한 엑세스 관리
  • 사용자 , 그룹 , 역할 , 정책 으로 구성
  • 리전에 속하는 서비스가 아닌 글로벌 서비스
  • 계정 보안 강화를 위해
    • 루트 계정(AWS 회원가입시 만들어지는 계정) 은 최초 사용자 계정 생성 이후 가능하면 사용하지 말 것
    • 사용자 계정 (IAM 계정) 으로 서비스를 사용하고 사용자는 필요한 최소한의 권한만 부여
    • 루트 계정 , 개별 사용자 계정에 MFA 적용해야함


IAM 정책 

  • AWS 리소스에 대한 엑세스 권한을 정의 한 것
  • 사용자, 그룹, 역할에 정책을 연결하여 사용
  • JSON 문서 형식으로 정책이 명시되지 않은 경우 기본적으로 모든 요청이 거부됨

custom 하게 자신이 역할을 만들수도 있음
effect에는 allow, deny만 들어가게됨 

보통 구체적일 수록 우선순위를 갖게되니까 이것도 마찬가지로 동작하는것 같음

group 같은것에 의해 role을 상속받아서 거기의 policy 모음들에 의해 모든 권한이 있다하더라도
user에 permission boudnary를 위와같이하면 저 3개의 서비스만 사용이가능하게 된다.


IAM - 역할

  • AWS 리소스에서 사용하는 자격증명
  • 특정 AWS 서비스가 다른 AWS 서비스에 엑세스 하여 작업을 수행할 때 필요한 권한
  • 정책을 연결하여 IAM 역할에 작업 수행에 필요한 권한을 부여

EC2에서 실행되는 앱이 s3 ,rds 엑세스 권한이 필요할 때 해당 IAM Role을 사용하게 된다.

 

IAM - 역할 (신뢰정책)

  • IAM 역할을 사용하여 AWS 계정간 엑세스 권한 위임을 하는 기능
  • 신뢰정책 (trust policy) 를 사용하여 다른 AWS게정에 역할을 위임할 수 있음

인증과 권한이 분리되어있으니 개발자에게 쉽게 특정 권한을 뽑아서 전달해 줄 수 있다.

ec2 instance생성시 고급 세부 정보에서 IAM instance profile 에서 생성한 IAM Role을 선택하면 된다.

https://www.inflearn.com/questions/964712/%EC%8B%A0%EB%A2%B0%EC%A0%95%EC%B1%85-%EC%82%AC%EC%9A%A9%EC%98%88%EC%8B%9C%EB%AC%B8%EC%A0%9C%EC%97%90-%EA%B4%80%ED%95%98%EC%97%AC-%EC%A7%88%EB%AC%B8%EC%9D%B4-%EC%9E%88%EC%8A%B5%EB%8B%88%EB%8B%A4


IAM 보안 도구

IAM 자격 증명 보고서 (Credentials Report)

  • 계정의 모든 사용자와 암호, 액세스 키, MFA 디바이스 등의 자격 증명 상태에 대한 보고서를 다운로드

IAM 엑세스 관리자( Access Advisor)

  • 사용자 또는 역할이 허용된 서비스에서 마지막으로 엑세스 하려고 시도한 시간을 표시
  • 이 정보를 사용해 필요이상으로 부여된 구너한을 재정의 하는데 참고 가능

AMI (Amazon Machine Image)

  • OS , 앱 , 서버 프로그램 설정 등이 미리 구성된 이미지
  • EC2 인스턴스를 시작하는데 AMI 사용하여 EC2 시작 시 OS 설치나 서버 소프트웨어 설정등을 별도로 할 필요 없음
  • 운영중인 EC2 인스턴스를 커스텀 AMI 로 만들어서 동일환 환경으로 구성된 EC2를 빠르게 시작 가능
    • community AMI도 있고 상용도 존재함

EC2 배치그룹

  • EC2 인스턴스 배치를 구성하는 방법
  • 3가지 유형의 배치 그룹

EC2 라이프 사이클

  • 종료 = 인스턴스 삭제
  • 최대절전모드 (hibernate) = RAM에 있는 앱 상태를 저장 후 중지상태 전환 노트북에서 종료를 안하고 스크린만 닫을 떄와 동일 서버 부팅 시 프로세스 로드시간이 오래 걸리는 시스템의 경우 유용

 

 

728x90

'Cloud > AWS Certified Solutions Architect - Asso' 카테고리의 다른 글

EC2 스토리지  (0) 2023.08.07
EC2 Auto Scaling  (0) 2023.08.07
Elastic Load Balancing(ELB)  (0) 2023.08.04
컴퓨팅 - EC2  (0) 2023.08.03
AWS 시작 하기  (0) 2023.08.01