큰 그림
AWS에서 계정 관리를 하려면 IAM을 사용해야 한다.
권한을 주려면 IAM을 사용해야 한다.
서비스를 연계하려면 IAM을 사용해야 한다.
일반 기업에서 관리자와 사용자를 나누려면 IAM을 잘 사용해야 한다.
<1> IAM 개요
<2> 같이 볼만한 자료
<1> IAM 개요
1
aws계정에서 제어하는 것 3가지
보안
리밋(제한, 쿼터 제한)
빌링
2
S3 , EC2 등 AWS 자원을 격리하는 공간이다.
3
ROOT 사용자
ROOT 사용자는 IAM으로 제어를 못한다.
그래서, AWS에서는 admin권한 계정을 만들어 사용하라고 한다.
4
단일 계정
다중 계정
다중 계정은 자원을 그룹화하는 것.
5
IAM(보안)
I (Identity) = 인증/로그인을 제어한다.
AM (Access Management) = 접근 제어
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/intro-structure.html
6
Role
역할은 한 사람과 연관되지 않고, 해당 역할이 필요한 사람이면 누구든지 맡을 수 있음.
7
Policy
trust policies (트러스트 폴리시)
Policies and permissions in IAM
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies.html
8
IAM 역할 최대 세션 시간
관리 콘솔 : 1시간
CLI/API : 기본 1시간, 15분~12시간
9
IAM role = 임시 자격증명이다.
임시다!!!
USER에 정책(Policy)을 부여하는 것 = 권한을 주는 것 = 상시 사용한다. = 보안에 취약하다.
정책은 지속적으로 사용할 때 주도록 하자.
10
IAM사용자는 그룹당 10개까지
하드웨어 리밋이다. = 변경 못한다.
그룹을 여러 개 만들면 많이 사용할 수 있다.
관리형 정책 10개 이상 연결하거나 늘리는 방법은?
IAM 그룹을 더 생성하고, 해당 그룹에 관리형 정책을 연결합니다.
IAM 사용자는 최대 10개의 그룹에 할당할 수 있습니다.
또한 각 그룹에 관리형 정책을 최대 10개까지 연결할 수 있으므로, 정책은 최대 110개까지 설정할 수 있습니다(IAM 사용자에게 연결된 관리형 정책 10개, IAM 그룹 10개에 각각 정책 10개씩).
https://aws.amazon.com/ko/premiumsupport/knowledge-center/iam-increase-policy-size
11
Role에 정책 추가도 늘릴수 있다.
10개 -> 20개
Managed policies attached to an IAM role
The default limit on AWS accounts for 'Managed polices per role" is 10
However, you can submit a service quota limit request to increase this to 20.
Here are the steps to submit a limit increase request:
1: Go to North Virginia region on your AWS account (us-east-1)
2: Search the service "Service Quotas"
3: Search "IAM"
4: Search and then select "Managed policies per role"
5: On top right of page, choose "Request quota increase"
6: Input 20 as requested value
12
Policy = 정책
서비스와 리소스에 대한 인가 기능 제공한다.
오가니제이션에서 일괄 정책 내리기 = SCP라고 한다.
13
Policy를 여러 개 사용하면 교집합이다.
최소 권한으로 할당된다.
14
교차 액세스
크로스 어카운트
role을 사용한다.
15
여러 계정을 사용하는 경우 관리법?
교차 계정 액세스를 이용한 자원 공유
개발 계정으로 로그인
role을 받는다. assumeRole 사용
서비스 계정에 대해 사용한다.
16
ABAC (속성기반 액세스 제어)
속성 기반으로 권한을 정의하는 것
태그 이용 가능하다.
EC2권한을 제공하는데 태그를 이용한다.
태그에 따라서 EC2 제어 가능한 것과 제어 불가능한 것으로 구분한다.
17
IAM 베스트 프렉티스 참고
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/best-practices.html
<2> 같이 볼만한 자료
https://brunch.co.kr/@topasvga/481
IAM 보안
https://brunch.co.kr/@topasvga/699
https://brunch.co.kr/@topasvga/1288
https://brunch.co.kr/@topasvga/1322
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html
감사합니다.