AWS SAA - IAM

IAM

Identity and Access Management

하나의 사용자는 조직 내의 한 사람에 해당된다.
이들을 그룹으로 묶을 수 있다.

유저 혹은 그룹에게 정책이라 불리는 JSON 문서를 지정할 수 있다.
이렇게 함으로서 사용자들에게 권한을 부여할 수 있다.

the least privilege principle : AWS의 기본이자, 최소 권한 정책

루트 계정 대신 AdministratorAccess 정책을 할당한 IAM 유저를 사용하자

IAM Policies

정책은 그룹 단위로도 부여할 수 있으며, 사용자 개별에게 인라인 정책으로 부여할 수도 있다.

Structure

Version

정책의 언어 버전, 2012-10-17 등

Id

(선택적) 정책의 이름

Statement

정책의 내용

• Sid
  • (선택적) statement의 이름
• Effect
  • statement가 어떻게 작용할지
  • Allow / Deny
• Principal
  • statement가 어떤 사용자,계정,역할에 적용될지
• Action
  • statement가 다루는 API 호출의 목록
• Resource
  • action 이 적용될 리소스의 목록
• Condition
  • (선택적) statement가 언제 적용될지

{
    "Version": "2012-10-17",
    "Id": "S3-Account-Permissions",
    "Statement": [
        "Sid": "1",
        "Effect": "Allow",
        "Principal": {
            "AWS": ["arn:aws:iam::123456789012:root"]
        },
        "Action": [
            "s3:GetObject",
            "s3:PutObject"
        ],
        "Resource": ["arn:aws:s3:::mybucket/*"]
    ]
}

IAM Authorization

Password Policy

AWS에서는 다음과 같은 비밀번호 정책을 설정할 수 있다.

• 최소 비밀번호 길이
• 특정 문자를 포함시키기
• 사용자의 비밀번호 변경을 허가/금지하기
• 비밀번호 만료 기한 설정하기
• 비밀번호 재사용 허가/금지하기

MFA

Multi Factor Authentication을 통하면 더욱 강력한 보안을 달성할 수 있다.

최소한 루트 계정은, 혹은 모든 IAM 유저에게 MFA를 활성화하는것이 권장된다.

Universal 2nd Factor (u2F) Security Key 등 다양한 서드파티 MFA 사용도 가능하다.

IAM Roles

몇몇 AWS 서비스는 우리 계정의 권한 안에서 수행되어야 한다. 이를 위해, IAM 역할을 부여한다.

이를 위해 서비스에 권한을 부여하는 것이 IAM Role이다.

EC2 Instance Role, Lambda Function Role, CloudFormation Role 등 다양한 역할이 존재한다.

IAM Security Tools

IAM Credentials Report

자격 증명 보고서는 계정 레벨의 보안 도구이다.

보고서는 계정에 있는 사용자와 다양한 자격 증명의 상태를 포함한다.

IAM Access Advisor

액세스 관리자는 유저 레벨의 보안 도구이다.

사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 액세스한 시간이 표시된다.

어떤 권한이 사용되고 사용되지 않는지를 이용해 최소 권한의 원칙에 도움이 될 수 있다.

IAM Guildelines

루트 계정은 AWS 계정을 설정할 때 이외에는 사용하지 않을 것.

하나의 AWS 사용자는 한 명의 실제 사용자를 의미한다.

그룹으로 유저를 분류하여 그룹 단위로 권한을 관리할 수 있다.

MFA를 활성화하여 보안 수준을 높인다.

역할을 생성하여 AWS 서비스에 권한을 줄 수 있다.

Access key를 생성하여 CLI나 SDK에 사용할 수 있다.

계정을 감사할 때는 자격 증명 보고서나 액세스 관리자를 사용할 수 있다.