골든위크도 끝났으니 AWS의 IAM을 잘 이해해야 한다

국제 회계 준칙

AWS를 사용하면 피할 수 없는 것은IAM이다.
귀에 거슬리는 것은 Identify and Access Management의 생략으로 AWS에 대한 접근을 제어하는 것이다.
사전에 알지 않으면 납치당할 때 대량의 실례 청구가 무단으로 성립될 위험성이 있기 때문에 미리 파악할 필요가 있다.
우선, AWS에는 두 개의 계정이 있다.

AWS 계정

루트 계정 중 가장 강한 계정

모든 서비스 작업(시작/삭제/변경 etc...)지원

조작 주의!!

평소의 사용을 최대한 피하고 MFA를 유효화해야 한다

IAM 계정

관리 콘솔에서 작업할 때, API 작업에 사용할 계정

IMA 계정은 각각 얼마나 많은 서비스를 설정할 수 있는지 상세하게 정의할 수 있다

이 계정에 대해서도 권한을 강하게 하거나 처리를 요청할 수 있는 내용은 AWS 계정과 마찬가지로 MFA를 유효하게 한다

이른바 MFA

Multi-Factor Authentication

로그인 시 ID/PW로 로그인하여 MFA를 추가로 유효하게 만듭니다

.

IAM 정책이란

IAM 정책은 3가지 규칙에 따라 각 서비스를 사용할 때 기능을 설정합니다.

Action - 어떤 서비스

Resource - 어떤 기능의 범위(시작/삭제/변경 etc...)

Effect - 라이센스 또는 거부

이 정책에는 다음 두 가지가 있습니다.

AWS Managed Policies

AWS가 최초로 설정한 정책

Customer Managed Policies

사용자가 독립적으로 만든 정책

IAM 스크롤 막대

AWS 리소스 액세스 권한이 임시로 부여된 경우 사용

AWS 리소스에 대한 권한 부여

계정 간 액세스

ID 제휴

Wed ID 제휴

MFA 효율화

서비스 일람표에서 IAM를 선택하면 다음과 같은'루트 계정을 유효화하는 MFA'부분이 나오니 여기서 클릭MFAの管理
실제 MFA를 사용하는 애플리케이션(Google Authenticator 사용 중)에서 QR 코드를 읽고 표시된 코드를 입력하면 MFA가 적용됩니다.

IAM 실제 제작

3step로 가요.

그룹의 제작

Role 제작

User 제작

1. 그룹의 프로듀싱

서비스 매트릭스에서 IAM

선택

왼쪽 메뉴에서 그룹

을 선택합니다.

새 그룹 만들기

선택

이름 입력admin 등)

필터에서 "AWS 관리 정책"을 선택하면 위에서 설명한 AWS Managed Policies의 정책 일람

을 선택할 수 있습니다.

작업 기능에서 요청 및 지원 사용자와 같은 향상된 정책을 설정할 수 있음

화면에 문제가 없음을 확인하면'창설팀'으로 제작

2. 롤의 작업.

EC2, 능RDSの読み込み/S3の読み込み에 대한 캐릭터를 만들어 보세요.

왼쪽 메뉴에서 역할

을 선택합니다.

EC2

선택

AmazonRDSReadOnlyAccess 및 AmazonS3ReadOnlyAccess를 선택하여 생성

완성된 정책을 보면 이런 느낌

3. User의 제작

왼쪽 메뉴에서 사용자

를 선택합니다.

사용자 추가

선택

이번에는 관리 콘솔에서 접근하는 계정 만들기

또한, 팀은 방금 제작한 팀과 관련

IAM 사용자의 로그인 방법

1. 제작이 완료되면 비밀번호가 표시되는 화면이 한 번 나타날 테니 미리 기록해 주세요.

2. 작성 후 사용자 > 인증 정보에 コンソールログインのリンク가 기재되어 사전 복사

3. 처음 로그인할 때 1시에 기록된 비밀번호로 로그인

4. 로그인에 성공하면 비밀번호 변경이 지시되므로 미리 변경

5. 강경한 정책을 배정했다면 MAF를 반드시 유효화해야 한다