Cloud/AWS

[AWS] IAM

dhyuck 2021. 10. 13. 23:02
반응형

IAM

IAM(Identity & Access Management) 는 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 서비스입니다. IAM은 사용자 및 그룹을 만들고 관리하며 권한을 통해 액세스를 제어합니다.

IAM Identities (users, user groups, and roles)

  • IAM User(사용자)

    • User는 AWS 서비스에 액세스가 필요한 개인 또는 시스템, 애플리케이션일 수 있습니다.
    • AWS 서비스 및 애플리케이션에서 인식하는 고유한 ID입니다. (Linux, Windows의 계정과 유사합니다.)
    • User는 이름(name)과 자격증명(credentials)으로 구성됩니다.
    • 관리자 권한(administrator permissions)이 있는 IAM User와 AWS account root User는 다릅니다.
    • IAM User는 1개의 AWS 계정과 연결됩니다.
    • 기본적으로 새로운 IAM 사용자는 아무 권한이 없습니다.
    • 관리 권한(administrative permissions)을 할당 받은 사용자는 다른 IAM 사용자를 생성 및 관리 할 수 있습니다.

  • IAM User Group(그룹)

    • 그룹은 User들의 집합입니다. User가 Group에 추가되면 User는 Group의 권한을 가지게 됩니다.
    • 그룹을 사용하면 여러 사용자에 대한 권한을 지정할 수 있으므로 사용자의 권한을 쉽게 관리할 수 있습니다.

  • IAM Role(역할)

    • IAM Role 특정한 권한을 가지고 있어 사용자와 그룹에 할당 될 수 있습니다.

    • 맡을 수 있는 Role의 수에는 제한이 없지만, AWS 서비스에 요청할 때 하나의 IAM Role(역할)만 할 수 있습니다.

    • AWS service role는 서비스가 작업을 수행하기 위해 맡는 역할입니다.

      일부 AWS 서비스 환경을 설정할 때, 서비스가 맡을 역할을 정의해야합니다. 이때 service role이 사용됩니다. service role은 AWS 리소스에 액세스하는데 필요한 모든 권한이 포함되어야 합나다.

    • Permissions boundary(권한 경계)는 identity-based policy(자격 증명 기반 정책)에 기반하여 최대 권한을 제한하는 기능입니다.

    • Principal은 AWS에서 작업을 수행하고 리소스에 액세스하는 entity입니다.

      Principal은 AWS account root user(계정 루트 사용자) 또는 IAM 사용자 또는 role(역할)일 수 있습니다.

  • Policy(정책)

    • Policy는 권한을 정의하는 객체(Object)로 identities(user, group, role) 또는 resource 연결하여 사용합니다
    • 대부분의 정책은 JSON으로 저장됩니다.
    • Policy types에는 대표적으로 Identity-based policies와 Resource-based policies이 있습니다.
    • Identity-based policies는 user, group, role이 수행할 수 있는 작업, 리소스 및 조건을 제어합니다.
    • Resource-based policies는 S3, SNS, SQS와 같은 리소스가 수행할 수 있는 권한을 부여하고 적용되는 조건을 정의합니다.
    • JSON policy document structure
      • Version : 버전 정의, 가장 최신 버전은 2012-10-17
      • Statement : 정책에 2개 이상의 명령문을 포함할때 사용
      • Sid : 명령을 구분하기 위한 선택적 ID
      • Effect : 접근 허용(Allow) 또는 접근 거부(Deny)
      • Principal : 누가 어떤 것을 수행할 수 있는 여부를 정의
      • Action : 허용하거나 거부할 작업 목록
      • Resource : 정책이 적용되는 리소스 정의, 와일드카드(*)는 모든 리소스에 적용됨을 의미
      • Condition : 정책이 적용되는 조건
반응형
저작자표시 비영리 변경금지

'Cloud > AWS' 카테고리의 다른 글

[AWS] Backup  (0) 2021.10.20
[AWS] RDS  (0) 2021.10.15
[AWS/CLI] describe-route-tables  (0) 2021.10.07
[AWS] Cloud Front  (0) 2021.10.05
[AWS] AWS Cli 설정하기  (0) 2021.09.03

'Cloud/AWS'의 다른글

  • 현재글[AWS] IAM

관련글

티스토리툴바