AWS IAM (Identity and Access Management)

IAM 이란?

AWS  IAM (Identity and Access Managemen)은 AWS 리소스 액세스에 대해 안전하게 제어할 수 있게 해주는 AWS 웹 서비스이며 IAM을 사용하여 해당 유저와 그룹의 접근할 수 있는 권한을 중앙에서 관리할 수 있습니다

 

사용 이유

많은 인원이 하나의 계정을 사용하는 것 보단 각각의 제한되게 부여받은 계정을 가질수 있으며 그 계정들의 권한을 중앙에서 한번에 관리할 수 있어서 사용

 

사용법

AWS 계정을 생성하면 기본적으로 해당 계정에 모든 AWS 서비스 및 리소스에 대한 완전한 권한이 있는 단일 로그인 ID가 부여됩니다
이 ID를 root user(루트 사용자)라고 하며 일반적인 작업에 루트 사용자를 사용하지 않고 해당 서비스를 필요한 계정, 그룹을 만들어 그 계정에 권한을 부여하는 방식으로 관리를 합니다

 

IAM 기능

• AWS 계정에 대한 공유 액세스
  • 하나의 계정을 공유하지 않고 AWS의 계정의 리소스를 사용 또는 관리할 수 있게 다른 사람에게 권한을 부여할 수 있습니다
• 세분화된 권한
  • AWS에는 다양한 서비스들이 존재하며 그 서비스에서도 세분화되어 있습니다 이렇게 다양한 리소스를 사용 또는 관리를 좀 더 세분화하여 사용할 수 있게 권한을 줄 수 있습니다 예를 들어 user1에게는  S3에 완전한 액세스를 허용할 수 있고 group1에게는 S3에 대한 읽기 전용만 부여할 수 있습니다
• Amazon EC2에서 실행되는 애플리케이션을 위한 보안 AWS 리소스 액세스
  • EC2에서 실행되는 애플리케이션의 경우 IAM을 사용해 안전하게 자격 증명을 제공할 수 있습니다 이러한 자격 증명은 애플리케이션이 다른 AWS 리소스에 엑세스할 수 있는 권한을 부여합니다 
    ex ) S3, Dynamo DB
• 멀티 팩터 인증(MFA)
  • 보안 강화를 위해 계정과 사용자에게 추가 인증을 사용할 수 있게 합니다
• 아이덴티티 페더레이션
  • 기업 네트워크나 인터넷 자격 증명 공급자와 같은 다른 곳에 이미 암호가 있는 사용자에게 AWS 계정에 대한 임시 액세스 권한을 부여할 수 있습니다
• 보장을 위한 자격 증명 정보
  • AWS CloudTrail을 사용하는 경우 계정의 리소스를 요청한 사람에 대한 정보가 포함된 로그 레코드를 받게 됩니다. 이 정보는 IAM 자격 증명을 기반으로 합니다.
• PCI(Payment Card Industry) DSS (Data Security Standard) 준수
  • IAM은 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원하며 PCI DSS 준수를 검증 받았습니다
• 많은 AWS 서비스와의 통합과 최종 일관성
  • 다양한 AWS 서비스를 IAM과 함께 사용할 수 있으며 IAM은 전 세계 Amazon 데이터 센터 내의 여러 서버로 데이터를 복제함으로써 고가용성을 구현합니다. 일부 데이터를 변경하겠다는 요청이 성공하면 변경이 실행되고 그 결과는 안전하게 저장됩니다. 그러나 변경 사항은 IAM 전체에 복제되어야 하고, 이 작업에는 어느 정도 시간이 소요됩니다