소개

AWS를 이용하여 시스템 개발을 할 때나 AWS 어소시에이트 시험의 공부를 하고 있을 때, “AWS의 리소스에 액세스하기 위해서는 IAM의 제어가 필요하지만, IAM은 실제로 어떻게 이용되고 있어?」라고 궁금해서 조사해 보았습니다. AWS 초보자이므로 잘못되면 지적해 주시면 도움이 됩니다.

IAM을 사용하여 AWS 리소스에 액세스하는 흐름

AWS 리소스에 액세스하는 방법

AWS의 BlackBelt IAM 문서에 따르면 AWS 리소스에 액세스하는 방법은 다음과 같습니다.

1. 프린시펄
2. 인증
3. 요청
4. 인가
5. 액션/오퍼레이션
6. AWS 리소스
예를 이용해 이 순서에 따라 기재해 나가려고 합니다.

사례 1: EC2 인스턴스에서 S3 데이터를 업데이트하는 방법

EC2가 S3에 액세스하려고 한다.

EC2에 부여된 IAM 역할에 따라 AWS STS가 작동하고 STS가 일시적으로 사용 가능한 자격 증명인 Credentials(액세스 키, 비밀 액세스 키, 토큰)를 지불합니다.

취득한 Credentials를 바탕으로 S3에 액세스한다.

S3은 역할에 첨부된 정책(아이덴티티 기반 정책), 리소스에 첨부된 정책(리소스 기반 정책) 및 ACL과 같은 기타 정책을 기반으로 권한 부여를 수행한다.

EC2에서 S3의 데이터를 업데이트하는 작업을 수행한다.

S3의 데이터가 갱신된다.

사례 2: 개발자 계정을 사용하여 프로덕션 S3 데이터를 업데이트하는 방법

전제로 개발자 계정에는 프로덕션 계정의 s3-role 인수를 허용하는 정책이 설정되어 있으며 프로덕션 계정에는 s3-role을 누가 맡을 수 있는지 정의한 신뢰 정책이 s3-role 설정되었습니다.

개발자가 프로덕션 S3 데이터를 업데이트하려고 합니다.

개발자 어카운트의 액세스 키에 의한 인증이 실행되어, s3-role을 맡아, 일시적인 자격 증명인 Credentials(액세스 키, 시크릿 액세스 키, 토큰)를 개발자 어카운트가 취득할 수 있다.

취득한 Credentials를 바탕으로 S3 API를 호출한다.

S3은 역할에 첨부된 정책(아이덴티티 기반 정책), 리소스에 첨부된 정책(리소스 기반 정책) 및 ACL과 같은 기타 정책을 기반으로 권한 부여를 수행한다.

S3 API에서 데이터를 업데이트하는 작업이 수행됩니다.

S3의 데이터가 갱신된다.

마지막으로

IAM을 이용한 AWS 리소스에 액세스하는 방식을 정리해 보았습니다. 업무에서도 AWS를 이용하고 있습니다만, AWS STS가 중요한 역할을 하고 있다고는 알지 못하고, 새로운 발견이었습니다.

참고원

· BlackBelt의 IAM 문서 : htps // d1. 아 wss c. 이 m / 우비나 rs / jp / pdf / 세르 r / s / 20190129_ 아 WS-B ぁ CK 벨트_아 M_파 rt1. pdf
· ID 기반 정책 및 리소스 기반 정책 정보 : htps : // / cs. 아 ws. 아마존. 이 m / 그럼 _ jp / 아 M / ㅁ st / 우세 r 굿이 / 아싯 s_ 뽀 시에 s_ 이덴치 ty-vs - 있을 것 같다 r 해. HTML
· IAM Role 이해
htp : // bg. 세 rゔぇr을 rks. 이. jp/테 ch/2018/02/16/응 rs한 rdd_이아 m_로ぇ/

기사내에 잘못이 있으면 지적해 주시면 기쁩니다!