AWS IAM이란 무엇입니까?

ID 및 액세스 관리(IAM)



이 기사는 AWS 솔루션 아키텍처 인증을 준비하는 데 도움이 되는 기사 시리즈의 두 번째 기사입니다. 이 기사에서는 AWS Solution Architecture Certification의 AWS IAM 부분을 다룰 것입니다.

YouTube에서 전체 동영상을 볼 수 있습니다.


학습 목표


  • IAM이란 무엇입니까
  • 루트 계정이란 무엇입니까
  • 정책이란 무엇입니까
  • 정책 문서란 무엇입니까
  • IAM 빌딩 블록
  • 최소 권한 원칙
  • ID 공급자

  • IAM이란 무엇입니까?



    IAM은 자격 증명 액세스 관리로 AWS에서 사용자 및 권한을 관리할 수 있습니다.
  • 무료 서비스이며 모든 AWS 계정에 포함됨
  • 사용자 계정 관리
  • 사용자 액세스 수준 관리
  • 권한 만들기
  • 그룹 및 역할 만들기
  • AWS 리소스에 대한 그랜드 액세스

  • 현재 IAM은 특정 지역에 속하지 않으며 글로벌 기능입니다.

    루트 계정이란 무엇입니까



    AWS 계정을 만들 때 사용한 이메일 주소입니다.
  • 전체 관리자 액세스 권한이 있습니다
  • .
  • 확보해야 함

  • 루트 계정을 보호하려면 MFA를 활성화해야 합니다.
  • MFA 활성화 ⇒ 가상 인증자 사용(스마트폰)
  • 관리자 권한으로 그룹 만들기

  • 정책이란 무엇인가



    AWS 리소스에 권한을 부여하기 위해 할당하는 규칙입니다. 정책에는 2가지 유형이 있습니다.
  • 기본 AWS 정책(옆에 아이콘이 있음)
  • 사용자 지정 정책

  • 정책은 시각적 편집기 또는 텍스트 편집기(JSON)로 만들 수 있습니다.

    Amazon의 미리 채워진 정책은 삶을 훨씬 더 쉽게 만들어주는 직책을 기반으로 합니다.

    인라인 정책은 한 번에 사용자 1명 또는 그룹 1명에게 부여됩니다. 보다 세분화된 액세스를 제공합니다.

    정책 문서란?



    권한을 할당하고 권한을 제거할 수 있는 정책 문서를 사용하여 사용자 작업을 제어하는 ​​데 활용할 수 있는 JSON 파일입니다.

    // This sample code give full admin to the IAM user
    {
        "Version": "2012-01-01",
        "Statement": [ // We are assigning an array or permissions
            {
                "Effect": "Allow", // what is the permission
                "Action": "*", // What can the user do
                "Resource": "*" // which resource the user can access
            }
        ]
    }
    


    정책 문서를 읽는 방법을 배우는 것이 정말 중요합니다.



    정책 문서를 사용자 대신 그룹으로 활용하는 것이 관리하기 더 쉽기 때문에 가장 좋은 방법입니다.



    IAM의 빌딩 블록은 무엇입니까





    사용자


  • 그것은 사람에게 속하며, 모든 사람은 자신의 계정을 가지고 있어야 합니다
  • 계정 공유가 허용되지 않음
  • 항상 암호 교체를 활성화합니다
  • .
  • 사용자를 만들 때 기본적으로 권한이 없습니다
  • .
  • 사용자를 생성할 때 2가지 옵션이 제공됩니다.
  • 콘솔: AWS 웹 포털에 액세스
  • 프로그래밍 방식: CLI를 통해 AWS에 액세스하고 액세스 ID, 액세스 키 및 암호도 생성합니다


  • 그룹


  • 작업 기능을 기반으로 사용자를 작업(QA, Devs, HR)에 따라 그룹화합니다.
  • 그룹에는 사용자 목록이 있습니다.

  • 역할



    사용자 또는 서비스에 대한 액세스 권한을 부여할 수 있습니다.
  • AWS 내부 내부
  • 추가 보안 계층
  • 사용자와 서비스 모두에 대한 권한 부여
  • 특정 AWS 기능이 다른 AWS 기능에 액세스할 수 있는 방법을 제공합니다
  • .



    최소 권한 원칙



    우리는 그룹, 사용자에게 액세스하고 작업을 수행할 수 있는 최소 권한을 할당합니다.

    ID 제공자



    SSO(Single Sign On)를 허용하여 사용자가 컴퓨터에 로그인하면 자동으로 AWS에 로그인됩니다. 이것이 작동하려면 AWS와 자격 증명 공급자 간에 신뢰를 설정해야 합니다.

    일반적으로 ID 공급자는 SAML을 사용하는 Microsoft Active Directory입니다.

    AWS CLI 명령



    CLI를 사용하여 AWS에 로그인

    aws configure
    


    AWS CLI로 사용자 생성

    aws iam create-user --user-name mohamad_test
    


    정책 만들기

    aws iam create-policy --policy-name custom-policy --policy-document file://policy
    



    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "s3:Get*",
                    "s3:List*"
                ],
                "Resource": [
                    "arn:aws:s3:::mohamad-bucket/shared/*"
                ]
            }
        ]
    }
    

    좋은 웹페이지 즐겨찾기