3장 안전한 조작 준비하기
IAM
Identity and Access Managment는 AWS의 리소스 접근을 안전하게 관리하는 시스템으로, 주로 인증과 접근 허가 기능 구현.
여기서 말하는 인증은 말그대로 사용자가 누구인지 확인하여 AWS에 접근할 수 있도록 하는 것을 말하고, 접근 허가는 AWS 사용자가 어떤 기능을 사용할 수 있는지를 관리하고 허가하는 것을 말한다.
루트 사용자
AWS의 모든 리소스에 접근할 수 있는 매우 강력한 접근 권한을 가진 계정.
처음에 AWS계정을 생성하면 만들어진다.
일반 사용자(IAM 사용자)를 만들고 권한 부여.
사용자
root 사용자로부터 일반 사용자를 만들어 특정 접근 허가를 설정하여 사용한다.
개별 접근 허가 뿐만아니라 사용자 그룹을 지정하여 접근 허가를 부여할 수 있다.
IAM 대시 보드 이용해 안정성 확인
AWS에서의 IAM 보안 설정 하기
- AWS 루트 사용자의 엑세스키 잠금
- MFA 활성화
- 개별 IAM 사용자 생성
- 사요앚 그룹을 이용한 접근 권한 할당
- 사용자에 대한 강력한 암호 정책 구성
AWS 루트 사용자의 엑세스 키 잠금
Access Key는 CLI를 사용하거나 AWS의 API를 호출할때 자격증명용으로 사용된다.
루트 사용자는 모든 권한을 가지므로 루트 사용자의 access key를 삭제해 놓는 편이 안전하다.
- AWS 홈 -> 계정이름 -> 보안자격 증명
- 엑세스 키 삭제
- 삭제됨 상태에서 일정시간이 지나면 사라진다.
MFA 활성화
루트 사용자에 메일 주소와 비밀번호 조합만으로 로그인할 수 있는데, 추가의 인증이 필요하도록 조치해준다.
은행에서 OTP 인증과 비슷하다고 보면 된다.
- 스마트폰에 MFA 용 앱 설치
- 보안 자격 증명 -> MFA 활성화
- 디바이스 설정
개별 IAM 사용자 생성
일반 사용자를 생성해서 사용한다.
- IAM 대시보드 사용자 추가
- 사용자 세부 설정 엑세스 유형 선택
엑세스 유형
프로그래밍 방식 엑세서 : AWS가 제공하는 API나 SDK를 이용해 직접 서비스 조작하는 사용자. 주로프로그램 대상
AWS 관리 콘솔 엑세스 : 콘솔 화면을 이용해 리소스 조작하는 사용자. 사람 대상
- 권한 설정
- 태그 추가 : 사용자를 구별하는 정보
사용자 그룹을 이용한 접근 권한 할당
- IAM 대시보드 그룹 생성
- 그룹 이름 설정
- 권한 정책 연결
- 그룹에 사용자 추가
사용자에 대한 강력한 암호 정책 구성
암호 정책을 설정할 수 있다.
- IAM 대시보드 -> 엑세스 관리 -> 계정 설정
- 암호 정책 설정