482. 보안-IAM 1/5
IAM = AWS 리소스에 대한 개별 액세스 및 그룹 액세스를 안전하게 제어하는것
<1> IAM 이해
<2> IAM 실습
<1> IAM 이해
1
IAM
콘솔과 Access key 2가지 제공한다.
2
I = Identity =실사용자 확인 = user 확인
AM = Access Managment = 권한 관리
3
access-key는 생성시에만 다운로드 가능하다.
최대 2개까지 생성한다.
교체시 충분한 테스트 필요하다.
4
계속 권한을 주면 보안 문제가 발생한다.
그래서 , IAM 역할을 이용해 임시 자격증명이 부여 한다.
5
방법 ?
EC2에 IAM 역할을 부여한다.
Lambda는 기본적으로 역할을 사용한다.
조금 더 안정하게 사용할수 있다.
6
IAM역할을 EC2 인스턴스에 할당한다.
7
IAM 사용자는 그룹으로 관리 ?
IAM권한을 한꺼번에 주기위한 용도.
IAM 사용자는 복수개의 그룹에 속할수 있다.
1개 그룹에 최대 10개 까지만 권한을 줄수 있다.
하드 리밋이다.
해제 불가하다.
그룹을 다른 그룹에 넣을수는 없다.
8
IAM 정책은 ?
사용자나 그룹 , SNS topic나 S3에 줄수 있다.
JSON 구조로 되어 있다.
허용/차단 , 어떤행위 , 어떤 리소스 로 줄수 있다.
특정 액션만 할수 있게 한다.
특정 테이블등에만 액션을 적용할수도 있다.
특정 ARN 으로 제한 할수 있다. ARN = 아마존 리소스 네임 으로 한정 한다.
Principal 특정 사용자등 제한할수 있다.
9
Action
Action , Not Action 예제
NotAtcion 보다는 Deny로 명시적으로 적어 사용하는게 좋다.
10
Condition 예졔
or , and 특정 시간, 특정 IP대역에서 접속 형식으로 제한할수 있다.
11.
정책변수 (Policy Variable )
사용자를 변수
테그의 값을 가지고 조건을 지정할때 많이 사용한다.
12
IAM 정책의 종류 ?
Identity-base 정책
관리형 정책
인라인 정책 = 객체 자체에 부여 한다. 보안 주체와 라이프
13
Identity-base 정책?
ID기반 정책
14
관리형 정책?
AWS가 관리하는 정책
고객 관리형 적책
15
인라인 정책 = 객체 자체에 부여 한다. 보안 주체와 라이프
16
대부분 관리형 정책을 사용한다.
고객 관리형 정책 - 롤백 가능하다.
17
s3등 리소스 기반 정책 ?
리소스에 정책 권한을 부여하는 것이다. = Bucket Policy
인라인으로 직접 입력해야 한다.
S3에 특정 IP로만 접속 하도록 한다.
18
신뢰정책 (Trust Policy)
IDenty vs Resource based 정책
Resource 는 누가 사용하는지 프린스플을 적어주어야 한다.
19
오가니 제이션 SCP ?
다수 계정에 대해 권한 관리하는것이다.
특정 서비스만 쓰고 나머지는 못쓰게 할수 있다.
OU로 묶여 있어야 한다.
20
IAM Access analyzer
사용하지 않는것 확인
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/what-is-access-analyzer.html
IAM FAQ
https://aws.amazon.com/ko/iam/faqs/?nc=sn&loc=5
<2> IAM 실습
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/tutorials.html
IAM 무료 중급자 과정
https://www.aws.training/Details/eLearning?id=53780
감사합니다.
