brunch

매거진 AWS 전문가 되기

라이킷 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by Master Seo Oct 25. 2020

455. AWS IAM 중급-1/2

큰 그림

AWS에서 계정 관리를 하려면 IAM을 사용해야 한다.

권한을 주려면 IAM을 사용해야 한다.

서비스를 연계하려면 IAM을 사용해야 한다.

일반 기업에서 관리자와 사용자를 나누려면 IAM을 잘 사용해야 한다.

<1> IAM 개요

<2> 같이 볼만한 자료

<1> IAM 개요

aws계정에서 제어하는 것 3가지

보안

리밋(제한, 쿼터 제한)

빌링

S3 , EC2 등 AWS 자원을 격리하는 공간이다.

ROOT 사용자

ROOT 사용자는 IAM으로 제어를 못한다.

그래서, AWS에서는 admin권한 계정을 만들어 사용하라고 한다.

단일 계정

다중 계정

다중 계정은 자원을 그룹화하는 것.

IAM(보안)

I (Identity) = 인증/로그인을 제어한다.

AM (Access Management) = 접근 제어

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/intro-structure.html

IAM 작동 방식 이해 - AWS Identity and Access Management

docs.aws.amazon.com

Role

역할은 한 사람과 연관되지 않고, 해당 역할이 필요한 사람이면 누구든지 맡을 수 있음.

Policy

trust policies (트러스트 폴리시)

Policies and permissions in IAM

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies.html

IAM 역할 최대 세션 시간

관리 콘솔 : 1시간

CLI/API : 기본 1시간, 15분~12시간

IAM role = 임시 자격증명이다.

임시다!!!

USER에 정책(Policy)을 부여하는 것 = 권한을 주는 것 = 상시 사용한다. = 보안에 취약하다.

정책은 지속적으로 사용할 때 주도록 하자.

IAM사용자는 그룹당 10개까지

하드웨어 리밋이다. = 변경 못한다.

그룹을 여러 개 만들면 많이 사용할 수 있다.

관리형 정책 10개 이상 연결하거나 늘리는 방법은?

IAM 그룹을 더 생성하고, 해당 그룹에 관리형 정책을 연결합니다.

IAM 사용자는 최대 10개의 그룹에 할당할 수 있습니다.

또한 각 그룹에 관리형 정책을 최대 10개까지 연결할 수 있으므로, 정책은 최대 110개까지 설정할 수 있습니다(IAM 사용자에게 연결된 관리형 정책 10개, IAM 그룹 10개에 각각 정책 10개씩).

https://aws.amazon.com/ko/premiumsupport/knowledge-center/iam-increase-policy-size

IAM 역할 또는 사용자에 대한 관리형 정책 또는 문자 크기 제한 늘리기

aws.amazon.com

Role에 정책 추가도 늘릴수 있다.

10개 -> 20개

Managed policies attached to an IAM role

The default limit on AWS accounts for 'Managed polices per role" is 10

However, you can submit a service quota limit request to increase this to 20.

Here are the steps to submit a limit increase request:

1: Go to North Virginia region on your AWS account (us-east-1)

2: Search the service "Service Quotas"

3: Search "IAM"

4: Search and then select "Managed policies per role"

5: On top right of page, choose "Request quota increase"

6: Input 20 as requested value

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-limits-entities

IAM and STS quotas - AWS Identity and Access Management

docs.aws.amazon.com

Policy = 정책

서비스와 리소스에 대한 인가 기능 제공한다.

오가니제이션에서 일괄 정책 내리기 = SCP라고 한다.

Policy를 여러 개 사용하면 교집합이다.

최소 권한으로 할당된다.

교차 액세스

크로스 어카운트

role을 사용한다.

여러 계정을 사용하는 경우 관리법?

교차 계정 액세스를 이용한 자원 공유

개발 계정으로 로그인

role을 받는다. assumeRole 사용

서비스 계정에 대해 사용한다.

ABAC (속성기반 액세스 제어)

속성 기반으로 권한을 정의하는 것

태그 이용 가능하다.

EC2권한을 제공하는데 태그를 이용한다.

태그에 따라서 EC2 제어 가능한 것과 제어 불가능한 것으로 구분한다.

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction_attribute-based-access-control.html

IAM 베스트 프렉티스 참고

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/best-practices.html

<2> 같이 볼만한 자료

https://brunch.co.kr/@topasvga/481

59. AWS계정관리 IAM

IAM (identoty Access Managemenet) <1> AWS에는 AWS계정과 IAM계정 2개가 있다. <2> 2차 인증 MFA는 필수로 설정하자. <3> 그룹으로 AWS를 관리한다. <4> AWS API 사용하기 <1> AWS에는 AWS계정과 IAM계정 2개가 있

brunch.co.kr/@topasvga/481

IAM 보안

https://brunch.co.kr/@topasvga/699

156. IAM 보안

1. ROOT는 사용하지 마라. MFA만 설정하고 일반 계정으로 사용하라. ROOT가 탈취당하면 서비스 종료까지 가능하다. 2. MFA는 필수이다. ROOT계정이나 일반 계정 모두 MFA는 필수로 설정하여 사용하라. 3

brunch.co.kr/@topasvga/699

https://brunch.co.kr/@topasvga/1288

455. AWS IAM 개요-1/2

큰 그림 AWS에서 계정 관리를 하려면 IAM을 사용해야 한다. 권한을 주려면 IAM을 사용해야 한다. 서비스를 연계하려면 IAM을 사용해야 한다. 일반 기업에서 관리자와 사용자를 나누려면 IAM을 잘 사

brunch.co.kr/@topasvga/1288

https://brunch.co.kr/@topasvga/1322

482. 보안-IAM 1/5

IAM AWS 리소스에 대한 개별 액세스 및 그룹 액세스를 안전하게 제어 <1> IAM 이해 <2> 실습 https://aws.amazon.com/ko/iam/ https://aws.amazon.com/ko/iam/faqs/?nc=sn&loc=5 <1> IAM 이해 AWS 리소스에 대한 개별 액세스

brunch.co.kr/@topasvga/1322

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html

IAM 자습서: 태그를 기반으로 AWS 리소스에 액세스할 수 있는 권한 정의 - AWS Identity and Access Managemen

docs.aws.amazon.com

감사합니다.

keyword