[AWS] IAM

IAM

AWS 접근할때는 루트 계정을 절대 사용해서는 안된다. 적절한 권한을 가진 사용자를 생성하여야 한다.

• 사용자 : 실자 사람
• 그룹 : 기능(관리자, 데브옵스) 팀(엔지니어링, 디자인)으로 사용자 그룹을 포함
• 역할 : AWS 리소스 내에서 내부적으로 사용
• 정책(JSON 문서) : 위의 각 항목이 수행 할 수 있는 작업과 수행 할 수 없는 작업을 정의

정책

• IAM 정책은 작업을 수행하는 방법에 관계없이 작업에 대한 권한을 정의합니다.
• 정책 타입
  • Identity-based 정책 : 관리형 및 인라인 정책을 IAM ID(사용자, 그룹, 역할)에 연결. Identity-based 정책은 ID에 권한을 부여합니다.
  • Resource-based 정책 : 가장 일반적인 예는 Amazon S3 버킷 정책 및 IAM 역할 신뢰 정책입니다. Resource-based 정책은 정책에 지정된 주체 엔터티에 권한을 부여합니다.
  • 권한 경계 : IAM 엔터티(사용자 또는 역할)에 대한 권한 경계로 관리형 정책을 사용. 해당 정책은 ID 기반 정책이 엔터티에 부여할 수 있는 최대 권한을 정의하지만 권한을 부여하지는 않습니다.
  • 조직 SCPs : AWS Organizations 서비스 제어 정책(SCP)을 사용하여 조직 또는 조직 단위(OU)의 계정 구성원에 대한 최대 권한을 정의.
  • 액세스 제어 목록(ACLs) : ACL을 사용하여 다른 계정의 주체가 ACL이 연결된 리소스에 액세스할 수 있는지 제어. ACL은 Resource-based 정책과 유사하지만 JSON 정책 문서 구조를 사용하지 않는 유일한 정책 유형입니다.
  • 세션 정책 : 역할 또는 페더레이션 사용자를 사용할 때 AWS CLI 또는 AWS API를 통해 고급 세션 정책을 전달. 세션 정책은 역할 또는 사용자의 ID 기반 정책이 세션에 부여하는 권한을 제한합니다.

모범 사례

• 한 사람당 하나의 IAM 사용자만 사용
• 하나의 애플리케이션당 하나의 IAM 역할만 사용
• IAM 자격 증명은 절대 공유해서는 안 됨
• IAM 자격 증명을 코드에 절대 작성하지 않음
• 초기 설정을 제외하고는 루트 계정을 사용하지 않음
• 사용자에게 작업을 수행하는 데 필요한 최소한의 권한만 부여하는 것이 좋음