[ASC/클라우드컴퓨팅] AWS IAM 이란?

 

IAM 이란?

Identity Access Management

AWS 리소스를 안전하게 제어할 수 있도록 AWS 계정과 리소스의 권한을 관리하는 AWS 서비스 라고 한다.

* 리소스 ?
말 그대로 모든 자원을 뜻한다

 

사용자 구분

AWS에서는 사용자를 다양하게 구분하는데, 이는 루트계정, 사용자, 그룹 등으로 나눌 수 있다

AWS 에 가입했다는 것은 하나의 계정을 만들었다는 것을 뜻한다.

하나의 계정이 한 사람과 같다고 생각하면 안된다! 계정이 사람을 뜻하는 것은 아니다.

IAM Account (계정)

- 최초로 가입할 때 자동으로 생긴다
- 모든 권한을 가지고 있다

** 루트 계정을 털리게된다면.. 요금 폭탄을 맞을 수 있다 ..!! 조심하자

IAM User (사용자)

- 사람 한 명을 뜻한다 (두 명이서 하나의 user을 쓰면 안됨)
- 조직에 있는 사람 
- 그룹에 속할 수 있다
- 한 사용자는 여러 그룹에 속할 수 있다

IAM Group (그룹)

- 그룹의 권한을 정할 수 있다
- 그룹에 속한 사용자는 그룹의 권한을 가진다
- 그룹은 IAM User 만 포함할 수 있다
- 그룹이 다른 그룹을 포함할 수 없다

 

IAM Role (역할)

AWS 서비스를 요청하기 위한 “권한 세트"를 정의하는 IAM 기능이다. 권한이라 하면 정책(Policy)에 부여하는 권한과 같은 것을 의미한다.
신뢰할 수 있는 IAM 사용자나 애플리케이션 또는 AWS 서비스(예: EC2_)가 역할을 맡을 수 있다.

예를 들어 아무런 권한이 없는 IAM 사용자가 S3 버킷에 접근하기 위해 S3 Read 권한이 연결된 역할을 맡겠다는 요청을 보내면, 그 권한이 부여된 자격 증명을 얻게 되는 방식이다.

그리고 이렇게 역할을 맡게 되는 과정을 “임시 보안 자격 증명“이라고 한다.

 

IAM 권한 관리

그렇다면 Account, User, Group 의 권한은 어떻게 정해줄까?

바로 IAM Policy (정책) 을 사용하면 된다

IAM Policy (정책)

- json 문서로 정의 (미리 정의된 것들도 있다)
- IAM 사용자 / 그룹에 권한을 부여한다 -> 권한을 정의한 정책을 적용한다

 

** 주의할 점

(1)

역할(Role)과 IAM 사용자(User)는 권한(Policy)을 갖는다는 점에서 비슷하다
하지만 IAM 사용자는 딱 그 사용자에게만 권한이 적용되지만, IAM 역할은 그 권한이 필요한 사용자라면 얼마든지 획득할 수 있다

(2)

IAM User는 AWS 계정을 처음 만들었을 때 만든 루트 계정(email)이랑 완전 다르다. 왜냐하면 루트 계정은 모든 권한을 갖고 있고, IAM 사용자는 단지 루트 계정에 의해 만들어졌을 뿐이다. 

 

 

 

출처

https://jonnung.dev/posts/2021-01-28-aws-iam-role/#gsc.tab=0