aws - IAM

 

aws

✔ aws에서도 Root 계정은 Multi-Factor 인증을 하도록 요구하고 있습니다.

- Root 계정은 E-Mail 사용 (IP/PW : 지식기반) > 로그인 관련 메일, 메일로 본인 확인 절차 사용 (소유기반)

- 추가 인증으로 Google OTP (One Time Password) 사용 (소유기반)

 

* aws의 일반 사용자 계정

- 최소 권한 (Least Privileges)을 부여해야 합니다.

- 과도한 권한을 부여하면 남용해서 부정, 불법 행위의 가능성이 높아집니다.

 

- Root 계정을 E-Mail로 등록하면 바꿀 수가 없습니다.

- 개인 계정으로 Root 계정을 생성하면 안됩니다.(퇴사시 방법 없음) 회사 메일로 aws 전용 계정을 생성해서 관리 (부득이한 상황에는 인수인계)

- Root 계정의 패스워드를 바꾸면, 퇴사자가 메일로 패스워드 복구 시도가 가능하기 때문에 위험 > 추가 Mult-Factor 인증으로 전환해야 합니다.

 

IAM

 

Role

EC2에서 생성한 로그를 S3에 저장하는 경우

Beanstalk 등을 사용하면 자동으로 EC2, S3, RDS 등을 생성함 > Role을 부여해야 합니다.

주체 (Subject) : 객체를 조작하거나 통제하는 능동적인 개체 ex) 사용자, 프로그램, 프로세스 등

객체 (Object)  : 주체에 의해서 조작이나 통제되는 수동적인 개체 ex) 파일, 디렉토리, 스토리지 등

- 주체와 객체는 상대적

Role : 주체가 객체에 접근할 수 있도록 사전에 정의된 권한

- aws의 서비스에 할당하도록 되어 있으며 PaaS 서비스에서 Role을 많이 사용합니다.

ex) PaaS : 개발자를 위한 플랫폼, 개발자들이 Infra에 대한 관리를 최소화 하고 개발에 초점을 맞출 수 있도록 하는 서비스 > Beanstalk, Cloud9, CodeDeplay 등

 

Policy (정책)

- 정책 이름 앞에 주황색 정육면체 아이콘이 있는 것은 aws에서 만든 기본 정책 (삭제하면 안되며, 삭제 불가)

- 주황색 정육면체 아이콘이 없으면 개인적으로 만든 것, Paas 설정 과정에서 만든 것

- 사용자에게 부여할 수 있습니다.

 

사용자

체크 시 최초 로그인시 비밀번호 변경을 요청

 

 

 

 

 

phoenix00.signin.aws.amazon.com