[CLOUD] AWS_IAM 이해하기

우선 리눅스에 대해서 알아보도록 하겠습니다

 

 

리눅스 : MULTI 유저 시스템, 하나의 물리적인 시스템을 공유한다는 것 --> 그런데 서로 다른 것으로 로그인해서 공유

 

 

리눅스가 제공하는 리소스들을 사용하려면 인증이 필요

기본적인 인증 방식 = 로그인

이때 인증하기 위한 값으로 입력해줘야하는 내용 = 아이디, 비번 --> 이 자체가 해당 사용자가 시스템에 합법적인 등록된 사용자가 맞는지 아닌지 인증하는 것

 

결국 아이디와 비번은 자격증명이라고 함 --> CREDENTIALS

 

인증된 사용자만 시스템에 접근해서 사용할 수 있게 하는 것

 

 

그렇다고 해서 리눅스에서 제공하는 모든 자원에 접근 가능할까??

 

NONONO

 

보호정책이 존재하기 때문에

각각의 사용자들은 리소스 중 디스크에 데이터를 저장할 때 파일 단위로 저장한다

 

USER1 , USER2,  USER3 ..... ===> 각자 중요한 데이터는 파일로 저장할 것

그럼 리눅스는 접근 제어를 파일에 대한 PERMISSON으로 컨트롤

 

리눅스에서는 Authorization 을 file permisson으로 컨트롤합니다.

 

 

 

---

 

권한 -> 정책 (policy json) -> 그룹 -> 사용자

 

 

IAM 

[1] 인증 : IAM user : ID/PW 자격증명 --> Console

             account(계정) : root --> email/pw --> Console - Full access

 

[2] 권한 : policy(json) --> 서비스/ resource/ action/ condition

             자격증명기반 : 영구적=file로 저장되어 언제든 재사용가능

             리소스기반 정책 : 해당 버킷에만 저장되어 일회성 (file형태로 저장되는 것이 아님)

 

 

• 콘솔로 하겠다 하면  --> id, pw 필요
• process --> AK(Access Key), SK(Secret Key) 필요 - API, CLI

 (AK와 SK를 한 번 발급받으면 영구적 사용 가능 --> 그래서 Static하다고 할 수 있다)

 

 

Static <---> Dynamic (임시)

보안을 고려하면 임시키가 더 좋다 (유효기간이 있기 때문)

 

이러한 임시키를 발급받아 사용하는 것이 바로 ROLE(역할)

ROLE (EC2 인스턴스에 부여할 롤 생성)

임시KEY (AK/SK) --> STS = Security Token Service ; 미국 버지니아에 있음

 

 

발급시 trusted entity type --> 4가지 유형

이 4가지 유형은 바로 목적이자 용도이기 때문에 모두 이해하고 암기하기

 

 

 

우선 루트 계정으로 AWS 로그인해주세요

 

 

 

 

그리고서 IAM 을 검색해서 다음 창으로 가주세요:)

역할 만들기를 클릭해볼게요

 

1. AWS service

aws service 종류 --> ec2, lambda

 

 

 

 

 

2. Another AWS account

 

내가 만든 리소스에 다른 계정이 접근할 수 있도록

컨트롤해주는 것

 

 

나와 관련된 여러 사용자들에게 role을 부여하기 위한 목적으로

두번째 타입 이용

 

 

3. Web identity

 

 

네이버나 카카오에 이미 유저고

그 서비스를 활용해서 인증받겠다는 것

 

다른 웹 기반으로 인증된 유저들만 오케이 해주려고 할때

이러한 목적으로 role 만드는 경우

 

 

4. SAML 2.0 federation

 

ADS = Active Directory Service

LDAP

 

사원 id, 비번으로 aws에 접근 허용을 해주는 것

 

통합하기 위한 목적으로 role을 부여해야 할때

 

 

---

role을 한 번 만들어볼게요

AWS service - ec2로 할게요

 

 

그럼 기존에 정책들이 뜹니다

 

하나 클릭해서 살펴볼게요 json

 

 

살펴보니까 key는 생성이 안되고 read정도만 가능하겠네요

effect는 Allow구요

 

정책 생성해볼게요

 

직접 작성하고 싶으면 Visual editor

복붙해오고 싶으면 JSON

 

 

 

다음처럼 세밀한 작업이 step별로 가능합니다

 

모든 리소스를 선택하면 --> 모든 버킷과 모든 오브젝트를 선택한 것

 

 

 

추가인증 하고 싶다면

 

• MFA - Multi Factor Authentication   예) OTP
• Source IP - 특정 클라이언트 IP를 정해서 그 사용자만 접근 허용하겠다

 

 

 

이제 role을 다시 만들게요

 

 

아까 만들었던 정책이름 검색해보니까

딱 있군요

 

 

다음 클릭 후

 

 

키랑 값 이름 넣어주신 후에 만들기 클릭

 

그래서 우리가 권한을 부여할 수 있는 것은 

IAM, group, role

요렇게 3가지