brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Nov 10. 2020

482. 보안-IAM 1/5


IAM = AWS 리소스에 대한 개별 액세스 및 그룹 액세스를 안전하게 제어하는것



<1> IAM  이해

<2>  IAM 실습




<1> IAM  이해

1

IAM

콘솔과 Access key 2가지 제공한다.


2

I = Identity =실사용자 확인 = user 확인

AM = Access Managment = 권한 관리


3

access-key는 생성시에만 다운로드 가능하다.

최대 2개까지 생성한다.

교체시 충분한 테스트 필요하다.


4

계속 권한을 주면 보안 문제가  발생한다.

그래서 ,  IAM 역할을 이용해  임시 자격증명이 부여 한다.


5

방법 ?

EC2에 IAM 역할을 부여한다.

Lambda는 기본적으로 역할을 사용한다.

조금 더  안정하게 사용할수 있다.


6

IAM역할을 EC2  인스턴스에 할당한다.


7

IAM 사용자는 그룹으로 관리 ?

IAM권한을 한꺼번에 주기위한 용도.

IAM 사용자는 복수개의 그룹에 속할수 있다.  

1개 그룹에 최대 10개 까지만 권한을 줄수 있다.

하드 리밋이다. 

해제 불가하다.


그룹을 다른 그룹에 넣을수는 없다.


8

IAM 정책은 ?

사용자나 그룹 , SNS topic나 S3에 줄수 있다.

JSON 구조로 되어 있다.


허용/차단 , 어떤행위 , 어떤 리소스 로  줄수 있다.

특정 액션만 할수 있게 한다.


특정 테이블등에만 액션을 적용할수도 있다.

특정  ARN 으로 제한 할수 있다.   ARN =  아마존 리소스 네임 으로 한정 한다.


Principal  특정 사용자등 제한할수 있다.


9

Action

Action , Not Action 예제

NotAtcion 보다는 Deny로 명시적으로 적어 사용하는게 좋다.


10

Condition 예졔

or , and  특정 시간, 특정 IP대역에서 접속 형식으로 제한할수 있다.


11.

정책변수 (Policy Variable )

사용자를 변수 

테그의 값을 가지고 조건을 지정할때 많이 사용한다.


12

IAM 정책의 종류 ?

Identity-base  정책

관리형 정책

인라인 정책 = 객체 자체에  부여 한다.  보안 주체와 라이프 



13

Identity-base  정책?

ID기반 정책


14

관리형 정책?

AWS가 관리하는 정책

고객 관리형 적책


15

인라인 정책 = 객체 자체에  부여 한다.  보안 주체와 라이프 


16

대부분 관리형 정책을 사용한다.

고객 관리형 정책 - 롤백 가능하다.


17

s3등 리소스 기반 정책  ?

리소스에 정책 권한을 부여하는 것이다.  =  Bucket Policy 

인라인으로 직접 입력해야 한다.

S3에 특정 IP로만 접속 하도록 한다.


18

신뢰정책 (Trust Policy)

IDenty  vs Resource based 정책

Resource  는 누가 사용하는지  프린스플을 적어주어야 한다.


19

오가니 제이션  SCP ?

다수 계정에 대해 권한 관리하는것이다.

특정 서비스만 쓰고 나머지는 못쓰게 할수 있다.

OU로 묶여 있어야 한다.


20

IAM Access analyzer

사용하지 않는것  확인

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/what-is-access-analyzer.html


IAM FAQ

https://aws.amazon.com/ko/iam/faqs/?nc=sn&loc=5




<2>  IAM 실습


https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorials.html


IAM 무료 중급자 과정

https://www.aws.training/Details/eLearning?id=53780


감사합니다.



브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari