728x90
728x90
IAM 모범 사례 AWS 를 사용하면서 일반적인 가이드라인이 있다. 첫 번째로 루트 계정을 사용하지 않는다. 이제부터는 두개의 계정을 가지게 될 것인데 하나는 루트 계정이고 하나는 나만의 개인적인 계정이다. AWS 사용자는 하나의 물리적 사용자와 같다. 만약 내 친구가 AWS 를 사용하고 싶다고 해서 내 자격 증명을 줘서는 안된다. 그냥 다른 사용자를 만들어서 주면 된다. 그 사용자를 그룹에 할당해 줄 수 있고 그 그룹에 권한을 줌으로써 보안이 그룹 레벨에서 관리되고 있음을 확신할 수 있다. 두 번째로 강력한 비밀번호 정책을 사용해야 한다. (MFA 를 사용하는 것) 세 번째로 AWS 서비스에 허가권을 줄 때 마다 역할을 생성하고 사용해야 한다. (EC2 인스턴스) 네 번째로 프로그래밍 방식으로 AWS ..
IAM 보안 도구 IAM 서비스에 들어와서 좌하단에서 자격 증명 보고서를 다운로드 받을 수 있다. 이건 csv 파일로 다운로드가 된다. 여기에는 계정(루트 + IAM 유저)에 대한 정보가 나온다. 비밀번호가 마지막으로 사용되고 마지막으로 바뀐 때와 비밀 번호 순환을 활성화했는지, MFA 가 작동하는지 등을 확인할 수 있다. 사용자를 클릭하여 액세스 관리자 탭을 클릭하면 해당 사용자가 서비스를 언제 마지막으로 사용했는지 추적할 수 있다. 또한 해당 사용자에게 어떤 서비스를 실행할 수 있는 권한을 주었는데 그 서비스를 실제로 사용하지 않으면 엑세스 관리자에서 추적이 되지 않기 때문에 해당 사용자에게서 권한을 삭제하는 것이 합리적인 것을 알 수 있다.
IAM 역할 실습 IAM 에서 역할 에 들어가서 create role 을 누른다. AWS 계정, 웹 자격 증명 등 여러가지 IAM role 을 생성할 수 있고 여기서는 AWS 서비스를 위한 IAM role 을 생성한다. 엄청나게 많은 양의 서비스들에 대한 IAM role 을 생성할 수 있다. 하지만 일반적인 사용 용도는 EC2 인스턴스와 Lambda 서비스를 사용하기 위해서 만드는 경우이다. 여기서는 EC2 인스턴스에 대한 IAM role 을 만들것이기 때문에 EC2 를 클릭하고 다음을 누른다. 그러면 EC2 인스턴스가 어떤 것을 할 수 있도록 설정해줄 수 있는 정책들이 나온다. 내 IAM role 에 대한 권한을 줄 수도 있고 여러가지 권한을 줄 수 있다. 선택하면 된다. 역할 세부 정보에서는 생성하려..
AWS 서비스에 대한 IAM 역할 몇몇 AWS 서비스들은 IAM 사용자들 처럼 몇가지 권한을 가지고 작업을 하게 된다. 이를 위해 IAM 역할을 생성할 것이다. 이 IAM 역할은 사용자와 같지만 실제 사람에 의해 사용되는 것이 아닌 AWS 서비스에서 사용되하도록 되어 있다. EC2 인스턴스를 만든다고 할 때 EC2 인스턴스는 AWS 에서 몇가지 서비스를 사용하도록 되어 있고, 그렇게 해주기 위해서 EC2 인스턴스에 권한을 줘야 한다. 즉, EC2 인스턴스에게 IAM role 을 만들어주고 EC2 인스턴스가 AWS 의 서비스에 접근하려고 하면 IAM 에 적힌 권한에 따라 접근하거나 접근하지 못하게 되는 것이다.
AWS cloud shell 일단 AWS 클라우드 쉘을 사용할 수 있는 Region 들이 존재한다. 우측 상단에 클라우드 쉘 버튼이 없으면 도쿄 리전으로 변경해보자 그러면 우측 상단에 아래와 같이 터미널 아이콘이 나타난다. cloudshell 을 사용할 수 있는 리전들을 알고 싶으면 구글에 cloudshell availablity regions 를 검색하면 된다. 클라우드 쉘을 사용하지 못하는 리전이면 터미널을 사용하면 되니 크게 상관있지는 않다. 맨 처음 cloud shell 에 들어가면 환경 구성을 하기 때문에 시간이 조금 걸린다. 여기서 간단하게 aws 명령을 내릴 수 있다. 클라우드 쉘은 기본적으로 AWS 클라우드의 터미널이다. 클라우드 쉘이 정말 좋은 것은 CLI 를 사용해야 하는 경우에 예를 ..
AWS CLI 실습 access key 를 생성하는 것은 아주 간단하다. 일단 루트 계정이라면 로그아웃을 하고 IAM 사용자로 로그인을 한다. 우상단 사용자 계정을 클릭하고 보안 자격 증명을 클릭한다. 그리고 보안 자격 증명(Security credentials) 을 클릭하여 access key 를 생성한다. 아래 사진과 같이 IAM 사용자에 접근할 수 있는 access key id 와 secret access key 가 생성된다. 한 번 생성된 secret access key 는 두 번 다시 변경하거나 볼 수 없으니 csv 파일을 다운로드 받거나 메모장에 작성해놓는다. 다음으로 할 일은 터미널을 열고 aws configure 명령어를 입력한다. 그러면 access key id 를 물어보는데 방금 생성한..