AWS - IAM, CLI

Regions

• 지역 별로 고유한 이름을 보유
• 지역 별로 데이터 센터 보유
• 규정 준수 예
  
  • 프랑스 데이터는 프랑스에 보관해야 함 -> 앱은 그 지역에서 실행해야 함
  • 미국 사용자가 많다면 미국으로 설정 -> 지연 시간 줄임
  • 가격이 지역마다 다름
• Regions 별로 사용 가능한 서비스가 다를 수 있음
• 지역 별로 사용가능한 데이터 센터 최소 3개 최대 6개

Regions

IAM(Identity and Access Management, Global service)

• 예시
  • 최명재, 이재영이 개발자로 같은 그룹
  • 신예준이 디자이너로 다른 그룹일 때
  • 2개의 IAM
• 그룹별로 사용자에게 권한을 부여
• 리전 활성화X -> 글로벌 서비스

IAM Users

• IAM 생성 이유 -> 현재 사용하고 있는 건 루트 사용자

IAM 사용자 생성

IAM 그룹 생성 시 관리자 권한 추가

IAM 태그

IAM DashBoard

• 해당 로그인 URL로 접근 시 IAM User의 Console 화면으로 갈 수 있음

IAM 정책 구조 요소

• Version: 정책 언어 버전
• Id: 정책을 식별하는 ID(선택 사항)
• Sid: 문장 ID로 문장의 식별자(선택 사항)
• Effect: 문장이 특정 API에 접근하는 걸 허용할지 거부할지에 대한 내용
• Principal: 특정 정책이 적용될 사용자, 계정, 혹은 역할
• Action: Effect에 기반해 허용 및 거부되는 API 호출 목록
• Resource: 적용될 Action의 리소스 목록

Admin 계정을 통한 IAM 사용자 삭제

IAM 사용자가 삭제된 화면

루트 사용자에서 권한 부여하기

권한 설정 방식에 따른 그룹 연결 방식의 차이

권한 직접 생성

내가 만든 IAM 정책

AWS - MFA

• 보안을 위한 이중 잠금장치
• Virtual MFA device(가상 MFA 장치)
  • 구글 인증 또는 핸드폰 인증
• Universal 2nd Factor (U2F) Security Key
  • 물리적인 장치
  • 유비코의 유비키는 USB 형태의 보안
• Hardware key Fob MFA Device
  • 하드웨어 보안 장치
  • 예 : 미국의 AWS GovCloud

루트 사용자에서 암호 정책 변경

다양한 암호 설정 지원

AWS 접근 방법 3가지

• AWS Management Console(웹)
• AWS COmmand Line Interface (CLI) 터미널
• AWS Software Developer Kit(SDK)

CLI 및 SDK 사용을 위한 액세스 키 생성

AWS CLI 구성

1. aws configure
   1. access key
   2. secret access key
   3. region name
2. aws iam list-users
   1. iam 사용자 정보가 나옴

• AWS의 CloudShell로 대체 가능

그룹 내 사용자를 삭제 시킬 경우 cli에서도 사용자를 찾을 수 없다고 나옴

IAM Role

• 사용자와 마찬가지로 AWS 서비스에 권한을 부여해야 해서 생성
• AWS 서비스에 의해 사용되도록 만듦
• 예 :
  • EC2 인스턴스 생성 시 EC2 인스턴스는 AWS에서 어떤 작업을 수행하려고 함
  • 작업을 수행하기 위해선 EC2 인스턴스에 권한을 부여해야 함
  • 이를 위해 IAM Role를 만듦
  • EC2 인스턴스 + IAM Role 을 하나의 개체로 만들어 AWS에 있는 어떤 정보에 접근하려고 할 때 IAM Role을 사용

Role 설정

EC2 IAM Role 설정

IAM 계정 올바른 사용법

• AWS 계정을 설정할 때를 제외한 루트 계정 사용 X
• 루트 계정과 개인 계정 나눠서 사용
• 한 명의 AWS 사용자는 한 명의 물리적 사용자와 동일
• 강력한 비밀정책 사용, MFA 사용
• AWS 서비스에 권한을 부여할 땐 역할 부여