AWS: IAM (Identity and Access Management)

기본적으로 AWS 콘솔을 사용하기 위해서는 어떤 권한을 가진 유저로 접속을 해야한다. 그래서 처음 가입하게 되면 root 권한(모든 권한, 즉 그냥 Business 그 자체)으로 접속할 수 있는 데, 너무 많은 권한을 가지고 있기 때문에 필수 권한만 따로 만들어서 관리하는게 전체적으로 보안도 유지할 수 있고 생성 및 삭제를 통해 관리하기도 쉬워진다.

 

대시보드 > 사용자 > 사용자 생성

 

 

목표는 AWS Certified Solutions Architect - Associate 이기 때문에 Identity Center 사용자가 아닌 IAM 사용자로 생성하면 된다.

 

그 다음은 권한을 설정하는 페이지가 나온다. 권한을 생성한적 없는 경우 새롭게 권한을 설정하라고 나오는데, 이때 Administrator Access 를 넣어서 admin 으로 생성해 주자.

 

태그는 말 그대로 선택사항이다.

 

 

생성을 완료하면 사용자나 사용자 그룹에서 확인이 가능하다. 이렇게 생성된 정보는 JSON 형태로도 확인이 가능하다. 이렇게 권한을 설정하고 정책을 설정해서 어디에 접근이 가능하고 어떤 동작들을 제한하는지 설정할 수 있다.

 

유저에 직접 권한 설정 하거나, 그룹을 설정해서 그룹에 부여된 권한을 상속받거나 할 수 있다.

 

 

이번에 root 계정을 대신해서 사용할 IAM 계정에 부여한 Administrator Access 권한을 들여다 보면 모든 리소스에 접근이 가능하도록 설정되어 있는 것을 확인할 수 있다.

 

 

 

IAM 에는 역할(Role)이라는 구성이 있는데, 이는 AWS 에서 어떤 동작을 하기위한 permission 을 주는 것으로 해석하면 된다.

예를 들어, 유저(사용자)가 AWS 에 접근해서 어떠한 동작을 하기 위해서는 권한이 필요한데 만약 필요한 접근을 허가해 둔 정책을 상속받은 그룹에 속해 있으면 바로 접근이 가능하겠지만 모든 유저에게 정책을 부여해서 지속적으로 접근이 가능하게 하는건 보안적으로 위험한 방법일 수 있다.

그래서 정책을 유저에게 부여하는 것이 아닌 역할(Role)에 부여하여 접근을 임시적으로 허가하는 방식을 사용하게 한다.

예를 들어 EC2 인스턴스를 생성해야하는 작업이 있다.

유저에게 정책을 부여하여 접근을 가능하게 할 수도 있지만 IAM role 에 정책을 부여한 뒤 해당 Role 을 유저에게 부여하여 접근을 허가할 수도 있다는 것이다.