[AWS Certified Cloud Practitional] 02. IAM

요약 : 터미널에서 /etc/passwd, /etc/shadow, user add 등으로 조작하던 계정관리의 내용을 웹브라우저상에서 설정할 수 있는 서비스

사용자 계정과 관련한 모든 설정이 가능하며 사용자별/서비스별 보안규칙을 설정/적용/모니터링 가능하다.

​

IAM : Idendity and Access Management

계정관리기능을 뜻하며 글로벌 서비스이다.

관리할 수 있는 기능은 아래와 같다

1. 사용자 : 생성가능, 그룹에 포함시킬수도 있음, 물리적인 유저는 AWS 콘솔 비밀번호를 가진다

​

2. 그룹 : 유저만을 포함할 수 있음

​

3. 루트 : 디폴트로 생성됨, 특별한 경우를 제외하고 사용x

​

4. 규정(policies) : 유저와 그룹의 권한, JSON 문서로 작성되어 있다. 큰 틀에서 Version / ID / Statement 로 구성되어있다.

Statement는 다시 Sid (시리얼번호), Effect (허용/거부), Principal (어떤 계정에 적용할지), Action, Resource(어떤 자원에 Action적용), Condition으로 이루어져있다.

​

5. 비밀번호 규정

- 비밀번호 규칙을 정할 수 있다. ex) 8자리이상, 최소 1개의 대문자, 1개의 특수문자 포함 등

​

- 2차인증을 설정할 수 있다 password & MFA(physical device)

device로는 virtual MFA device(google authenticator) / U2F (yubikey) / otp 등이 있다.

​

6. 역할 (roles) : 서비스에 권한 부여

Common rules : EC2 Instance Roles / Lambda function roles / Roles for cloudformation

​

AWS에 접근하는 방법

1. AWS management console : 웹에서 접근 pw + MFA 로 보호

2. AWS command line interface (CLI) : 커맨드창. access키로 보호 (웹에서도 클라우드CLI가 있음)

3. AWS S/W developer kit (SKD) : 개발자용 도구. 개발언어별 API로 구성됨. access키로 보호

Access키는 AWS console에서 생성 가능하며 보안필수이다.

​

IAM 보안 모니터링

1. IAM credential report (account-level) : 모든 계정의 사용자의 암호화 상태를 확인가능

2. IAM access advisor (user-level) : 사용자에게 부여된 권한이 언제 사용되었는지 확인가능

​

출처 : Udemy Ultimate AWS Certified Cloud Practitioner - 2022