[AWS] 실습4일차 - AWS IAM ROLE, IAM 보안도구 등

1. IAM Roles for Services

https://medium.com/@mrdevsecops/aws-iam-role-7c0ccdf8397e

https://aws.amazon.com/ko/blogs/security/tag/iam-role/

- To do so, we will assign permissions to AWS services with IAM Roles

- is not for users(person)

- combine with service/Instance, enable for EC2 Instance(virtual server) to access AWS 

- Common roles : EC2 Instance Roles, Lambda Function Roles, Roles for Cloud Formation

⭐ Role 의 역할은 AWS Entity에게 AWS 에서 작업을 수행할 수 있는 권한을 부여하는 것

⭐ Users(사람)에게 부여하는 것이 아님 

 

2. How to Create Roles

IAM Management dashboard > Access management > Roles > Create Role

아마존 EC2를 위한 Role 생성하고 Policy 까지 연결해주면 완료

Step1_ Select trusted entity

Select trusted entity - 개체 선택

Use case or Service  - 규칙을 적용할 서비스(예-EC2)

 

Step2_ Add permissions

이제 EC2 Service에 대해 Role을 생성해줬으므로 정책(policy)를 연결해 주어야 함.

예) IAMReadOnlyAccess

 

Step3_Name, review, and create

3. IAM Security Tools

IAM Credentials Report (account-level)

- 계정수준에서 가능

- 계정에 있는 사용자들과 자격증명 상태 확인시켜줌 

 

IAM Access Advisor (user-leve)

- 사용자 수준에서 가능 

- 사용자에게 주어진 권한과 마지막으로 액세스한 시간이 보여줌

- 이 도구로 어떤 권한이 사용되지 않는지 볼 수 있음 

- 그래서 최소한의 권한만을 부여해줄 수 있음 

 

4. How to Create Credentials report

 

IAM Management Dashboard > Access reports > Credential report > Download credential report > csv file > 

 

csv file 에는 root account 와 IAM account 가 포함됨

- 사용자 생성 시기, 비밀번호 활성화 되었는지, 비밀번호가 마지막으로 변경된 시기, 마지막으로 사용된 시기, 다음 교체가 언제 예상되는지, MFA가 활성화 되어 있는지, 액세스 키가 생성되어 있는지, 액세스키 마지막 교체시기, 액세스키 마지막 사용시키, 다른 액세스 키나 인증번호 사용 상태 등을 보여줌

- 비밀번호나 계정을 사용하지 않는 사용자들을 확인할 때 매우 유용함

 

5. IAM ACcess Advisor

IAM Management Dashboard  > Users > click your IAM Account Name > Access Advisor 또는 Last Accessed > 

Shows accessed service, policies granting permissions, last acceessed time

- 사용자가 올바른 권한을 가지고 있는지 여부를 실제로 확인할 때 유용함

- 즉 액세스 관리자는 AWS에서 세부적인 사용자 액세스 권한을 수행해야 할 때 매우 유용함

 

 

6. IAM Guidelines

- Don't use the root acccount except AWS account setup

- One physical user = One AWS user

- Assign users to groups and assign permissions to groups

- Create a strong password policy

- Use and enforce the use of MFA

- Create and use Roles for giving permissions to AWS services

- Use Access Keys for Programmatic Access - CLI/SDK

- Audit permissions of your account using IAM Credentials Report & IAM Access Advisor

 

7.  IAM Section - Summary

 

- Users: physical user, has a password for AWS Console 

- Groups: contains users only

- Policies: JSON document that outlines permissions for users or groups

- Roles: for EC2 instance or AWS Services

- Security: MFA(Multi Factor Authentication) or Password Policy

- AWS CLI: manage your AWS services using the command-line(=> cloudshell)

- AWS SDK: manage your AWS servicies using a programming language

- Access Keys: access AWS using the CLI or SDK

- Audit: IAM Credential Reports & IAM Access Advisor

 

 

Easy way to understand AWS IAM permissions and policy

Understanding AWS IAM: Your Key to Secure Cloud Management