IAM 사용자, IAM 그룹, IAM 정책, IAM 역할 정보

이번엔 읽은 것AWS 얄팍한 책 IAM의 열광적인 말에서 배운 IAM의 일부분을 설명해 드리겠습니다👨‍🏫

IAM 사용자 정보

콘솔에 로그인할 때 사용할 인증입니다.
프로그램을 통해 로그인할 수 있는 접근 키도 발행할 수 있다
이유가 없으면 하지 않는 게 좋을 거야.
액세스 키를 발행할 때 관리에 주의하고 최소 권한을 설정하십시오.
IAM 사용자는 각 사용자에 대해 릴리즈됩니다.
최초의 IAM 사용자를 만들기 위해 루트 사용자를 사용한 후
IAM 사용자가 작업을 수행합니다.

IAM 그룹

동일한 역할을 하는 IAM 사용자를 그룹화하는 기능
IAM 사용자에게 직접 권한을 부여하면 과도한 권한을 부여하거나 오히려 권한이 부족할 수 있습니다
IAM 사용 시 IAM 사용자에게 직접 권한이 부여되지 않음
IAM 그룹에 대한 권한 부여를 권고합니다.

IAM 정책

JSON 형식으로 기술하여 어떤 서비스를 허가하는지 등 권한의 통제를 총괄하였다.
"(Action) 어느 AWS 서비스"의 "Resource(어떤 자원에 대한 어떤 조작)"를 "Effect(허가 또는 불허가)"로 설정할 수 있는 사람은 누구입니까?

// s3リソースに対してGetとListをそれぞれ許可する
{
  "Version":"2012-10-17", //最新バージョンである"2012-10-17"を指定する
  "Statement":[
    {
      "Effect":"Allow",   //許可(拒否する場合はDeny)
      "Action":[          //許可または拒否するアクションのリスト
        "s3:Get*",
        "s3:List*"
      ]
    }
  ],
  "Resource": "*"
}

AWS가 최초로 설정한 정책을 AWS 관리 정책이라고 한다.
각 사용자가 각각 설정한 정책을 고객 관리 전략이라고 부른다.
내부 전략도 있지만 기존 기능이기 때문에 생략합니다.
가장 좋은 실천이 적혀 있다고객 관리 정책 사용.
권한의 설정 방침으로서 가법으로 AWS 관리 전략(필요한 권한의 허가)을 설정하고 감법으로 고객 관리 전략을 설정한다(권한의 거부가 필요하지 않다).
IAM의 모범 사례라고 합니다최소 사용 권한 설정 사용.
목적에 따라 최소 권한을 설정합니다.

IAM 스크롤 막대

AWS 서비스 및 응용 프로그램에 AWS 작업 권한을 부여하는 구조입니다.

경계 해석(Permissions Boundary)

IAM 사용자 또는 IAM 스크롤에 대한 액세스 권한 동작으로서 IAM의 양도 권한을 제한합니다.
IAM 사용자(또는 IAM 역할)에서 승인된 권한 및 boundary 라이센스 권한
중첩 부분에만 유효합니다.
바운더리가 허가하지 않는 한 IAM 사용자(or IAM 역할)에서
얼마나 많은 권한을 설정하든지 간에 사용할 수 없다.
일반적으로 조직 밖의 타인에게 권한을 줄 때 사용한다.
한정된 권한을 가진 IAM 사용자를 빌려준 뒤 바운더리를 이용하면
기대 이상의 권한을 전달하는 것을 방지할 수 있다.

최후

처음에는 권한을 부여받은 쪽일 수도 있으니 너무 신경 쓸 필요 없어요
IAM의 권한 설정에 따라 악의적인 사람이 진행하면 곤란합니다
권한을 설정하고 싶어요.😊

참고 자료

AWS 얄팍한 책 IAM의 열광적인 말
IAM 정보(공식)
IAM 모범 사례
IAM 정책
IAM 정책(클래스 메서드)