[AWS] IAM(Identity and Access Management)

[AWS] IAM(Identity and Access Management)

IAM

AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스

고객이 AWS에서 사용자와 사용자 권한을 관리할 때 사용할 수 있는 서비스다. 

 

IAM을 사용한 리소스 액세스 관리

** 리소스는 사용자가 작업을 수행할 수 있는 AWS 계정의 엔터티 ex) EC2, S3

• 리소스에 액세스 할 수 있는 사용자를 관리 할 수 있다.
• 액세스 할 수 있는 리소스와 사용자가 리소스에 수행할 수 있는 작업을 관리할 수 있다. 
• 리소스에 액세스할 수 있는 방법을 관리할 수 있다. 

 

IAM 필수 구성 요소

https://cloudiofy.com/aws-iam-permissions-and-policy/

IAM 사용자 (User)

: AWS 계정으로 인증할 수 있는 사람 또는 애플리케이션

IAM 사용자를 생성할 때, 사용자가 사용할 수 있는 액세스 유형을 선택한다.

• 프로그래밍 방식 액세스 (Programmatic access)
  • Access Key & Secret Access Key
  • AWS CLI 및 AWS SDK 액세스 제공
• AWS Management Console 액세스 
  • 12자리 계정 ID 또는 별칭
  • IAM 사용자 이름 & 암호 

 

IAM 그룹 (Group)

: 동일한 권한 부여를 허락받은 IAM 사용자의 모음

 

그룹은 여러 사용자에게 동일한 권한을 부여하는데 사용된다.

Default 그룹은 없으며, 중첩할 수 없다. 

 

IAM 정책 (Policy)

: 액세스할 수 있는 리소스와 각 리소스에 대한 액세스 수준을 정의하는 문서

• 자격 증명 기반 정책
  • 정책을 모든 IAM 엔터티에 연결 (IAM 사용자, 그룹, 역할)
  • 수행할 수 있는 작업이나, 수행할 수 없는 작업을 지정
  • 단일 정책을 여러 엔터티에 연결할 수 있고, 단일 엔터티에 여러 정책을 연결할 수 있음 
• 리소스 기반 정책
  • 리소스(ex. S3 버킷, EC2)에 연결 

 

IAM 역할 (Role)

: AWS 서비스 요청을 위한 권한 세트를 부여하는 매커니즘 

특정 권한이 있는 IAM 자격 증명이다.

 

역할은 임시 보안 자격 증명을 제공한다. 

권한 정책(Policy)을 IAM 역할에 연결하여 사용한다.

• IAM 사용자와 유사점
  • 권한 정책을 IAM에 연결할 수 있음
• IAM 사용자와 다른점
  • 한 사람에게 고유하게 연결되지 않음
  • 개인, 애플리케이션 또는 서비스가 역할을 수임할 수 있음

 

IAM 권한

• IAM 정책을 생성하여 권한을 할당
• 권한은 허용되는 리소스와 작업을 결정
  • 기본적으로 모든 권한은 암시적으로 거부
  • 명시적으로 거부된 항목은 절대 허용되지 않음
  • IAM 서비스 구성의 범위는 글로벌으로, 모든 AWS 리전에 적용 

명시적인 거부가 있으면 허용을 해도 거부 

 

참조

https://docs.aws.amazon.com/ko_kr/IAM/