반응형
IAM 이란?
AWS IAM (Identity and Access Managemen)은 AWS 리소스 액세스에 대해 안전하게 제어할 수 있게 해주는 AWS 웹 서비스이며 IAM을 사용하여 해당 유저와 그룹의 접근할 수 있는 권한을 중앙에서 관리할 수 있습니다
사용 이유
많은 인원이 하나의 계정을 사용하는 것 보단 각각의 제한되게 부여받은 계정을 가질수 있으며 그 계정들의 권한을 중앙에서 한번에 관리할 수 있어서 사용
사용법
AWS 계정을 생성하면 기본적으로 해당 계정에 모든 AWS 서비스 및 리소스에 대한 완전한 권한이 있는 단일 로그인 ID가 부여됩니다
이 ID를 root user(루트 사용자)라고 하며 일반적인 작업에 루트 사용자를 사용하지 않고 해당 서비스를 필요한 계정, 그룹을 만들어 그 계정에 권한을 부여하는 방식으로 관리를 합니다
IAM 기능
- AWS 계정에 대한 공유 액세스
- 하나의 계정을 공유하지 않고 AWS의 계정의 리소스를 사용 또는 관리할 수 있게 다른 사람에게 권한을 부여할 수 있습니다
- 세분화된 권한
- AWS에는 다양한 서비스들이 존재하며 그 서비스에서도 세분화되어 있습니다 이렇게 다양한 리소스를 사용 또는 관리를 좀 더 세분화하여 사용할 수 있게 권한을 줄 수 있습니다 예를 들어 user1에게는 S3에 완전한 액세스를 허용할 수 있고 group1에게는 S3에 대한 읽기 전용만 부여할 수 있습니다
- Amazon EC2에서 실행되는 애플리케이션을 위한 보안 AWS 리소스 액세스
- EC2에서 실행되는 애플리케이션의 경우 IAM을 사용해 안전하게 자격 증명을 제공할 수 있습니다 이러한 자격 증명은 애플리케이션이 다른 AWS 리소스에 엑세스할 수 있는 권한을 부여합니다
ex ) S3, Dynamo DB
- EC2에서 실행되는 애플리케이션의 경우 IAM을 사용해 안전하게 자격 증명을 제공할 수 있습니다 이러한 자격 증명은 애플리케이션이 다른 AWS 리소스에 엑세스할 수 있는 권한을 부여합니다
- 멀티 팩터 인증(MFA)
- 보안 강화를 위해 계정과 사용자에게 추가 인증을 사용할 수 있게 합니다
- 아이덴티티 페더레이션
- 기업 네트워크나 인터넷 자격 증명 공급자와 같은 다른 곳에 이미 암호가 있는 사용자에게 AWS 계정에 대한 임시 액세스 권한을 부여할 수 있습니다
- 보장을 위한 자격 증명 정보
- AWS CloudTrail을 사용하는 경우 계정의 리소스를 요청한 사람에 대한 정보가 포함된 로그 레코드를 받게 됩니다. 이 정보는 IAM 자격 증명을 기반으로 합니다.
- PCI(Payment Card Industry) DSS (Data Security Standard) 준수
- IAM은 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원하며 PCI DSS 준수를 검증 받았습니다
- 많은 AWS 서비스와의 통합과 최종 일관성
- 다양한 AWS 서비스를 IAM과 함께 사용할 수 있으며 IAM은 전 세계 Amazon 데이터 센터 내의 여러 서버로 데이터를 복제함으로써 고가용성을 구현합니다. 일부 데이터를 변경하겠다는 요청이 성공하면 변경이 실행되고 그 결과는 안전하게 저장됩니다. 그러나 변경 사항은 IAM 전체에 복제되어야 하고, 이 작업에는 어느 정도 시간이 소요됩니다
반응형
'AWS' 카테고리의 다른 글
AWS Amazon Elastic Compute Cloud (EC2) 기초 (1) | 2024.03.25 |
---|