1. IAM Roles for Services
- To do so, we will assign permissions to AWS services with IAM Roles
- is not for users(person)
- combine with service/Instance, enable for EC2 Instance(virtual server) to access AWS
- Common roles : EC2 Instance Roles, Lambda Function Roles, Roles for Cloud Formation
⭐ Role 의 역할은 AWS Entity에게 AWS 에서 작업을 수행할 수 있는 권한을 부여하는 것
⭐ Users(사람)에게 부여하는 것이 아님
2. How to Create Roles
IAM Management dashboard > Access management > Roles > Create Role
아마존 EC2를 위한 Role 생성하고 Policy 까지 연결해주면 완료
Step1_ Select trusted entity
Select trusted entity - 개체 선택
Use case or Service - 규칙을 적용할 서비스(예-EC2)
Step2_ Add permissions
이제 EC2 Service에 대해 Role을 생성해줬으므로 정책(policy)를 연결해 주어야 함.
예) IAMReadOnlyAccess
Step3_Name, review, and create
3. IAM Security Tools
IAM Credentials Report (account-level)
- 계정수준에서 가능
- 계정에 있는 사용자들과 자격증명 상태 확인시켜줌
IAM Access Advisor (user-leve)
- 사용자 수준에서 가능
- 사용자에게 주어진 권한과 마지막으로 액세스한 시간이 보여줌
- 이 도구로 어떤 권한이 사용되지 않는지 볼 수 있음
- 그래서 최소한의 권한만을 부여해줄 수 있음
4. How to Create Credentials report
IAM Management Dashboard > Access reports > Credential report > Download credential report > csv file >
csv file 에는 root account 와 IAM account 가 포함됨
- 사용자 생성 시기, 비밀번호 활성화 되었는지, 비밀번호가 마지막으로 변경된 시기, 마지막으로 사용된 시기, 다음 교체가 언제 예상되는지, MFA가 활성화 되어 있는지, 액세스 키가 생성되어 있는지, 액세스키 마지막 교체시기, 액세스키 마지막 사용시키, 다른 액세스 키나 인증번호 사용 상태 등을 보여줌
- 비밀번호나 계정을 사용하지 않는 사용자들을 확인할 때 매우 유용함
5. IAM ACcess Advisor
IAM Management Dashboard > Users > click your IAM Account Name > Access Advisor 또는 Last Accessed >
Shows accessed service, policies granting permissions, last acceessed time
- 사용자가 올바른 권한을 가지고 있는지 여부를 실제로 확인할 때 유용함
- 즉 액세스 관리자는 AWS에서 세부적인 사용자 액세스 권한을 수행해야 할 때 매우 유용함
6. IAM Guidelines
- Don't use the root acccount except AWS account setup
- One physical user = One AWS user
- Assign users to groups and assign permissions to groups
- Create a strong password policy
- Use and enforce the use of MFA
- Create and use Roles for giving permissions to AWS services
- Use Access Keys for Programmatic Access - CLI/SDK
- Audit permissions of your account using IAM Credentials Report & IAM Access Advisor
7. IAM Section - Summary
- Users: physical user, has a password for AWS Console
- Groups: contains users only
- Policies: JSON document that outlines permissions for users or groups
- Roles: for EC2 instance or AWS Services
- Security: MFA(Multi Factor Authentication) or Password Policy
- AWS CLI: manage your AWS services using the command-line(=> cloudshell)
- AWS SDK: manage your AWS servicies using a programming language
- Access Keys: access AWS using the CLI or SDK
- Audit: IAM Credential Reports & IAM Access Advisor
Easy way to understand AWS IAM permissions and policy
AWS IAM permissions and policy. Easy way to understand the AWS IAM entities User, Group, Roles. How to provide permissions to AWS resources.
cloudiofy.com
Understanding AWS IAM: Your Key to Secure Cloud Management
Amazon Web Services (AWS) Identity and Access Management (IAM) acts as your personal security guard for AWS resources, ensuring only…
medium.com
'AWS' 카테고리의 다른 글
| [AWS] 실습6일차 - AWS 예산 관리 Billing and Cost Managetment (setting Budget) (9) | 2025.01.22 |
|---|---|
| [AWS] 실습5일차 - IAM & IAM CLI 문제 / 정리 (21) | 2025.01.21 |
| [AWS] 실습3일차 - AWS Access Key, CLI & SDK (6) | 2025.01.19 |
| [AWS] 실습2일차 - IAM: JSON 구조 & IAM MFA (다중인증) (4) | 2025.01.16 |
| [AWS] 실습1일차 - IAM: Users & Groups (4) | 2025.01.15 |
