AWS

AWS IAM?

윤승 2025. 2. 3. 16:43

IAM 개요

IAM 정의: Identity and Access Management의 약어로, 사용자를 생성하고 그룹에 배치하는 글로벌 서비스입니다.

 

루트 계정: 계정 생성 시 기본적으로 생성되는 루트 사용자는 더 이상 사용하거나 공유해서는 안 되며, 대신 사용자 계정을 생성해야 합니다.

사용자 및 그룹

  • 사용자: IAM에서 생성하는 사용자는 조직 내의 개별 인물입니다.
  • 그룹: 사용자들을 그룹으로 묶어 관리할 수 있습니다. 예를 들어:
    • Developers 그룹: Alice, Bob, Charles
    • Operations 그룹: David, Edward
    • 독립 사용자: Fred (어느 그룹에도 속하지 않음)
  • 그룹의 특성:
    • 그룹에는 오직 사용자만 포함될 수 있으며, 다른 그룹을 포함할 수는 없습니다.
    • 하나의 사용자는 여러 그룹에 속할 수 있습니다.

IAM 정책

정책의 목적: 사용자가 AWS 계정을 사용할 수 있도록 허용하고, 이들에게 권한을 부여하기 위해 필요합니다.
IAM 정책 형식: JSON 문서 형태로 제공되며, 특정 사용자 또는 그룹의 권한을 정의합니다.

 

 

최소 권한 원칙

  • 정책 적용: 모든 사용자에게 모든 권한을 부여하지 않으며, 필요한 권한만 부여하는 방식으로 보안을 강화합니다. 예를 들어, 특정 사용자가 세 개의 서비스에 접근해야 할 경우 그에 필요한 최소한의 권한만 부여합니다.

IAM 정책 개요

  • 정책의 적용: IAM 정책은 그룹 또는 사용자에게 적용하여 권한을 설정합니다. 예를 들어, 개발자 그룹(Alice, Bob, Charles)에게 그룹 레벨에서 정책을 연결하면, 모든 구성원이 해당 정책의 권한을 상속받습니다.

 

다중 인증(MFA)

  • MFA란?: 비밀번호와 소유한 보안 장치를 조합하여 추가 보안성을 제공합니다.
  • MFA의 이점: 비밀번호가 유출되거나 해킹되더라도, 해커가 물리적 장치(예: 모바일 기기)를 확보해야 하므로 계정이 안전하게 보호됩니다.

 

AWS의 MFA 장치 옵션

  1. 가상 MFA 장치:
    • 예: 구글 인증기와 같은 모바일 애플리케이션을 사용할 수 있습니다.
    • 한 번에 하나의 전화에서 작동하며, 여러 계정과 사용자에 대해 단일 장치에서 여러 토큰을 지원합니다.
  2. 유니버설 세컨드 팩터(U2F) 보안 키:
    • 예: 유비코의 유비키와 같은 물리적 장치입니다.
    • 여러 사용자와 계정을 지원하는 단일 보안 키를 사용합니다.
  3. 하드웨어 보안 토큰:
    • 예: Gemalto에서 제공하는 하드웨어 토큰.
    • 물리적인 장치로서 인증을 제공합니다.
  4. 타사 보안 토큰:
    • 예: AWS GovCloud에서 사용되는 SurePassID 보안 토큰.

정리: 다중 인증(MFA)은 AWS 계정을 안전하게 보호하는 중요한 요소입니다.

 

1. IAM 자격 증명 보고서

위에서 설명한 것들의 보안 서비스들의 계정 내 사용자 및 다양한 자격 증명 상태를 보여주는 도구가 IAM 자격 증명 보고서이다.  이 보고서는 각 사용자에 대한 자격 증명(예: 비밀번호, 액세스 키, MFA 사용 여부 등)의 상태를 포함하고 있어, 계정의 보안 상태를 평가하는 데 유용합니다.

 

2. IAM 액세스 관리자

IAM 액세스 관리자는 사용자 수준에서 권한 및 액세스 기록을 관리하는 도구입니다. 최소 권한 원칙을 준수하는 데 필요한 정보를 제공하거나, 사용되지 않는 권한을 식별하여 사용자 권한을 줄임으로써 보안을 강화할 수 있습니다.

 

요약 및 정리

    1. IAM 사용자
      • 기업 내 실제 사용자와 매핑되어야 합니다.
      • AWS 콘솔의 비밀번호를 사용하여 로그인합니다.
    2. 사용자 그룹
      • 여러 사용자를 그룹으로 묶어 관리할 수 있습니다.
      • 사용자 또는 그룹의 권한을 설명하는 정책과 연결 가능.
      • JSON 형식으로 권한 문서를 공유할 수 있습니다.
    3. IAM 역할
      • EC2 인스턴스나 다른 AWS 서비스에 대한 자격 증명을 생성합니다.
      • 특정 서비스나 작업을 위해 필요한 권한을 부여합니다.
    4. 보안 조치
      • 다요소 인증(MFA)을 활성화하여 보안을 강화할 수 있습니다.
      • 사용자 비밀번호 정책을 설정하여 강력한 비밀번호 사용을 권장합니다.
    5. IAM 자격 증명 보고서
      • IAM 자격 증명 보고서를 생성하여 사용자 및 권한 상태를 확인할 수 있습니다.