SAA 가보자고 ㅎㅎ
IAM(AWS Identity and Access Management)
- 계정 생성시에만 사용함
- AWS 인증 방식 (각 서비스에 대한 접속을 관리)
- global service (region을 변경할 필요 없음)
- 보안 문제 때문에 -> 최소 권한의 원칙 사용
- => 필요 권한만 주자
IAM 권한
- user/group users가 어떤 작업에 권한을 가지고 있는지 설명 하는 것
- 보안문제 때문에 최소 권한의 원칙 사용 => 딱 필요한 권한만 주자!
IAM 역할
: 서비스나 프로그램등에 부여하는 IAM
IAM 정책(Policies)
1. IAM Policy Inheritance 상속 => Inline 정책(단일 IAM 자격 증명(사용자, 그룹 또는 역할)에 대해 생성되는 정책)
- 사용자가 그룹에 속하든/않든 원하는 사용자에게 인라인 정책 적용가능
2. IAM Policies Structure -> JSON file
<check List-optional 제외>
- Version
- Statement
- Effect : 문장이 특정 API에 접근을 Allow/Deny 할지
- Principal : 특정 정책이 적용될 account/user/role
- Action : effect 기반 허용/거부되는 API 호출 목록
- Resource : 적용될 action의 resource 목록
2가지 방어 방식
1. IAM Password Policy(pw 정책 정의)
- 최소 pw 길이
- 대문자/소문자/숫자/특수문자 추가
- pw 만료 제공 & 재사용 방지
등등
2. Multi Factor Authentication(MFA) = 다요소 인증 == 물리적 장치
(무조건 사용해야 함)
MFA = 내가 알고있는 pw + 보안장치 활용
MFA devices options in AWS
1. Virtual MFA(가상 MFA 장치)
: 원하는 수만큼 계정 & 사용자 등록 가능
ex) Google Authenticator (only 1 phone) / Authy(Multi-device) phone/computer => 하나의 장치에서 토큰 여러개 지원
2. U2F Security Key
: 물리적 장치
ex) Yubico(USB)
3. HW device
HW key Fob MFA device(Gemalto), HW key Fob MFA device AWS GovCloud(US)(SurePassID)
그러면 user들은 어떻게 AWS에 접근하냐?
1. AWS Console Management(protected by PW+MFA)
2. CLI(AWS Command Line Interface) 명령줄 Interface
- 명령어 사용해서 AWS 서비스들과 상호작용 도움
- protected by access key(자격증명: 터미널에서의 aws 접근 허용 시켜준다) in computer
3. SDK(AWS software Developer Kit) : protected by access key
AWS로부터 Application Code내에서 API 호출하고자할때 사용되는 방식
Access Key 생성 방법은? => AWS Management Console 사용하기
- UserName = access key의 ID
- PassWord = Access key
※ 다른사람과 공유하지 말기
※ CLI 권한 = IAM 콘솔 권한
※ AWS -> 관리 콘솔 통해 access or access key 구성 후 cli 통에 들어가기 가능
SDK
SW 개발 키트. 특정 언어로 된 Library의 집합(언어따라 개별 SDK가 존재한다)
Cloud Shell
특정 리전에서만 사용가능 => 리전 선택 필요
IAM Role
: 그냥 user, 그러나 실제 사람이 사용하도록 만든것이 아니라 AWS 서비스에 의해 사용되도록 만든 것
시나리오)
EC2는 AWS에서 어떤 작업을 수행하려고 함.
=> 권한 부여가 필요 => IAM Role 생성
(EC2 -> AWS 정보에 접근할 시 IAM Role tkdyd)
IAM Security Tools
1. IAM Credentials Report(IAM 자격 증명 보고서)
- IAM 대시보드 감시
- 사용자 관련 정보 보기 가능
- Accout-Level
2. IAM Access Advisor(user-level)
- IAM 특정 사용자 감시
- 사용자에게 부여된 서비스 권한 & 해당 서비스에 마지막으로 access한 시간이 보임
=> 최소권한 원칙을 따르기 좋다
'є(・Θ・。)э›› > AWS' 카테고리의 다른 글
| 시작 (0) | 2018.08.20 |
|---|
