IAM
Identity and Access Management
- 사용자를 생성하고 그룹에 배치하기 때문에 Global Service
- Root account created by default, shouldn't be used or shared
- Users are people within your organization, and can be grouped
- Groups only contain users, not other groups
- Users don't have to belong to a group, and user can belong to multiple groups
IAM: Permissions
- Users or Groups can be assinged JSON documents called policies
- These policies defind the permissions of the users
- In AWS you apply the least privilege principle: don't give more permissions than a user needs
실습
루트계정으로 로그인 > 콘솔 > 검색창에서 IAM > IAM 콘솔 진입
좌측 메뉴에서 Users 탭 들어가기
- IAM 은 Global이므로 우측 상단에서 Region 선택이 안 됨
- IAM 으로 계정 생성하면 어디에서든 사용 가능
우측 상단에 이름 클릭할 때 Account ID 가 뜨면 루트 계정으로 접속중인것
루트 계정을 사용하는 것은 권장되지 않음
각 프로젝트에 맞게 최소한의 권한을 부여하여 관리자 계정 만들어서 사용하는 것이 좋음
유저 생성
Create users 클릭해서 생성
- 콘솔 관리자 권한 주는 것에 체크했음
- User type 두번째 꺼가 생성하기 더 쉬움(여기서는 테스트니까 이걸로)
- 자동생성 비밀번호 해제, 다음 로그인시 새로운 비밀번호 생성해야 하는 규칙 해제 해 줌 > Next
그룹 생성
create group
그룹에 유저 추가
Next 한번더 누르면 지금까지 설정한거 검토 가능
계정 생성 완료
로그인 방법을 이메일이나 CVS 파일로 다운받을 수 있다.
이렇게 그룹에 유저 생성을 완료하고 다시 user list 로 돌아가면
유저의 권한에 정육면체 모양의 아이콘이 생기는데 이건 관리자 권한을 의미한다
이 관리자 권한은 Attached via 그룹을 통해서 부여된 것이다
즉 내가 생성한 Ash 라는 유저는 자신이 속한 admin 그룹이 가진 모든 권한을 이어 받는 것이다.
이것이 바로 유저를 그룹에 추가하는 이유이고, 이렇게 하면 권한 관리가 좀 더 간단해진다.
IAM 대시보드로 돌아가서 Ash 유저로 로그인하기 위한 별칭을 생성해 보자
IAM 유저 별칭 지정하기
AWS Account 박스에서 Account Alias 로 별칭 지정할 수 있다.
별칭을 사용하면 로그인 URL 을 간소화 할 수 있다.
- 로그인 할 때 같은 브라우저에서 로그인 할 수 있고
- 비공개 모드로 새 브라우저 창을 띄울 수 있다.
IAM 계정으로 로그인
이제 새 창에서 IAM user로 로그인을 해 보자
IAM 계정으로 로그인을 시도하면 root 계정은 로그아웃 된다.
IAM 유저로 로그인한 뒤 우측 상단의 계정이름을 클릭하면 root 계정과 차이점을 확인할 수 있다.
이걸 통해서 내가 현재 어떤 계정으로 접속중인지 확인 가능하다
IAM 정책 상속 (Policy Inheritance)
- 그룹 정책은 여러 사용자가 공통으로 적용받는 규칙이다. (개발팀, 운영팀, 감사팀 접근 권한이 다름)
- 다중 그룹 사용자는 속한 그룹들의 정책을 모두 적용받으며, 필요한 경우 우선순위나 병합 규칙이 따른다. - Charles, David
- 인라인 정책은 그룹과 무관하게 특정 사용자에 대해 개별적으로 정의된 정책이다. - Fred
'AWS' 카테고리의 다른 글
| [AWS] 실습6일차 - AWS 예산 관리 Billing and Cost Managetment (setting Budget) (9) | 2025.01.22 |
|---|---|
| [AWS] 실습5일차 - IAM & IAM CLI 문제 / 정리 (21) | 2025.01.21 |
| [AWS] 실습4일차 - AWS IAM ROLE, IAM 보안도구 등 (14) | 2025.01.20 |
| [AWS] 실습3일차 - AWS Access Key, CLI & SDK (6) | 2025.01.19 |
| [AWS] 실습2일차 - IAM: JSON 구조 & IAM MFA (다중인증) (4) | 2025.01.16 |
