[AWS] IAM

IAM

IAM(Identity & Access Management) 는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 서비스입니다. IAM은 사용자 및 그룹을 만들고 관리하며 권한을 통해 액세스를 제어합니다.

---

IAM Identities (users, user groups, and roles)

• IAM User(사용자)
  • User는 AWS 서비스에 액세스가 필요한 개인 또는 시스템, 애플리케이션일 수 있습니다.
  • AWS 서비스 및 애플리케이션에서 인식하는 고유한 ID입니다. (Linux, Windows의 계정과 유사합니다.)
  • User는 이름(name)과 자격증명(credentials)으로 구성됩니다.
  • 관리자 권한(administrator permissions)이 있는 IAM User와 AWS account root User는 다릅니다.
  • IAM User는 1개의 AWS 계정과 연결됩니다.
  • 기본적으로 새로운 IAM 사용자는 아무 권한이 없습니다.
  • 관리 권한(administrative permissions)을 할당 받은 사용자는 다른 IAM 사용자를 생성 및 관리 할 수 있습니다.
• IAM User Group(그룹)
  • 그룹은 User들의 집합입니다. User가 Group에 추가되면 User는 Group의 권한을 가지게 됩니다.
  • 그룹을 사용하면 여러 사용자에 대한 권한을 지정할 수 있으므로 사용자의 권한을 쉽게 관리할 수 있습니다.
• IAM Role(역할)
  • IAM Role 특정한 권한을 가지고 있어 사용자와 그룹에 할당 될 수 있습니다.
  • 맡을 수 있는 Role의 수에는 제한이 없지만, AWS 서비스에 요청할 때 하나의 IAM Role(역할)만 할 수 있습니다.
  • AWS service role는 서비스가 작업을 수행하기 위해 맡는 역할입니다.
  • 일부 AWS 서비스 환경을 설정할 때, 서비스가 맡을 역할을 정의해야합니다. 이때 service role이 사용됩니다. service role은 AWS 리소스에 액세스하는데 필요한 모든 권한이 포함되어야 합나다.
  • Permissions boundary(권한 경계)는 identity-based policy(자격 증명 기반 정책)에 기반하여 최대 권한을 제한하는 기능입니다.
  • Principal은 AWS에서 작업을 수행하고 리소스에 액세스하는 entity입니다.
  • Principal은 AWS account root user(계정 루트 사용자) 또는 IAM 사용자 또는 role(역할)일 수 있습니다.
• Policy(정책)
  • Policy는 권한을 정의하는 객체(Object)로 identities(user, group, role) 또는 resource 연결하여 사용합니다
  • 대부분의 정책은 JSON으로 저장됩니다.
  • Policy types에는 대표적으로 Identity-based policies와 Resource-based policies이 있습니다.
  • Identity-based policies는 user, group, role이 수행할 수 있는 작업, 리소스 및 조건을 제어합니다.
  • Resource-based policies는 S3, SNS, SQS와 같은 리소스가 수행할 수 있는 권한을 부여하고 적용되는 조건을 정의합니다.
  • JSON policy document structure
    • Version : 버전 정의, 가장 최신 버전은 2012-10-17
    • Statement : 정책에 2개 이상의 명령문을 포함할때 사용
    • Sid : 명령을 구분하기 위한 선택적 ID
    • Effect : 접근 허용(Allow) 또는 접근 거부(Deny)
    • Principal : 누가 어떤 것을 수행할 수 있는 여부를 정의
    • Action : 허용하거나 거부할 작업 목록
    • Resource : 정책이 적용되는 리소스 정의, 와일드카드(*)는 모든 리소스에 적용됨을 의미
    • Condition : 정책이 적용되는 조건

---

• 참고IAM이란 무엇인가요?
• AWS Identity & Access Management - Amazon Web Services
• AWS IAM FAQ