Etc/AWS 자격증 공부

IAM(Identity and Access Management)

곤프 2022. 7. 12. 20:38

IAM : Identity and Access Management

 

1. IAM은 리전 선택이 필요없는 글로벌 서비스 이다.

 

2. Root 계정은 계정에 대한 모든권한을 가지고 있기 때문에, 무엇이든 할 수 있다 = 따라서 위험한 계정이다!

   초기세팅 이후에는 보안을 위해 사용하지 말고 별도의 관리자 계정을 만들어서 사용해야 한다.

 

3. 한 명의 사용자에게 여러 그룹을 할당할 수 있다.

4. IAM 사용자 그룹은 다른 사용자 그룹에 속할 수 없다.

 

5. 사용자그룹(Users Group)과 역할(Role)에는 정책을 연결할 수 있다.

 

6. IAM Policy(정책)이란 AWS 서비스에 요청을 보내는 권한의 집합을 정의하고 IAM 사용자, 사용자 그룹 및 IAM 역할이 사용할 수 있는 JSON 문서이다.

 

7. 정책을 만드는 Json 정의 구조

8. 계정은 비밀번호외에 물리적 디바이스를 필요로 하는 MFA 보안을 적용할 수 있다.
(비밀번호 로그인 + 물리적 디바이스인 휴대폰에서 확인이 가능한 임시 비밀번호 2중 구조로 이해하면 됨)

 

9. IAM Role(역할)이란 AWS 서비스에서 서비스를 수행하기 위해 필요한 "역할"을 말한다.

     EC2 인스턴스에서 S3 객체에 대한 읽기가 필요하면 S3와 관련된 정책을 포함하는 Role이 필요!

 

10. IAM 보안도구(Secutiry Tools)

    IAM 자격 증명 보고서(IAM Credentials Report (account-level)는 계정 수준으로 가능하며, 사용자와 다양한 자격 증명의 상태를 포함하고 있는 보고서를 만들 수 있다.

    IAM 액세스 관리자(IAM Acess Advisor (user-level)는 사용자 수준으로 가능하며, 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 액세스한 시간 확인이 가능하다. 해당 사용자가 사용하지 않는 권한을 확인하여 사용자의 권한을 줄이는데 도움이 된다.