AWS IAM(Identity and Access Management) 알아보기

안녕하세요!
오늘은 AWS IAM, 루트사용자에 대해 알아보겠습니다.

| IAM(Identity and Access Management)

IAM은 AWS의 사용자, 그룹 및 리소스 역할을 정의하고 AWS의 액세스 권한을 관리하는 시스템 즉 프레임워크입니다.

IAM은 조직 내의 사용자, 그룹 및 역할을 식별하고, 시스템, 애플리케이션, 데이터 등에 대한 액세스 권한을 관리합니다.

| 루트 사용자AWS 계정을 생성하고 콘솔에 로그인하면 사용하는 계정이 루트 사용자입니다.
루트 사용자의 경우 AWS의 모든 리소스에 접근할 수 있는 매우 강력한 접근 권한을 가졌습니다.
보편적으로 루트 사용자는 AWS의 계약 해지나 사용자 관리 등 특수한 작업 이외에는 이용하지 않고, 
대신 통상적인 개발에 사용하는 일반 사용자(IAM 사용자)를 만들고 권한을 부여합니다.

 

 

1.  AWS 계정 루트 사용자의 액세스 키 잠금

루트 사용자는 강력한 접근 권한을 가지므로, 일반적으로 루트 사용자의 권한을 이용해 프로그램으로 AWS의 리소스를 조작하는 것을 권장하지 않습니다. 따라서 루트 사용자의 액세스 키는 없는 상태로 둬야 합니다.
일반적으로 계정을 생성한다면 루트 사용자의 액세스 키가 생성되지 않지만, 무언가 다른 조작으로 생성되면 아래와 같이 삭제하면 됩니다.

 

 

가. 보안 자격 증명 관리 화면 열기

 

 

 

나. 액세스 키 삭제

삭제 버튼을 누르면 액세스키가 삭제되고 삭제가 완료되면 `삭제됨`으로 바뀝니다.

 

 

 

2. 개별 IAM 사용자 생성

일반적으로 개발, 조작을 하는 일반 사용자인 IAM 생성해 보도록 하겠습니다.

 

 

가. IAM 대시보드에서 `사용자 추가` 실행

 

사용자 추가 버튼을 클릭합니다.

 

 

 

나. 사용자 세부 정보 설정 

사용자의 이름을 중복되지 않게 넣어줍니다.

액세스 유형은 둘 중 하나는 선택해야 합니다.

엑세스 유형	설명	주요대상
프로그래밍 방식 액세스	AWS가 제공하는 API나 SDK 등을 이용해 직접 서비스를 조작하는 사용자	프로그램
AWS 관리 콘솔 액세스	콘솔 화면을 이용해 리소스를 조작하는 사용자	사람

 

 

다. 권한 설정

다음에서는 그룹에 따른 권한을 부여할 수 있습니다.
이미 원하는 권한을 부여한 그룹이 있다면 해당 그룹에 사용자를 추가해 줍니다.
또는 원하는 권한을 가진 사용자의 권한을 복사하여 권한을 부여할 수도 있습니다.
마지막으로는 직접 권한을 선택해서 부여할 수 있습니다.

 

 

라. 태그 추가

태그 추가는 선택사항입니다.  태그 추가 항목에서는 지정한 이름 외에 사용자를 식별하는 정보를 입력합니다.
수백 명의 대규모로 등록할 때는 이름, 관리자, 부서 이름, 역할 등을 추가하여 관리합니다.

 

 

다. 생성

사용자 생성 버튼을 클릭하면 작성된 정보에 문제가 없다면 사용자가 생성됩니다.

 

 

 

 

3. 사용자 그룹 생성 및 접근 권한 할당

 

 

가. 사용자 그룹 생성하기

IAM 대시보드에서 사용자 그룹을 클릭한 후 그룹 생성 버튼을 눌러줍니다.

 

 

나. 그룹 이름 설정

그룹의 이름을 설정해 줍니다. 역할을 알기 쉽게 Student라고 설정하겠습니다.
이름을 설정 후 다음 버튼을 클릭합니다.

 

 

다. 권한 정책 설정(연결)

AWS에서는 다양한 리소스를 제공하는 만큼 각각의 개별적으로 접근 권한을 부여하는 것은 현실적이지 않습니다.
대신 여러 리소스의 접근 권한을 묶은 정책(policy)을 제공하며, 이 정책을 그룹에 연결(설정) 할 수 있습니다.

 

생성하고자 하는 그룹 권한을 선택한 후 그룹을 생성합니다.
각 권한에 대한 세부 내용은 추후에 다루도록 하겠습니다.

.

 

라. 그룹에 사용자 추가

생성된 그룹에 IAM를 추가할 수 있습니다.
사용자 추가 버튼을 클릭합니다. 추가하고자 하는 사용자를 선택하여 사용자 추가 버튼을 클릭하면
그룹에 사용자가 추가되며, 설정된 권한을 부여받게 됩니다.

 

 

 

4. 사용자에 대한 암호 정책 구성

AWS에서는 쉬운 비밀번호를 사용하지 못하도록 비밀번호 내용이나 기한에 제한을 추가할 수 있습니다.

계정 설정에서 암호정책 편집을 클릭합니다.

원하는 방식의 암호정책을 선택하고 변경 사항을 저장합니다.

 

과학기술정보통신부 한국인터넷진흥원:패스워드 선택 및 이용안내서
https://www.kisa.or.kr/2060305/form?postSeq=14&page=1

KISA(과학기술정보통신부 한국인터넷진흥원)에서는 시대에 맞는 안전한 비밀번호 규칙을 공개함으로 참고하시기를 바랍니다.

 

감사합니다.