728x90
IAM 모범 사례
AWS 를 사용하면서 일반적인 가이드라인이 있다.
첫 번째로 루트 계정을 사용하지 않는다. 이제부터는 두개의 계정을 가지게 될 것인데 하나는 루트 계정이고 하나는 나만의 개인적인 계정이다.
AWS 사용자는 하나의 물리적 사용자와 같다. 만약 내 친구가 AWS 를 사용하고 싶다고 해서 내 자격 증명을 줘서는 안된다. 그냥 다른 사용자를 만들어서 주면 된다.
그 사용자를 그룹에 할당해 줄 수 있고 그 그룹에 권한을 줌으로써 보안이 그룹 레벨에서 관리되고 있음을 확신할 수 있다.
두 번째로 강력한 비밀번호 정책을 사용해야 한다. (MFA 를 사용하는 것)
세 번째로 AWS 서비스에 허가권을 줄 때 마다 역할을 생성하고 사용해야 한다. (EC2 인스턴스)
네 번째로 프로그래밍 방식으로 AWS 를 사용하려는 경우나 CLI 나 SDK 를 사용하려는 경우 반드시 access key 를 생성해야 한다.
마지막으로 내 계정 안에서 감사권을 주고 싶다면 IAM Credentials Reports 를 사용할 수 있고, IAM access analyzer 를 사용할 수 있다.
중요한 것은 절대로 IAM 사용자와 access key 를 공유하지 않는 것이다.
728x90