[AWS] 실습2일차 - IAM: JSON 구조 & IAM MFA (다중인증)

IAM Policies Structure

IAM JSON 파일은 AWS에서 IAM(Identity and Access Management) 정책을 정의할 때 사용되는 파일 형식이다. 이 파일은 JSON형식으로 작성되며, 사용자, 그룹, 역할(Role) 등에 대한  권한(permissions)을 설정하는 데 쓰인다. 

 

IAM JSON Structure

IAM JSON 파일은 AWS 리소스에 대해 허용(Allow)하거나 거부(Deny)할 작업을 명시하는 정책(policy)을 정의한다.
이를 통해 어떤 사용자가 어떤 AWS 서비스에서 어떤 작업을 수행할 수 있는지를 제어한다.

JSON 파일 예시

 

JSON 파일 필드

Consists of

• Version: policy language version, always include “2012 -10 - 17”

• Id: an identifier for the policy (optional)

• Statement: one or more individual statements (required)

 

Statements consists of

• Sid: an identifier for the statement (optional)

• Effect: whether the statement allows or denies access (Allow, Deny)

• Principal: account/user/role to which this policy applied to (Optional)

• Action: list of actions this policy allows or denies

• Resource: list of resources to which the actions applied to • Condition: conditions for when this policy is in effect (optional)

• Condition: conditions for when this policy is in effect (optional)

전체 정책에 대해서 Optional top-level elements가 있고 여기에 여러 개의 Statement 를 추가하는 방식으로 구성되어 있다.

그리고 하나의 Statement에는 여러개의 permission 정보가 포함 되어있다.

 

 

사용자 그룹에서 해제하기

Ash 사용자를 Admin 그룹에서 제거하는 법

Root 계정으로 IAM 콘솔 > Users 탭 > 사용자명 > Groups 클릭 > 그룹명에 체크 > Remove

Ash 계정으로 접속하면 Access Denied  

 

사용자를 그룹 다시 추가하기 

Root 계정으로 IAM 콘솔 > Users 탭 > 사용자명 > Permissions > Add Permissionis

 

Policies (정책)

Root 계정으로 IAM 콘솔 > Policies 탭 > Permissions 에서 Administrator Access 는 AWS 의 모든 서비스를 허용함

 

Administrator Access 

 

이 정책의 JSON 파일을 보면 * 로 표기됨

* (Anything) = 어느 Resource 에서, 어떤 Action 이든 허용

그렇다는 건 관리자 엑세스를 받는 것과 권한이 정확히 일치한다는 뜻.

 

IAMReadOnlyAccess

이 정책은 Full: List Limited: Read 

 

위 화면에서 IAM누르고 permissions 페이지로 가면 이 정책의 일부로서 허용된모든 API 목록을 볼 수 있다.

 

JSON 파일을 살펴보면

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "iam:GenerateServiceLastAccessedDetails",
                "iam:Get*", 
                "iam:List*",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Resource": "*"
        }
    ]
}

iam:Get*

GET으로 시작하는 것들 모두 호출 가능 (예: GETUSERS, GETGROUPS 등)

 

사용자 정의 Policy(정책) 추가하기

우측 상단의 Create policy

Policy editor

- Visual 모드에서는 직관적으로 체크박스를 통해 옵션 선택(Actions Allowed, Resource 등 지정 가능)

- JSON 모드에서는 직접적으로 JSON 파일을 수정할 수 있음. 

 

 

 

생성한 Users, Groups 보호

- 비밀번호 정책 설정

- MFA(Multi Factor Authentication)

IAM – Password Policy

• Strong passwords = higher security for your account
• In AWS, you can setup a password policy:
 - Set a minimum password length
 - Require specific character types: ncluding uppercase letters, lowercase letters, numbers, non-alphanumeric characters
 - Allow all IAM users to change their own passwords
 - Require users to change their password after some time (password expiration) : 비밀번호 변경 주기
 - Prevent password re-use  : 같은 비밀번호 사용하지 않기

 

MFA(Multi Factor Authentication) - 다중인증

•  In AWS, very recommended to use, and essential

• You want to protect your Root Accounts and IAM users
• MFA = password you know + security device you own

- 한 마디로 유저의 비밀번호 + MFA 토큰 조합으로 계정 보호하는 것

- 유저가 비밀번호를 분실하거나 해킹당해도 해커가 유저의 물리적 장치도 확보해야 하므로 매우 안전한 계정 보호 방법이다.

 

https://aws.amazon.com/ko/what-is/mfa/

MFA 장치

- Google Authenticator(phone only)
- Authy(phone only)
 Above two is support for multiple tokens on a single device.

- Universal 2nd Factor(U2F) Security Key 
물리적인 장치, 반드시 AWS 에서 제공하는 것은 아님
단일 보안키만 사용 가능
하드웨어 보안 토큰 

 

https://aws.amazon.com/ko/what-is/mfa/

MFA 설정 실습

1. 비밀번호 보안 설정

 

 

IAM 대시보드 > Account settings > Password Policy >  Edit > Custom

 

- 비밀번호 최소 길이 지정

- 대문자, 소문자, 숫자, 영숫자가 아닌 문자

 

- 비밀번호 만료 기능 - n 일 후에 비밀번호 만료

- 비밀번호 만료시 관리자가 재설정하도록 설정

- 사용자가 직접 재설정 하도록 설정

- 비밀번호 재사용 방지

 

2. 루트 계정에 대한 다단계 인증 설정 MFA 

우측 상단 계정 이름 클릭 > 보안 자격 증명 클릭(Security Credentials)

 

AWS 계정에서 가장 중요한 계정인 루트 사용자를 보호하기 위해 MFA 인증 설정 해 주자

하지만 다중 읹으 장치에 대한 액세스 권한을 잃어버리면 계정에서 락아웃 당하기 때문에

핸드폰 등을 분실할 위험이 있으면 안 하는 것이 좋다. 

그리고 MFA 장치를 설정한 후 해제 할 수도 있다. 

 

Assign MFA > Select MFA device > 장치 지정하고 Device name 설정

스마트폰이면 Authenticator app 으로 지정하면 됨 

Set up your authenticator app

 

스마트폰 유형에 맞는 앱을 설치해야 함.

 

휴대폰에서 앱 실행 후 QR 코드 표시 클릭

 show QR Code > 코드 스캔 

코드 스캔하면 Account Name 설정 화면으로 이동 

폰에서 실시간으로 발급된 MFA code 1  을 AWS 페이지에 입력 

MFA code 2 까지 입력 > MFA 추가 > 장치 등록 완료

최대 8개까지 장치 등록 가능

 

이제 루트 계정으로 로그인 할 때 MFA code 창이 뜸

해당 코드를 입력해야만 로그인 가능하기 때문에 계정 보안 수준이 강화됨