요약 : 터미널에서 /etc/passwd, /etc/shadow, user add 등으로 조작하던 계정관리의 내용을 웹브라우저상에서 설정할 수 있는 서비스
사용자 계정과 관련한 모든 설정이 가능하며 사용자별/서비스별 보안규칙을 설정/적용/모니터링 가능하다.
IAM : Idendity and Access Management
계정관리기능을 뜻하며 글로벌 서비스이다.
관리할 수 있는 기능은 아래와 같다
1. 사용자 : 생성가능, 그룹에 포함시킬수도 있음, 물리적인 유저는 AWS 콘솔 비밀번호를 가진다
2. 그룹 : 유저만을 포함할 수 있음
3. 루트 : 디폴트로 생성됨, 특별한 경우를 제외하고 사용x
4. 규정(policies) : 유저와 그룹의 권한, JSON 문서로 작성되어 있다. 큰 틀에서 Version / ID / Statement 로 구성되어있다.
Statement는 다시 Sid (시리얼번호), Effect (허용/거부), Principal (어떤 계정에 적용할지), Action, Resource(어떤 자원에 Action적용), Condition으로 이루어져있다.
5. 비밀번호 규정
- 비밀번호 규칙을 정할 수 있다. ex) 8자리이상, 최소 1개의 대문자, 1개의 특수문자 포함 등
- 2차인증을 설정할 수 있다 password & MFA(physical device)
device로는 virtual MFA device(google authenticator) / U2F (yubikey) / otp 등이 있다.
6. 역할 (roles) : 서비스에 권한 부여
Common rules : EC2 Instance Roles / Lambda function roles / Roles for cloudformation
AWS에 접근하는 방법
1. AWS management console : 웹에서 접근 pw + MFA 로 보호
2. AWS command line interface (CLI) : 커맨드창. access키로 보호 (웹에서도 클라우드CLI가 있음)
3. AWS S/W developer kit (SKD) : 개발자용 도구. 개발언어별 API로 구성됨. access키로 보호
Access키는 AWS console에서 생성 가능하며 보안필수이다.
IAM 보안 모니터링
1. IAM credential report (account-level) : 모든 계정의 사용자의 암호화 상태를 확인가능
2. IAM access advisor (user-level) : 사용자에게 부여된 권한이 언제 사용되었는지 확인가능
출처 : Udemy Ultimate AWS Certified Cloud Practitioner - 2022
'Computer > AWS' 카테고리의 다른 글
[AWS Certified Cloud Practitioner] 06. S3 (0) | 2022.01.31 |
---|---|
[AWS Certified Cloud Practitioner] 05. ELB (0) | 2022.01.25 |
[AWS Certified Cloud Practitioner] 04. EBS Volume (0) | 2022.01.24 |
[AWS Certified Cloud Practitional] 03. EC2 (0) | 2022.01.21 |
[AWS Certified Cloud Practitional] 01. 클라우드 컴퓨팅 (0) | 2022.01.09 |