IAM

◎ IAM(Identity and Access Management)

-> aws 리소스에 대한 접근을 안전하게 제어할 수 있는 서비스

-> aws 계정을 생성할 때 처음 만들게 되는 루트 계정은 aws 서비스에 대한 모든 권한을 가지고 있다. 모든 서비스와 리소스에 대한 접근 권한을 가지고 있는 계정이기 때문에 해당 계정이 탈취되거나 보안 상의 문제가 생길 경우 큰 피해를 입을 수 있다. 

-> aws에서는 루트 계정을 일상적인 작업에 사용하지 않기를 강력하게 권장한다.

-> IAM을 사용하면 사용자가 액세스할 수 있는 AWS 리소스를 제어하는 권한을 중앙에서 관리할 수 있다.

-> 암호나 액세스 키 없이 aws 계정의 리소스를 관리 및 사용할 수 있는 권한을 다른 사용자에게 부여할 수 있다.

-> 권한을 부여할 때 권한을 세분화해서 부여한다. 예를 들어 A사용자에게는 ec2 인스턴스를 관리하는 권한을 부여하고, B사용자에게는 S3 버킷 사용 권한을 부여할 수 있다. 

 

◎ IAM 사용자 생성

-> IAM에 들어가서 사용자 생성을 한다.

-> Identity center에서 사용자 지정을 선택한다. 

-> Identity center를 사용하면 애플리케이션에 대한 하위 사용자들의 권한을 중앙에서 쉽고 빠르게 할당하고 관리할 수 있다고한다. 현재 내가 진행하고 있는 프로젝트에서는 aws 사용자가 1명이지만 aws에서 권장을 하고 있어서 identity center를 이용해서 사용자를 생성했다.

 

-> aws 조직 생성을 누른다.

 

-> 그룹 생성한다.

 

-> 사용자 생성에 들어가서 사용자의 기본 정보를 입력하고 이전에 만들었던 그룹에 추가한다.

 

-> 생성하면 작성한 이메일 주소로 계정의 비밀번호를 지정하는 메일이 발송된다. 

-> Accept invitation을 눌러서 비밀번호를 설정한다.

-> 메일에 aws portal url 이 같이 오는데 이 경로로 들어간다.

-> 지금까지 만든 계정의 권한을 지정해준다.

-> 권한 세트에 들어가서 사용자 정의된 권한세트를 선택하고  aws 관리형 정책으로  AdministratorAccess를 선택한다.

-> 이후는 그냥 기본 세팅으로 맞추고 권한 세트를 생성한다.

-> 이제 Identity Center를 통해 생성한 관리자 iam사용자에게 권한을 부여한다.

-> IAM Identity Center의 다중 계정 권한 -> AWS 계정에서 관리 계정(루트 계정)로 들어가서 사용자 또는 그룹 할당으로 간다.

-> 이전에 만들었던 그룹을 선택하고 만들었던 권한세트를 선택하여 다음으로 넘어간다.

-> 제출을 누르면 권한부여가 된다.

 

-> 이렇게 AdministratorAccess 권한을 가진 IAM 관리자를 통해 하위 사용자에게 각각의 권한을 부여하고 관리할 수 있다.

 

◎ IAM VS IAM Identity Center

-> AWS를 보면 IAM과 IAM Identity Center라는 것이 있다.

-> 두 가지 모두 aws 리소스의 대한 접근과 권한을 안전하게 제어하도록 하지만 차이점이 있다.

-> IAM은 각 계정에 IAM 사용자를 생성해야 한다. 만약 A사용자는 admin 권한을, B사용자에게는 devleop 권한만을 주려고 한다면 A, B사용자에의 IAM 계정을 각각 생성해야 한다.

-> 예시의 상황은 사용자가 두 명 밖에 없으니 간단해보이지만 역할이 세분화되어 사용자가 많아진다면 각 사용자마다 IAM의 자격증명을 관리해야 한다.

-> IAM Identity Center로 한 번의 로그인을 통해 다양한 계정에 원하는 권한을 부여할 수 있다.

☆ 참고

https://www.youtube.com/watch?v=AKcz99E6ooQ

https://aws.amazon.com/ko/iam/identity-center/faqs/

https://growth-coder.tistory.com/115

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html