IAM Introduction
IAM이란?
'Identity and Access Management'의 약자로, 사용자를 생성하고 그룹에 할당할 수 있기 때문에 글로벌 서비스이다.
- Root Account: Root 계정은 기본으로 생성되어있고 해당 계정을 사용하기 위해서는 계좌를 설정할 수 있다. 이때, 설정한 계좌는 공유하거나 사용하면 안된다.
- Users: IAM에서 사용자 즉, 조직내의 한 사람을 생성하고 그룹화도 시킬 수 있다. 실제 사용은 이렇게 각각의 User을 생성하여 사용해야 한다.
- 그룹은 Users만 포함될 수 있고 Users 외의 것들은 포함될 수 없음.
- 그룹에 속하지 않는 Users가 있을 수 있지만, 모범 사례는 아님.
- 사용자들은 멀티 그룹에 소속될 수 있음.
IAM Permissions
Users 혹은 Groups은 JSON 문서를 할당받을 수 있다. 이 문서는 사용자의 권한을 정의하는 정책들에 대한 내용이다. 또한, AWS에서는 '최소 권한의 원칙'을 적용하고 있으므로 사용자가 필요로 하는 것 이상의 권한을 주어서는 안된다.
IAM Users & Groups 실습
실습을 위해 IAM 서비스 중 사용자에 접속해보았다. 이때, 지역 부분을 확인해보니 '글로벌'임을 확인할 수 있고 다른 지역은 선택 불가능했다. 따라서, IAM은 글로벌 서비스임을 알 수 있다.
현재 루트 계정을 사용 중이고 루트 계정을 사용하는 것은 적절한 방식이 아니기 때문에 사용자를 생성해보자.
1. 사용자 세부 정보 설정
생성하고자 하는 사용자의 이름을 입력하고 관리 콘솔에 접근 권한을 제공한다. 이후 사용자 유형은 IAM 사용자 생성으로 설정해둔다. 콘솔에 접속하기 위해 암호를 설정해야 하는데 자동 생성된 암호의 경우 사용자가 다음 로그인 시, 비밀번호를 변경해야 하지만 본 실습시에는 내가 사용하기 때문에 암호를 지정해주었다. 그러면 다음 로그인 시에도 새로운 비밀번호를 설정할 필요가 없다.
2. 권한 설정
권한 설정 단계에서는 권한을 직접 추가하거나 그룹을 통해 추가할 수 있다. 새로운 그룹을 하나 생성하여 진행해보자. 'admin'이라는 이름의 그룹을 만들고 'AdministratorAccess' 권한을 추가해주었다.
이와 같이 사용자의 권한 설정은 생성된 그룹에 사용자를 추가함으로써 그룹이 가지고 있는 권한을 부여해줄 수 있다.
3. 사용자 생성
검토 과정을 거친 후 사용자를 생성하면 설정이 적용된 사용자가 생성됨을 확인할 수 있다.
사용자 생성 과정에서 함께 생성한 그룹을 확인해보니 생성된 그룹에 권한 또한 잘 들어가있는 것을 확인할 수 있다.
따라서, 사용자는 권한을 직접 부여받은 것이 아닌 그룹을 통해 부여받은 형태로, 직접 권한을 부여해주는 것보다 그룹을 통해 부여해주는 것이 더 편리하다.
대시보드를 확인해보면 AWS 계정 정보와 IAM 사용자를 위한 로그인 주소를 확인할 수 있다. 이때, IAM 사용자가 로그인하기 위한 URL은 alias 설정을 통해 단순화할 수 있다.
alias는 고유한 값이어야 하기 때문에 작성한 값이 누군가 사용하고 있다면 중복되지 않도록 작성해주어야 한다.
alias를 생성한 후에는 생성된 alias를 활용하여 IAM 사용자가 로그인할 수 있는 URL을 만들 수 있다
→ 현재 해당 alias는 보안을 위해 제거한 상태
IAM Policies
IAM Policies inheritance
IAM 권한 상속의 경우 위 이미지와 같이 크게 2가지 경우로 나눌 수 있다. 그룹에 속해있는 경우와 그렇지 않은 경우이다. 그룹에 속해있는 사용자의 경우 해당 그룹이 보유하고 있는 권한을 모두 가지고 있으며, 이때 사용자는 중복된 그룹에 소속될 수 있으므로 해당 그룹들이 가지고 있는 권한들을 보유하게 된다. 그룹에 소속되지 않은 사용자에게 권한을 부여하는 것은 'inline'으로 부를 수 있다.
IAM Policies Structure
- Consists of
- Version: 정책 언어의 버전이며, 대게 '2012-10-17'로 작성됨.
- ID: 정책의 식별자를 나타내며 필수가 아닌 선택구문
- Statement: 각각의 statements에 대한 설명
- Statements consists of
- Sid: statement의 식별자로 선택사항
- Effect: statement의 접근을 허용하거나 거부하는 것과 관련된 사항으로, Allow 혹은 Deny로 표기됨.
- Principal: 해당 정책이 적용되는 계정/사용자/역할 등이 작성됨
- Action: 이 정책이 허용 혹은 거부하는 행위에 대한 리스트로, 허용 혹은 거부하는 API 호출 목록을 볼 수 있음.
- Resource: 그 행위가 적용되는 리소스에 대한 리스트
- Condition: effect안에 정책이 있을 때의 상태에 대한 것으로 선택사항
→ 설정하는 권한과 관련하여 '*' 표시가 있다면 '모두' 혹은 '~로 시작되는 관련된 모든 것'에 해당하는 것으로 간주할 수 있다.
→ 원하는 리소스에 대한 권한을 직접 설정하여 개인의 정책을 만들 수 있다.
▶ 시험 볼 때는 효과, 원리 동작, 리소스 등에 대한 내용을 알고 있어야 함.
IAM MFA
IAM - Password Policy
- 강력한 비밀번호 → 개인의 계정에 더 높은 보안성 향상
- AWS에서 비밀번호 정책 설정할 수 있는 방법
- 최소 암호 길이 설정
- 특정한 문자 유형을 요구: 대소문자, 숫자, 글자가 아닌 특수문자
- 모든 IAM 사용자가 자신의 비밀번호를 변경하도록 허용
- 일정시간이 지난 후 혹은 주기적으로 비밀번호를 변경할 수 있도록 요구 (ex. 90일마다 변경)
- 암호 재사용 방지
→ 이러한 비밀번호 정책은 AWS 내에서 기본적으로 제공되는 설정과 함께 직접 커스텀할 수 있으며, 무차별 공격에 도움이 됨
Multi Factor Authentication - MFA
→ aws에서 꼭 사용해야하고 추천하는 기능 중 하나
- 사용자는 우리의 계정에 접근하고 많은 것을 할 수 있다. 특히, 그 계정이 관리자 계정일 경우 구성을 바꾸고 리소스를 삭제할 수 있다.
- 루트 계정과 IAM 사용자는 보호해야 한다.
🔐 MFA
우리가 알고있는 비밀번호와 개인이 소유하고 있는 보안장치의 조합
예를 들어 Alice는 비밀번호도 있지만 MFA 생성 토큰도 있으므로 이 두가지를 사용하여 로그인을 할 수 있다.
▶ MFA의 경우 해킹을 당해 비밀번호를 잃어버려도 사용자의 MFA 토큰 키를 입력할 수 있는 물리적 장치를 보유해야 로그인할 수 있다는 장점이 있다.
MFA devices options in AWS
- Virtual MFA device: Google Authenticator, Authy
→ 하나의 장치로 여러 개의 토큰을 지원 - Universal 2nd Factor (U2F) Security Key: YubiKey (by Yubico) → aws 내의 기능이 아니라 제3자의 장치
→ 단일 보안 키로 다중 루트와 IAM 사용자 지원 - Hardware Key Fob MFA Device: Provided by Gemalto
- Hardware Key Fob MFA Device for AWS GovCloud (US): Provided by SurePassID
AWS Access Keys, CLI and SDK
How can users access AWS?
- AWS 관리자 콘솔을 통해 접근 (비밀번호와 MFA로 보호)
- AWS Command Line Interface 즉, CLI를 통해 접근 (access key를 통해 보호)
- AWS Software Developer Kit 즉, SDK를 통해 접근 (access key를 통해 보호)
⁉️ Access Key는 어떻게??
Access Key는 AWS 콘솔을 통해 생성하며, 사용자는 자신의 access key를 관리할 수 있다. 이 Access Key는 비밀번호와 같이 공개되고 공유해서는 안된다.
→ Access Key ID는 username, Secret Access Key는 password와 유사한 개념으로 볼 수 있다.
What's the AWS CLI?
command-line shell을 통해서 명령어를 작성하여 AWS 서비스와 상호작용할 수 있도록 하는 도구로, CLI를 통해 AWS 서비스의 공용 API에 직접 액세스할 수 있다. 또한, 스크립트를 개발하여 리소스 관리 및 자동화가 가능하다. AWS 관리 콘솔을 사용하지 않고 CLI만 사용하는 사람들도 있다.
What's the AWS SDK?
AWS SDK는 AWS Software Development Kit로, 라이브러리 세트이다. AWS 서비스에 프로그래밍적으로 접근하고 관리할 수 있다. SDK는 터미널이 아닌 애플리케이션 안에 삽입하여야 한다. 다양한 프로그래밍 언어를 지원하고, 모바일, IoT 장비 등과 같은 다양하게 활용된다.
IAM Roles for AWS Services
AWS 서비스는 우리를 대신하여 작업을 수행한다. AWS 서비스가 작업을 수행하기 위해서는 적절한 권한을 부여해주어야 한다. 이때, 권한은 'IAM Roles'를 통해 부여할 수 있다. IAM Role에 대해 자세히 설명하면 다음과 같다. 위 이미지와 같이 가상 서버인 EC2 인스턴스를 하나 만들고 해당 인스턴스가 AWS로 어떠한 작업을 수행하고자 한다면 이 작업과 관련된 권한을 EC2 인스턴스에 주어야 하고 이를 IAM Role을 사용하여 한다.
▷ Role을 생성할 때는 수행하고자 하는 서비스와 관련된 역할로 부여하고 싶은 정책을 추가하여 생성할 수 있다.
IAM Security Tools
- IAM Credentials Report (account-level)
- 모든 계정 사용자와 다양한 자격 증명의 상태를 포함하고 있는 보고서
- IAM Access Advisor (user-level)
- 사용자에게 그 서비스가 마지막으로 엑세스된 시간을 포함하여 승인된 서비스 권한을 보여줌
- 어떤 권한이 사용되지 않았는지 볼 수 있고, 사용자가 얻을 수 있는 최소 권한의 원칙과 관련된 내용
IAM Guidelines & Best Practices
- AWS 계정을 설정할 때를 제외하고 루트 계정을 사용하면 안됨.
- AWS user 한명이 물리 사용자 하나와 같음. → AWS를 사용하고 싶다는 사람이 있다면 추가로 사용자를 생성하는 용도로만 써야함.
- 그룹에 사용자를 할당할 수 있고, 그룹에 권한을 할당할 수 있음.
- 강력한 암호 정책 설정.
- MFA 설정으로 더욱 안전함을 보장할 수 있음.
- AWS 서비스에 권한을 줄때마다 역할을 생성하고 사용해야 함.
- 프로그래밍적(CLI, SDK)으로 접근하기 위해 Access Key를 사용함.
- 계정에 대한 권한을 편집하기 위해서는 IAM Credentials Report나 IAM Access Advisor을 사용할 수 있음.
- IAM User와 Access Key는 절대 공유하지 말기
📂 Summary
- Users: AWS 콘솔 암호를 갖고 있는 사용자로, 회사(기관) 내 실제 유저와 매핑됨
- Groups: 사용자들을 그룹으로 묶을 수 있음
- Policies: Users와 Groups의 권한을 정의한 JSON 문서
- Roles: EC2 인스턴스 혹은 AWS 서비스를 위한 역할
- Security: MFA와 Password 정책
- AWS CLI: command-line을 사용하여 AWS 서비스를 관리
- AWS SDK: 프로그래밍 언어를 사용하여 AWS 서비스를 관리
- Access Keys: CLI 혹은 SDK를 사용하여 AWS에 접근하고자 할 때 필요한 것
- Audit: IAM Credential Reports & IAM Access Advisor
'Cloud > AWS' 카테고리의 다른 글
| [AWS SAA] EC2 - Solutions Architect Associate Level (1) | 2025.04.13 |
|---|---|
| [AWS SAA] EC2 Fundamentals (1) | 2025.04.13 |
| [AWS SAA] AWS Cloud Overview (0) | 2025.04.05 |
| [CI/CD] Blue/Green 무중단 배포 - EC2 (0) | 2024.09.18 |
| [CI/CD] Blue/Green 무중단 배포 - VPC (0) | 2024.09.17 |
