Identity and Access Management, Global service 글로벌 서비스로 ID와 접근 관리를 나타냄
Root account created by default, shouldn’t be used or shared 우리가 계정을 생성할 때 Root 계정은 이미 기본값으로 생성되므로 이는 내 계정의 Root 사용자
Users are people within your organization, and can be grouped IAM 안에서 우리가 사용자를 생성하면 하나의 사용자는 조직 안에서 하나의 사람을 대표하며, 그들은 그룹으로 할당됨 (묶임)
예) Alice, Bob, Charles, David, Edward, Fred 는 모두 나의 조직에 있는 사람 1. 개발자 그룹 생성 : Alice, Bob, Charles 2. 관리자 그룹 생성 : Dabid, Edward 3. 감사 그룹 생성 : Charles, David → 3개의 그룹이 생성되었으며, Charles와 David는 두 개의 다른 그룹의 부분이 됨 → 그룹들은 다른 그룹이 아닌 오직 사용자만 포함할 수 있으며, 몇몇 사용자들은 그룹에 속할 필요가 없을 수 있음
3개의 그룹 생성
IAM: Permissions
우리는 왜 사용자들을 만들고 그룹을 만들어야 할까? 우리가 생성한 사용자들에게 우리의 AWS 계정을 사용하도록 허락하기 위함
Users or Groups can be assigned JSON documents called policies 이를 위해 사용자들이나 그룹들은 JSON 문서에 할당되게 됨
EC2 사용 허가, 탄력적 로드 밸런싱 서비스 사용, 클라우드 워치사용자에게 허락된 것이 무엇인지 혹은 그룹이나 그룹안의 모든 사용자에게 허락된 것이 무엇인가 등이 나와있음 우리는 이처럼 이 정책을 사용해 우리의 사용자가 AWS의 몇몇 서비스를 사용하도록 허락하여 권한을 정의 모든 사람이 모든 것을 하도록 허락할 필요가 없으며, 그렇게 될 경우 너무 많은 서비스를 런칭할 수 있어 많은 돈을 지불하거나 보안에 유효하게 될 것이므로 최소 권한 원칙을 적용해야 함 In AWS you apply the least privilege principle: don’t give more permissions than a user needs 이는 사용자의 필요 이상의 허가를 줄 수 없게 함
<IAM 사용자 및 그룹 실습>
AWS 서비스 콘솔인 IAM
IAM은 지역 선택을 요구하지 않는 글로벌 서비스이므로 사용자와 그룹들이 세계적 흐름으로 생성됨
Root 사용자는 내 계정의 모든 허가를 가지고 있기 때문에 위험하므로 정말 필요할 때만 사용하므로 관리자 계정 생성
관리자 계정 만들기
액세스 관리 - 사용자 - 사용자 추가
사용자 세부 정보 설정
사용자 추가
권한 설정 : 그룹 생성 (admin) AdministratorAccess 라는 정책을 첨부하여 이 그룹 아래의 어떤 계정이든 내 계정의 관리자가 될 수 있도록 허락
그룹 생성권한 설정
태그 추가(선택 사항) 태그는 사용자들에 대한 조종 권한을 돕는 정보이며 특정 사용자들을 고려해서 추가하려는 정보
태그 추가
검토 사용자 이름 gagyeong는 관리 콘솔에 접근할 수 있는 비밀번호와 함께 생성되며, 그룹 admin에 속하게 되며 태그는 Departmnet: Engineering이 됨
검토
사용자 생성 특별히 비밀번호가 자동생성되는 경우라면 .csv를 다운받아야 하며, 이는 사용자의 자격증명을 포함하고 있음 또한 다른 사람을 위한 사용자를 생성하는 경우 로그인 지침을 특정 이메일로 전송 가능
사용자 생성 완료
탐험 (확인)
액세스 관리 - 사용자 그룹
adming 그룹 안에 하나의 사용자 gagyeong그룹 허가 AdministratorAccess : 그룹 안의 어떤 사용자에게도 모든 관리 접근권 제공
사용자 이름 클릭 or 액세스 관리 - 사용자
권한과 관리 정책 등이 관리 그룹 (admin) 에서 계승되어 있는 것 확인
IAM 사용자로 어떻게 로그인하는지
IAM 대시보드 - AWS 계정 - 계정 ID / 계정 별칭 계정 별칭은 계정에 더 빨리 로그인하기 위해 설정하는 것이며 이 숫자를 기억하기 어려우므로 계정 별칭을 생성
이 계정의 IAM 사용자를 위한 로그인 URL에 서명 복사 - 시크릿 탭 또는 다른 웹 브라우저로 열어 AWS 로그인 페이지 접속 - IAM 사용자 이름 및 생성한 비밀번호 입력 이는 IAM 사용자 페이지에 서명하는데 사용되며 IAM 사용자로 로그인한 것
IAM 사용자 로그인
Root 사용자 로그인과 IAM 사용자 로그인 차이 확인 Root 사용자 : 계정 ID IAM 사용자 : 계정 ID, IAM 사용자
