AWS IAM

IAM(Identity and Access Management) : AWS 권한 관리 서비스

처음 AWS 계정을 이메일로 생성하면 SSO ID 가 생기고, 루트 권한이라 함

사내에서 AWS 이용시 각자 부서/팀별 계정 생성하여 부여함

이때 IAM 이용하여 필요한 권한 세분화하여 Role 부여해서 불필요한 접근 막음

IAM에서는 AWS 계정인증에 MFA(Multi Factor Authentication) 지원

여기서 multi factor 란…

• 자식 기반 : ID/PW와 같이 알고있는 인증정보 이용
• 소유 기반 : 휴대폰 SMS등 사용자 소유한것 이용
• 속성기반 : 고유의 지문, 홍채등 속성 이용

이 있다…

IAM의 4가지

• IAM User - 사용자

• IAM GROUP - 사용자 그룹

• IAM Role - 권한 ( 사용자 개인 또는 그룹에게 할당됨)

• IAM Policy - 정책 (Resource에 접근하는 Entity를 정의함), Json 형식으로 작성됨

  “Version” : “IAM Policy JSON 문서의 양식 버전”

  “Statement” : “배열 구조, 정책 부여하는 요소 나열”

  {
  	"Statement" :[
  	{
  		"Effect" : "Allow",
  		"Action" : "s3:GetObject",
  		"Resource" : "arn:aws:s3:::test\\*",
  		"Principal" : {"AWS" : "arn:aws:iam::AWS-account-ID:user/user-name"}
  	}
  ]
  }
  

  Effect : Alloy, Deny 들어감

  Action : 문자열로 정의하며, 여러 Action을 한번에 지정하는 경우 배열 사용

  Principal : 리소스에 접근 허용, 불허용되는 보안 주체를 지정, User, Group, Role 넣을 수 있다

  Resource : ARN 들어감

  형식 : arn:partition:service:region:account-id:( resource-type[ / | : ] ) resource-id

  • partition : 리소스 있는 파티션
  • service : 서비스 명 (s3)
  • region : 지역
  • account-id : 하이픈 없이 리소스 소유하는 AWS 계정 ID
  • resource-id : 리소스 식별자

IAM을 사용하여 계정, 그룹 만들고 정책과 연결 가능하다..!