일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
- openvpnconnect
- OWASP TOP10
- AWS AZ
- 이메일 보안 정리
- 전자입찰 요구조건
- AWS 리전이란?
- xz-utils
- 위험분석 관리
- iso http통신
- DVWA 환경구성
- DVWA 설치
- openvpn error
- Risk Analysis
- 정보보안기사 위험분석 정리
- 정보보안기사
- 티스토리 오류 수정
- metasploit_series
- elasticsearch
- 정보보안기사 데이터베이스
- 정보보안
- 취약점
- 보안뉴스
- 게시글 복사 방법
- AWS SA Series
- 데이터베이스 보안 정리
- javascript끄기
- 정보보안기사 전자지불 시스템
- 전자금융_취약점
- AWS 용어
- AWS 가용 영역
- Today
- Total
ARTIFEX ;)
AWS : IAM에 대하여 본문
IAM
AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스이다.
IAM을 사용하면 사용자가 액세스할 수 있는 AWS 리소스를 제어하는 권한을 중앙에서 관리할 수 있다.
IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어할 수 있다.
IAM을 사용하면 AWS 서비스와 리소스에 대한 엑세스를 비교적 안전하게 관리할 수 있다.
IAM 크게 4가지로 분류될 수 있다.
- 사용자(User)
- 그룹(Group)
- 정책(Policy)
- 역할(Role)
IAM은 사용자를 생성하고 그룹에 배치하기에 글로벌 서비스에 해당한다.
이는 오직 계정을 생성할 때만 사용되어야 하며, 그 이후에는 루트 계정을 더 이상 사용해서도, 공유해서도 안된다.
사용자 계정을 생성해야 한다 IAM에서 사용자 계정을 생성할 때 하나의 사용자는 조직 내 한사람에 해당된다.
필요하다면 사용자들을 그룹으로 묶을 수도 있다.
Example
A, B, C, D, E 사용자가 존재할 시
A,B : Develops Group. C, D : Operations Group
위 처럼 그룹으로 만들 수 있다.
이 때 그룹에는 사용자만 배치할 수 있다. (그룹 내 다른 그룹 포함 불가)
아무 그룹에도 속하지 않은 E의 경우도 AWS에서는 설정할 수 있다.
또한 한 사용자가 다수의 그룹에 속할 수도 있다.
사용자와 그룹을 생성하는 이유 : AWS 계정 사용을 허용하기 위함. 그리고 허용을 위해선 Pemissions(권한)을 부여해야 함.
이를 위해 사용자 or 그룹에게 정책, IAM 정책이라 불리는 Json 문서를 지정할 수 있다.
가장 주의해야 할 점
- Region별 서비스가 아닌 글로벌 서비스로 계정 생성 시 AWS 서비스 전체에 적용된다는 것이다.
- 실제 작업은 Root가 아닌 사용자에서! (불필요한 사용자 막 만들지 말자)
- 최대한 그룹과 정책을 이용하여 사용자 관리
- 최소한의 권한만으로 사용.
- MFA 다중인증 활성화
- Access Key 대신, Role 활용
- IAM 자격증명보고서를 통한 계정 상태 주기적인 검토**
- 자격증명보고서는 4Hour 1회 Download 가능. 4시간만 유효
기능
IAM은 아래와 같은 기능들을 제공한다.
AWS 계정에 대한 공유 액세스
: 암호나 액세스 키를 공유하지 않고도 AWS 계정의 리소스를 관리하고 사용할 수 있는 권한을 다른 사람에게 부여할 수 있다.
세분화된 권한
: 소스에 따라 여러 사람에게 다양한 권한을 부여할 수 있다.
Amazon EC2에서 실행되는 애플리케이션을 위한 보안 AWS 리소스 액세스
: C2 인스턴스에서 실행되는 애플리케이션의 경우 IAM 기능을 사용하여 자격 증명을 안전하게 제공할 수 있다. 이러한 자격 증명은 애플리케이션에 다른 AWS 리소스에 액세스할 수 있는 권한을 제공한다.
멀티 팩터 인증(MFA)
: 보안 강화를 위해 계정과 개별 사용자에게 2팩터 인증을 추가할 수 있다. MFA를 사용할 경우 계정 소유자나 사용자가 계정 작업을 위해 암호나 액세스 키뿐만 아니라 특별히 구성된 디바이스의 코드도 제공해야 한다.
아이덴티티 페더레이션
: 기업 네트워크나 인터넷 자격 증명 공급자와 같은 다른 곳에 이미 암호가 있는 사용자에게 AWS 계정에 대한 임시 액세스 권한을 부여할 수 있다.
...etc
IAM에 ACCESS
아래 방법 중 하나를 통해 AWS Identity and Access Management로 작업할 수 있다.
- AWS Management Console
- AWS 명령줄 도구
- AWS SDK
- IAM 쿼리 API
IAM의 구성
사용자가 특정 서비스를 사용하고 싶어할 경우, IAM은 사용자 → 그룹 → 역할 순 로직으로 권한을 검증한다.
'# Cloud > AWS' 카테고리의 다른 글
AWS #2 엣지 로케이션(Edge Locatio) (0) | 2020.10.12 |
---|---|
AWS #1 용어 및 기본 설명 : 리전과 가용 영역 (Region and Availability Zone) (0) | 2020.10.12 |