AWS IAM

계정 루트 사용자

- 모든 액세스 권한을 갖는다.

 

안전한 관리 방법

- IAM 관리 사용자 생성

- 루트 사용자 자격 증명 잠금 + MFA

- IAM 관리 사용자 사용

 

 

IAM 보안 주체

- IAM 사용자

- 연동 사용자

- IAM 역할

- 자격 증명 공급자

 

IAM 사용자

- 각 사용자는 자체 자격 증명(credentials)를 갖는다.

- IAM 사용자는 자체 권한을 기준으로 특정 AWS 작업을 수행할 권한이 있다.

- 기본적으로 주어진 권한이 없다.

- 권한을 주어야 한다.

 

IAM 정책은 AWS 서비스에 대한 액세스만 제어한다.

app 에 대한 로직 제어는 할 수 없다.

IAM 정책을 통해 액세스를 허용하거나 거부할 수 있다.

 

Resource - arn:aws:서비스명:리전코드:account number: ......

 

IAM 권한

- 명시적 거부 > 명시적 허용 > 거부

 

IAM 

- 리소스 기반

- 자격증명 기반

 

리소스 기반 정책

- 특정 서비스만 지원 (s3, kms ....)

 

자격증명 기반 정책

- 연결 대상 : 사용자, 그룹, 역할(그룹에는 줄 수 없다)

- 정책 유형 : AWS 관리형, 고객 관리형(이걸 써야된다), 인라인

- 제어 : 수행 작업, 리소스 대상, 필요한 조건

 

 

사용자 그룹화

- 다른 그룹간에 사용자를 계속 푸시/풀링하지 않으려는 경우?

- 다른 대상에게 영구 권한을 주고싶지 않을 경우?

-> 역할을 준다.

 

IAM 역할

- AWS 리소스에 AWS 서비스에 대한  액세스를 제공한다.

- 외부 인증 사용자에게 액세스를 제공

- 타사에 액세스를 제공

- 리소스에 액세스 하도록 역할을 전환

  - 자신의 AWS 계정

  - 다른 AWS 계정 ( 교차 계정 액세스)

 

Simple Token Service (STS) 자격

브로커(app) 프로세스- 사용자가 구축해야함, aws sts로 임시 크레덴셜을 받아온다.

 

SAML(Security Assertion Markup Language)

- 따로 app 구축을 안해도 된다.

- Management Console로만 접근 가능

 

AWS Cognito

- 사용자 풀

- 자격증명 풀 관리

- 웹 or 모바일 앱에서 Amazon, Facebook, google 등 계정 연동

 

IAM 역할은 최소 권한만 줘야한다.