IAM 및 AWS CLI
IAM: Users & Groups
IAM = Identity and Access Management, Global Service
- 기본적으로 생성된 루트 계정은 사용하거나 공유하면 안됩니다.
- 사용자는 조직 내 사람들이며 그룹화할 수 있습니다.
- 그룹에는 다른 그룹이 아닌 사용자만 포함됩니다.
- 사용자는 그룹에 속할 필요가 없으며 사용자는 여러 그룹에 속할 수 있습니다.
IAM Policies
- 사용자 또는 그룹에 정책이라는 JSON 문서를 할당할 수 있습니다.
- 이러한 정책은 사용자의 권한을 정의합니다.
⚠️ AWS에서는 최소 권한 원칙을 적용합니다.
사용자가 필요로 하는 것보다 더 많은 권한을 부여하지 마세요.
IAM Policies inheritance
IAM Policies Structure
Consists of
Version
: 언어버전, 항상 “2012-10-17” 포함Id
: 정책에 대한 식별자 (선택 사항)Statement
: 하나 이상의 개별 statements (필수)
Statements consists of
Sid
: statement에 대한 식별자 (선택 사항)Effect
: 액세스를 허용하는지 여부 (Allow, Deny)Principal
: 이 정책이 적용되는 계정 / 사용자 / 역할Action
: 이 정책이 허용하거나 거부하는 작업 목록Resource
: 작업이 적용된 리소스 목록Condition
: 이 정책이 적용되는 조건 (선택 사항)
IAM - 비밀번호 정책
- Strong passwords = 계정에 대한 높은 보안
- 최소 비밀번호 길이 설정
특정 문자 유형 필요:
- 대문자 포함
- 소문자
- 번호
- 영숫자가 아닌 문자
- 모든 IAM 사용자가 자신의 암호를 변경할 수 있도록 허용
- 일정 시간이 지나면 사용자에게 비밀번호 변경 요구(비밀번호 만료)
- 비밀번호 재사용 방지
Multi Factor Authentication - MFA
- 사용자는 계정에 엑세스할 수 있으며 AWS 계정에서 구성을 변경하거나 리소스를 삭제할 수 있습니다.
- 루트 계정 및 IAM 사용자를 보호하려는 경우
- MFA = 비밀번호 + 소유한 보안 기기
MFA의 주요 이점: