728x90
728x90
AWS 엑세스 키, CLI 및 SDK 지금까진 AWS 홈페이지에서 Management console 을 사용해 AWS 서비스를 사용하였다. AWS 에 접근하여 서비스를 사용하는 방식은 총 세가지가 존재한다. 첫번째는 Management console 로 계정과 비밀번호를 사용하여 로그인한 후 사용하는 방식이다. 두번째 방식은 CLI(Command Line Interface) 방식이다. 이건 우리가 컴퓨터를 셋업할 때 사용하는 방식으로 access key 에 의해 보호되며, access key 를 사용해 터미널로 AWS 에 접근할 수 있도록해준다. 마지막으로는 SDK 가 있다. AWS Software Development Kit 로, 여러가지 언어로 개발하고 있는 코드 안에서 AWS API 를 받아 사용하..
IAM MFA 실습 루트 계정을 위해 MFA 를 세팅할 수 있다. 루트 계정은 모든 권한을 가지고 있기 때문에 조심히 관리해야 한다. 우상단에 존재하는 계정이름을 클릭하고 보안 자격 증명을 클릭한다. 여기서 MFA 를 활성화 한다. 세 가지 옵션이 있는데 버츄얼 MFA 디바이스, U2F 보안키, 다른 MFA 디바이스 하드웨어이다. 핸드폰을 통해 MFA 토큰을 얻고자 하기 때문에 버츄얼 MFA 디바이스를 선택한다. 다음으로 나오는 화면은 MFA 를 설정하는데 사용할 수 있는 호환가능한 앱의 목록이다. 안드로이드와 아이폰는 아래와 같은 버츄얼 MFA 어플리케이션을 사용할 수 있다. Authy 를 사용하면 여러 디바이스에서 MFA 토큰을 생성하여 로그인 할 수 있기 때문에 좋다. 물론 공짜 앱이다. QR 코드..
사용자와 그룹들을 보호하는 방법 중에 하나이다. Multi Factor Authentication, 즉 MFA 라고하는 방법이 있다. AWS 에선 이 방법은 필수조항이고 사용하도록 강력하게 권고된다. root 계정을 보호하는 것 뿐만 아니라 모든 IAM 사용자들을 보호할 수 있는 아주 강력한 보호 방법이다. MFA 는 계정 비밀번호와 내가 가지고 있는 장치(핸드폰, 태블릿 등)의 MFA 생성 토큰을 통해 계정을 보호하는 방식이다. 즉, 계정을 해킹당해도 내 핸드폰이 없으면 MFA 생성 토큰이 뭔지 알 수 없기 때문에 로그인을 할 수 가 없는 것이다. MFA 를 사용하는 첫번째 방법은 Virtual MFA device 이다. Google Authenticator 를 사용하는 방식으로 하나의 핸드폰에서 작동..
IAM 정책 실습 현재 사용자는 권한이 없는 상태이다. 이때 권한을 주는 방법은 2가지가 존재하는데 첫 번째는 여러가지 권한을 갖는 그룹에 사용자를 추가해주는 것이고 두 번째 방법은 이미 존재하거나 혹은 내가 이미 만들어놓은 정책을 사용자에게 곧바로 추가해주는 인라인 방식이다. admin 그룹과 developers 그룹에 사용자를 추가해준다. 현재 사용자는 admin 과 developers 그룹에 모두 속해있는 상태이다. 해당 사용자는 admin 그룹의 정책과 developers 그룹의 정책을 모두 갖고 있는 것을 확인할 수 있다. 위는 admin 정책으로, 모든 Action 을 모든 Resource 에 허가한다는 것을 알 수 있다. IAM 정책은 우리가 JSON 으로 구성된 정책 문서를 볼 때 IAM ..
IAM 정책 위와 같은 정책을 가지고 작동하는 그룹이 있다. Fred 사용자는 오직 사용자에게만 연결된 인라인 정책을 만들어 사용하고 있다. 사용자가 그룹에 속할 수도 속하지 않을 수도 있으므로 원하는 대로 사용자에 대한 인라인 정책을 가질 수 있다. 위처럼 Charles 와 David 는 감사팀에서 정책을 계승한다. Charles 는 개발자들의 정책과 감사팀의 정책을 갖게 된다. David 는 감사팀의 정책과 Opretions 팀의 정책을 갖게 된다. 이게 높은 수준에서 어떻게 작동하는지 알아야 한다. 이건 AWS 에서 상당히 많이 볼 수 있는 구조이다. IAM 정책 구조는 버전의 숫자로 구성되어 있고 보통 위의 사진과 같은 2012-10-17 이다. 정책 언어 버전이다. ID 는 정책을 식별하는 방법..
IAM 사용자 및 그룹 실습 IAM 은 글로벌 서비스인 것을 알자. “사용자들" 아래로 가서 “사용자 추가"를 클릭 root 유저만 모든 허가를 가지고 있고 사용자들을 생성해줄 수 있다. 루트 계정은 정말 정말 필요할 때만 사용한다. 자격 증명 유형은 암호 유형의 자격 증명을 활성화한다. 사용자 그룹을 만들어서 지금 만드는 사용자를 그룹에 추가하거나 기존에 존재하는 그룹에 사용자를 추가할 수 있다. 태그는 사용자들에 대한 조종 권한을 돕는 정보이다. 특정 사용자들을 고려해서 추가하려는 정보이다. 즉, 이 사용자에 대한 메타 데이터를 입력해주는 것이라고 생각하자 얘는 개발자고, 엔지니어링 작업을 한다. 이런식으로 태그를 걸어주는 것이다. 비밀번호가 자동 생성되는 경우라면 .csv 를 다운받아 놓는다. Pe..