AWS/ AWS - 2. IAM(Identity and Access Management)
2023-11-28 14:21:06
728x90
728x90

1. IAM(Identity and Access Management)

AWS의 리소스 접근을 안전하게 관리하는 시스템으로, 주로 인증과 접근 허가 기능을 구현한다.

 

1.1. 인증

인증이란 현재 이용하는 사용자가 누구인지에 관한 정보를 AWS에 전달하는 과정이다. 사용자에게는 각각 고유한 ID가 제공된다. 이 ID와 진짜 사용자만 알 수 있는 정보를 함께 로그인 정보로 입력한다.

 

1.2. 접근 허가

접근 허가란 AWS 사용자가 어떤 기능을 사용할 수 있는가를 관리하고 허가하는 것이다. 예를 들어 '일반 사용자는 서버를 새롭게 만들 수 없지만, 관리자(작성 권한을 가진 사용자)는 만들수 있다'와 같이 구별할 수 있다.

 

1.3. 루트 사용자

루트 사용자는 AWS의 모든 리소스에 접근할 수 있는 매우 강력한 접근 권한을 가진 계정이다. 따라서 루트 사용자는 AWS의 계약 해지나 사용자 관리 등 특수한 작업 이외에는 이용하지 않고, 대신 통상적인 개발에 사용하는 일반 사용자(IAM 사용자)를 만들고 권한을 부여한다.

 

1.4. 사용자와 그룹

접근 허가를 이용해 사용자별로 접근 허가를 설정할 수도 있다. 사용자 수가 적다면 큰 문제가 되지 않지만 사용자가 늘어나면 개별 접근허가를 설정하기란 어렵다. 또한 설정 누락이 발생하기도 한다. 이런 경우를 대비해 그룹을 이용한 접근 허가 관리 방법도 제공한다.

그룹을 이용하면 접근 허가를 사용자가 아닌 그룹에 부여한다. 그리고 해당 그룹에 포함된 사용자는 그룹에 부여된 접근 권한을 가진 것으로 간주한다. 이렇게 하면 사용자 수가 아무리 많아도 접근 허가는 그룹에 대해서만 수행할 수 있어 편리하다. 그리고 새로운 사용자를 생성했을 때는 대상 그룹에 포함하기만 하면 되므로 설정 누락도 발생하지 않는다. 따라서 사용자 수가 적더라도 사용자와 그룹을 이용해서 관리할 것을 권장한다.

 

2. AWS 계정 루트 사용자의 액세스 키 잠금(Access key)

AWS에서는 사용자가 대시보드 등을 이용해 대화형으로 조작하는 방법 외에 프로그램을 통해 리소스를 조작하는 시스템도 제공한다. 사용자가 조작할 때는 ID와 비밀번호를 이용하지만 프로그램 등으로 조작할 때는 액세스 키라는 정보를 이용한다. 루트 사용자는 강력한 접근 권한을 가지므로, 일반적으로 루트 사용자의 권한을 이용해 프로그램으로 AWS의 리소스를 조작하는 것은 권장하지 않는다. 따라서 루트 사용자의 액세스 키는 없는 상태로 두는것을 권장한다.

 

우측 상단 사용자 드롭박스 -> Security credentials 

 

삭제할 Access key 라디오 버튼 체크 -> Actions 드롭박스 -> Delete

 

3. MFA 활성화

초기 상태에서는 루트 사용자는 메일 주소와 비밀번호의 조합만으로 로그인할 수 있다. 이것은 루트 사용자가 가진 권한의 강력함에 비해 상대적으로 안전한 인증 방법은 아니다. 따라서 더 안전한 방법이 필요하다. AWS에서는 비밀번호 + 인증 디바이스 두 가지로 MFA를 수행한다. 인증 디바이스에는 USB를 이용해 접속하는 유형과 소형 기기와 같은 전용 하드웨어를 이용하는 유형도 있다. 하지만 현재는 널리 보급된 스마트폰을 가상 MFA 디바이스로 이용하는 방법이 많이 쓰인다. 가상 MFA 디바이스를 이용하면 특정한 스마트폰으로만 생성할 수 있는, 유효 기간이 짧은 인증번호를 생성할 수 있다.

 

참고 : https://aws.amazon.com/ko/blogs/tech/all-for-mfa-in-aws-environment/

 

4. 개별 IAM 사용자 생성

루트 사용자는 강력한 권한을 가지므로 일상적인 개발 조작을 수행하는 일반 사용자인 IAM 사용자를 생성한다.

 

참고 : https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_users_create.html

5. 사용자 그룹을 이용한 접근 권한 할당

사용자 그룹에 접근 권한을 할당해 효율적으로 누락 없이 사용자에게 접근 권한을 부여한다.

 

IAM 서비스 -> Access management -> User groups -> Create group

 

group 이름 지정

 

group에 추가할 user 선택

 

group에 부여할 정책(policy) 선택 후 Create group

 

6. 사용자에 대한 강력한 암호 정책 구성

마지막으로 비밀번호 정책을 설정한다. 쉬운 비밀번호를 이용할 수 없도록 비밀번호 내용이나 기한에 제한을 추가할 수 있다.

 

IAM 서비스 -> Access management -> Account Settings -> Password policy Edit

 

사용할 암호 정책들 체크 후 Save changes

728x90
저작자표시

'AWS' 카테고리의 다른 글

AWS - 6. ELB(Elastic Load Balancing)  (0) 2023.12.02
AWS- 5. 웹 서버(Web Server)  (0) 2023.12.01
AWS - 4. 점프 서버(Jump Server)  (0) 2023.11.30
AWS - 3. Network  (1) 2023.11.29
AWS - 1. 개요  (0) 2023.11.27

티스토리툴바