AWS IAM 에 대해 공부하고 정리한 내용입니다.


IAM 이란?

Identity and Access Management
IAM 은 사용자와 AWS 자원에 대한 접근 권한을 관리할 수 있게 해주는 AWS 서비스이다.

  • User 생성 및 권한 할당
  • Group 및 role 생성
  • AWS 자원에 대한 접근권한 조정

Root Account

Root account 은 AWS 에 로그인할 때 사용한 이메일 주소이다.
Root 계정은 AWS 에 대한 full administrative access 를 가진다.
따라서 이 계정을 안전하게 보호하는 것이 매우 중요하다.
이를 위해 Multi-factor authentication (MFA) 를 설정해야 한다.

다음은 MFA 를 설정하는 과정에 대한 예시이다.

-
AWS console 의 IAM 에서 rotate credentials 를 선택하고
-
MFA -> Activate MFA 를 선택한다.
-
Virtual MFA 를 선택한 뒤
-
QR 코드를 스캔하고 나타나는 두 개의 MFA 코드를 입력하면, 이제 Root account 를 안전하게 보호할 수 있다.

AWS 에서는 root user 를 매일 접속하는 용도로 사용하지 않도록 권장하고 있다.


IAM 권한을 조정하는 방법

IAM 은 policy document 라는 json 문서로 권한 정책을 표현한다.
이렇게 작성된 policy document 는 Group, Users 혹은 Roles 에 할당할 수 있다.
아래는 가장 간단한 policy document 의 예시이다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
        }
    ]
}

아래는 IAM policy 를 검색하고 확인하는 과정을 보여주고 있다.

-
AWS console 의 IAM 에서 policy 를 선택한다
-
처음엔 custom policy 는 없고 AWS 에서 제공하는 여러 policy 들이 존재한다.
-
키워드 검색을 통해 원하는 정책을 찾을 수 있다.
-
해당 policy 를 클릭하면 policy document 를 확인할 수 있다.

IAM 에서 user, group 을 생성하고 권한을 부여하는 방법

IAM 을 구성하는 요소들은 다음으로 나눌 수 있다.
Users: 사용자 한 사람.
Groups: 관리자, 개발자 등의 기능으로 나뉜 그룹. Users 를 포함한다.
Roles: Internal usage within AWS. 자원에 부여되는 권한으로 이해하면 된다.

AWS 에서 추천하는 방식은 user 가 group 의 권한을 상속받도록 하는 것이다.

-

다음은 User 및 Group 을 생성하고 권한을 부여하는 과정을 나타낸 것이다.

-
IAM 에서 Users -> Add user 를 선택한다.
-
사용자 이름 및 종류를 선택한다.
-
User 의 권한을 설정한다. Group 이 있다면 해당 group 에 소속되게 할 수 있다. group 이 없다면 Create group 으로 group 을 생성할 수 있다.
-
group 이름을 지정하고, 관련 policy 들을 선택한다.
-
생성된 group 에 user 를 소속되게 하면 사용자 추가가 완료된다. 이 때, 이 화면은 단 한 번만 보여지기 때문에, 다운로드 하거나 이메일을 보내 access key, secret key, password 등을 저장해둬야 한다.

네, 오늘은 AWS IAM 에 대해 공부한 내용을 정리해보았습니다.
그럼 다음 시간에 만나요!