[Aws 이론] IAM란?

IAM란

 

IAM -  (Aws) Identity and Access Management

 

AWS 리소스에 대해 접근(엑세스)을 안전하게 제어할 수 있는 웹 서비스 

 

IAM 기능

 

IAM을 통해 사용할 수 있는 기능은 다음과 같다

• 서비스와 리소스에 대해 엑세스를 안전하게 관리
• 사용자 및 그룹을 만들어 리소스에 대한 접근을 관리
• 사용자 계정 / 리소스 /  서비스의 각각의 권한 제어
  • 서비스의 사용을 위한 인증 정보 부여 가능
• 사용자의 생성 및 관리 및 계정의 보안
  • 사용자의 패스워드 정책 관리 - 일정 시간마다 패스워드 변경
• 다른 계정과의 리소스 공유
  
  • 만약 기업 네트워크나 인터넷 자격 증명 공급자와 같이 다른 곳에서 이미 암호가 있는 사용자에게 AWS 계정에 대한 임시 엑세스 권한을 부여할 수 있다.  → ID Federation
• 리전 서비스가 아닌 글로벌 서비스이다. 즉 리전에서만 사용되는 것이 아닌 글로벌적으로 사용 가능하다

실제 AWS 콘솔창이다. root / IAM으로 나눠져 루트 사용자의 경우 운영하려는 서비스 혹은 설계된 모든 부분을 막힘 없이 이용할 수 있지만 IAM 사용자는 루트 사용자로부터 권한이 부여된 지점까지만 접근이 가능하다.

 

루트 사용자  - 결제 관리 / 계정의 모든 권한 부여  

• 관리 목적의 용도로만 사용
• if 계정의 탈취 시 복구가 힘듬 
  • MFA 사용 권장 - 사용자가 AWS 웹 사이트 또는 서비스에 액세스 시 사용자의 정규 로그인 자격 증명외에도 AWS에서 지원하는 멀티 펙터 인증 시스템 (다단계 인증) -  Multi - factor - authentication 

 

 

IAM 사용자  -  IAM을 통해 생성해서 사용하는 사용자

• 한 사람 혹은 하나의 어플리케이션을 의미
• 설정 시 콘솔 로그인 권한 부여 가능
• 설정 시 AWS 서비스 이용사능
  • Access /  Secret Access Key가 존재한다.
• 만약 관리자 엑세스 권한을 IAM에서 가져가게 된다 하더라도 해당 사용자에게 별도의 설정을 해주지 않으면 결제 대쉬보드를 사용할 수 없다.

 

IAM 구분

 

크게 4가지로 구분이 되는 IAM의 구성요소들은 다음과 같다

사용자	그룹
실제 AWS 사용자 & 어플리케이션	사용자의 집합 그룹은 각 그룹에 맞춰 부여된 권한 행사
역할	정책
AWS 리소스에 부여, 해당 리소스가 무엇을 할 수 있는지 정의 다른 사용자에게 역할 부여 및 할당 - 자격에 맞춰 신뢰관계 구축 역할을 바꾸면서 서비스 사용	권한을 부여하는 방법 하나 이상의 사용자 / 그룹의 역할이 무엇인지에 관한 규칙 Json 형태로 정의가 되며 만들어진 정책은 각각의 남은 구성요소로 전달

 

 

IAM 예시

 

 

이미지 출처 - 쉽게 설명하는 AWS 기초 강좌 5: IAM 기초 - YouTube

이미지 출처 - 쉽게 설명하는 AWS 기초 강좌 5: IAM 기초 - YouTube

 

해당 이미지의 경우 앞에서 말했던 IAM의 서비스를 활용을 예시로 든 이미지들이다.

 

해당 이미지에서 보는바와 같이 IAM 계정 로그인 및 권한 설정을 통해 맡은 바 서비스에 대해 역할을 부여하거나 

혹은 권한의 여부에 따라 접근을 할 수 있다.

 

출처

쉽게 설명하는 AWS 기초 강좌 5: IAM 기초 - YouTube

IAM이란 무엇입니까? - AWS Identity and Access Management (amazon.com)