잘 생각해봐, IAM이라면

입문

AWS를 사용할 때 반드시 사용해야 하는 IAM입니다.
아무래도 사용하는 경우도 많을 것 같은데.
IAM을 생각할 기회가 있어서 좀 더 정리하고 싶어요.

카탈로그

IAM은

IAM 정책이란

IAM 설계에서 주의해야 할 네 가지 사항

정식 운용을 감당할 수 있는 IAM은

1. IAM이란 무엇인가

AWS Identity and Access Management(IAM)

AWS 리소스에 대한 안전한 액세스 관리

다음 방법 중 하나를 통해 액세스 라이센스 부여

적절한 액세스 라이센스 정책이 추가된 그룹의 구성원이 됨(권장)

사용자에게 정책을 직접 추가

2.IAM 정책이 무엇인가

AWS 액세스를 관리하기 위해 권한이 정의됩니다.
IAM 정책에는 6가지 유형이 있습니다.
1. 신분 기반 정책
2. 자원 기반 정책
3. 권한 경계
4. SCP 구성
5. ACL(액세스 제어)
6. 세션 정책
그 중에서 신분을 바탕으로 하는 전략은 크게 세 가지로 나뉜다.

AWS 관리 정책

AWS가 수립하고 관리하는 독립 정책

고객 관리 정책

AWS 사용자가 만들고 관리하는 독립 정책

내연 정책

IAM ID(사용자, 그룹 또는 역할)가 포함된 정책

3. IAM 설계에서 주의해야 할 4가지

개인적인 소감이지만 IAM에서 디자인할 때 다음과 같은 사항을 주의해야 한다.

권한은 어떻게 부여합니까?

IAM 롤러

IAM 그룹

내연정책

권한이 자주 변경됩니까?

사용 권한 모드가 많습니까?적어요?

자신의 권한 규칙이 필요합니까?

4. 활용 가능한 IAM은

흔한 패턴을 생각해 볼게요.

권한을 부여하는 방법은 IAM 그룹입니다.

부여된 권한은 빈번하게 변경될 가능성이 높다

사용 권한 모드 감소

자신의 권한 규칙이 필요하다

상술한 내용을 만족시키기 위해서 나는 무엇을 해야 할지 고려할 것이다.
1. 필요한 AWS 관리 정책을 찾습니다.
2. 요구 사항에 맞는 고객 관리 정책을 만듭니다.
3. AWS 정책과 고객 관리 정책을 결합한 IAM 그룹을 만들어 필요한 권한 요구를 충족시킵니다.
4. 생성된 IAM 그룹에 해당 IAM 사용자를 추가합니다.
그림 참조.

나는 이 디자인의 장점이 다음과 같다고 생각한다.
1. AWS 관리 정책과 고객 관리 정책을 결합하여 권한 요구를 충족시키면 유지보수 대상 정책을 축소할 수 있다
2. 권한 모드에 따라 IAM 그룹을 만들기 때문에 부여된 권한을 변경할 때 IAM 그룹만 변경하면 된다
반면 단점은 다음과 같다.
1. 권한 모드가 많고 IAM 그룹이 난립합니다.
2. 정책 조합은 복잡한 권한 규칙을 표현하기 어렵다

마지막

IAM은 AWS 액세스 관리에서 매우 중요한 서비스입니다.
권한 설정이 잘못되면 AWS 계정에 대한 불법 액세스가 허용되며 손실은 가늠할 수 없습니다.
적절한 권한을 설정하여 AWS를 안전하게 사용하십시오.

참고 자료

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/introduction.html
https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access_policies_managed-vs-inline.html