728x90
728x90
사용자와 그룹들을 보호하는 방법 중에 하나이다. Multi Factor Authentication, 즉 MFA 라고하는 방법이 있다. AWS 에선 이 방법은 필수조항이고 사용하도록 강력하게 권고된다. root 계정을 보호하는 것 뿐만 아니라 모든 IAM 사용자들을 보호할 수 있는 아주 강력한 보호 방법이다. MFA 는 계정 비밀번호와 내가 가지고 있는 장치(핸드폰, 태블릿 등)의 MFA 생성 토큰을 통해 계정을 보호하는 방식이다. 즉, 계정을 해킹당해도 내 핸드폰이 없으면 MFA 생성 토큰이 뭔지 알 수 없기 때문에 로그인을 할 수 가 없는 것이다. MFA 를 사용하는 첫번째 방법은 Virtual MFA device 이다. Google Authenticator 를 사용하는 방식으로 하나의 핸드폰에서 작동..
IAM 정책 실습 현재 사용자는 권한이 없는 상태이다. 이때 권한을 주는 방법은 2가지가 존재하는데 첫 번째는 여러가지 권한을 갖는 그룹에 사용자를 추가해주는 것이고 두 번째 방법은 이미 존재하거나 혹은 내가 이미 만들어놓은 정책을 사용자에게 곧바로 추가해주는 인라인 방식이다. admin 그룹과 developers 그룹에 사용자를 추가해준다. 현재 사용자는 admin 과 developers 그룹에 모두 속해있는 상태이다. 해당 사용자는 admin 그룹의 정책과 developers 그룹의 정책을 모두 갖고 있는 것을 확인할 수 있다. 위는 admin 정책으로, 모든 Action 을 모든 Resource 에 허가한다는 것을 알 수 있다. IAM 정책은 우리가 JSON 으로 구성된 정책 문서를 볼 때 IAM ..
IAM 정책 위와 같은 정책을 가지고 작동하는 그룹이 있다. Fred 사용자는 오직 사용자에게만 연결된 인라인 정책을 만들어 사용하고 있다. 사용자가 그룹에 속할 수도 속하지 않을 수도 있으므로 원하는 대로 사용자에 대한 인라인 정책을 가질 수 있다. 위처럼 Charles 와 David 는 감사팀에서 정책을 계승한다. Charles 는 개발자들의 정책과 감사팀의 정책을 갖게 된다. David 는 감사팀의 정책과 Opretions 팀의 정책을 갖게 된다. 이게 높은 수준에서 어떻게 작동하는지 알아야 한다. 이건 AWS 에서 상당히 많이 볼 수 있는 구조이다. IAM 정책 구조는 버전의 숫자로 구성되어 있고 보통 위의 사진과 같은 2012-10-17 이다. 정책 언어 버전이다. ID 는 정책을 식별하는 방법..
IAM 사용자 및 그룹 실습 IAM 은 글로벌 서비스인 것을 알자. “사용자들" 아래로 가서 “사용자 추가"를 클릭 root 유저만 모든 허가를 가지고 있고 사용자들을 생성해줄 수 있다. 루트 계정은 정말 정말 필요할 때만 사용한다. 자격 증명 유형은 암호 유형의 자격 증명을 활성화한다. 사용자 그룹을 만들어서 지금 만드는 사용자를 그룹에 추가하거나 기존에 존재하는 그룹에 사용자를 추가할 수 있다. 태그는 사용자들에 대한 조종 권한을 돕는 정보이다. 특정 사용자들을 고려해서 추가하려는 정보이다. 즉, 이 사용자에 대한 메타 데이터를 입력해주는 것이라고 생각하자 얘는 개발자고, 엔지니어링 작업을 한다. 이런식으로 태그를 걸어주는 것이다. 비밀번호가 자동 생성되는 경우라면 .csv 를 다운받아 놓는다. Pe..
IAM 은 다른 서비스들과 다르게 글로벌 서비스이고 region을 요구하지 않는다. EC2 서비스의 경우 region 을 변경하면 리소스가 변경된다. 그리고 AWS 의 region 서비스를 클릭하면 범위 내에서 어떤 서비스를 사용할 수 있는지 어떤 region 에 접근할 수 있는지 알 수 있다. 모든 서비스가 모든 Region에서 제공되지는 않는다. IAM 은 ID 와 접근 관리를 나타낸다. IAM 안에서 root 계정을 통해 사용자를 생성하고 사용자 그룹 에 할당할 수 있다. 개발자 그룹과 운영 그룹처럼 사용자 별로 별도의 그룹에 속하게 할 수 있고 그룹이 필요하지 않은 사용자들은 그룹에 속할 필요가 없다. 위 그림처럼 한 사용자가 두개의 다른 그룹의 부분이 될 수 도 있다. 사용자들이나 그룹들은 JS..