728x90
[AWS] IAM(Identity and Access Management)
IAM
AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스
고객이 AWS에서 사용자와 사용자 권한을 관리할 때 사용할 수 있는 서비스다.
IAM을 사용한 리소스 액세스 관리
** 리소스는 사용자가 작업을 수행할 수 있는 AWS 계정의 엔터티 ex) EC2, S3
- 리소스에 액세스 할 수 있는 사용자를 관리 할 수 있다.
- 액세스 할 수 있는 리소스와 사용자가 리소스에 수행할 수 있는 작업을 관리할 수 있다.
- 리소스에 액세스할 수 있는 방법을 관리할 수 있다.
IAM 필수 구성 요소
IAM 사용자 (User)
: AWS 계정으로 인증할 수 있는 사람 또는 애플리케이션
IAM 사용자를 생성할 때, 사용자가 사용할 수 있는 액세스 유형을 선택한다.
- 프로그래밍 방식 액세스 (Programmatic access)
- Access Key & Secret Access Key
- AWS CLI 및 AWS SDK 액세스 제공
- AWS Management Console 액세스
- 12자리 계정 ID 또는 별칭
- IAM 사용자 이름 & 암호
IAM 그룹 (Group)
: 동일한 권한 부여를 허락받은 IAM 사용자의 모음
그룹은 여러 사용자에게 동일한 권한을 부여하는데 사용된다.
Default 그룹은 없으며, 중첩할 수 없다.
IAM 정책 (Policy)
: 액세스할 수 있는 리소스와 각 리소스에 대한 액세스 수준을 정의하는 문서
- 자격 증명 기반 정책
- 정책을 모든 IAM 엔터티에 연결 (IAM 사용자, 그룹, 역할)
- 수행할 수 있는 작업이나, 수행할 수 없는 작업을 지정
- 단일 정책을 여러 엔터티에 연결할 수 있고, 단일 엔터티에 여러 정책을 연결할 수 있음
- 리소스 기반 정책
- 리소스(ex. S3 버킷, EC2)에 연결
IAM 역할 (Role)
: AWS 서비스 요청을 위한 권한 세트를 부여하는 매커니즘
특정 권한이 있는 IAM 자격 증명이다.
역할은 임시 보안 자격 증명을 제공한다.
권한 정책(Policy)을 IAM 역할에 연결하여 사용한다.
- IAM 사용자와 유사점
- 권한 정책을 IAM에 연결할 수 있음
- IAM 사용자와 다른점
- 한 사람에게 고유하게 연결되지 않음
- 개인, 애플리케이션 또는 서비스가 역할을 수임할 수 있음
IAM 권한
- IAM 정책을 생성하여 권한을 할당
- 권한은 허용되는 리소스와 작업을 결정
- 기본적으로 모든 권한은 암시적으로 거부
- 명시적으로 거부된 항목은 절대 허용되지 않음
- IAM 서비스 구성의 범위는 글로벌으로, 모든 AWS 리전에 적용
명시적인 거부가 있으면 허용을 해도 거부
참조
반응형
'💻 CSP > AWS' 카테고리의 다른 글
[AWS] EKS(Elastic Kubenetes Service) (0) | 2023.08.12 |
---|---|
[AWS] EFS(Elastic File System) (0) | 2023.08.04 |
[AWS] Network ACL, Security Group (0) | 2023.07.29 |
[AWS] AWS CLI를 사용해 SQS 대기열 관리하기 (0) | 2023.07.02 |
[AWS] SQS 모니터링 (0) | 2023.07.01 |