[AWS] IAM(Identity and Access Management)

이 글에서는 aws에서 사용하는 IAM(Identity and Access Management)에 대해서 작성할 것입니다.

 

IAM이란, AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스로 IAM을 사용하여 인증 및 권한 부여의 대상을 제어합니다.

사용자와 그룹을 생성하고 AWS의 각 리소스에 대해 접근제어와 권한관리를 제공한다.
따라서 전체 권한이 아닌 필요한 권한만 주기 때문에 보안성이 높아진다.
→ 지역 설정이 필요 없다.

IAM계정을 처음 생성할 때는 해당 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 SSO(Single Sign-On) ID로 시작합니다. 이를 AWS 계정 루트 사용자라고 합니다. 이 계정은 IAM 사용자를 처음 생성할 때만 사용하는 것이 좋습니다.

 

IAM은 다음과 같은 일을 합니다.

• IAM 사용자 생성 및 관리
• IAM 그룹 생성 및 관리
• 사용자의 보안 자격 증명 관리
• 정책을 생성 및 관리하여 AWS 서비스와 리소스에 대한 액세스 권한을 부여

사용자

AWS 서비스 및 애플리케이션에서 식별하는 고유한 자격 증명. 고유한 이름이 있으며 암호 또는 액세스 키와 같은 보안 자격 증명을 사용하여 자신의 신원을 증명할 수 있다.

그룹

IAM 사용자들을 모아놓은 것. 동일한 권한을 여러 IAM 사용자에게 적용시킬 때 사용한다.

• 사용자를 그룹에 추가하거나 그룹에서 삭제한다.
• 한 명의 사용자가 여러 그룹에 속할 수 있다.
• 그룹은 다른 그룹에 속할 수 없다
• 액세스 제어 정책을 사용해 그룹에 권한을 부여할 수 있다.
• 보안 자격 증명이 없으므로 웹 서비스에 직접 액세스 할 수 없다.

역할

EC2 인스턴스, 다른 AWS계정 등의 계정 전용으로 AWS 리소스에 대해 접근 권한을 설정할 수 있다.

정책

세밀한 접근권한을 설정하여 하나의 정책을 만들 수 있다. 정책은 그룹, 역할에 추가할 수 있다.

• IAM 서비스가 지원하는 유일한 리소스 기반 정책
  ⇒ 신뢰정책(Trust policy) : 역할을 맡을 수 있는 주요 엔티티(계정, 사용자, 역할...)를 정의한다.