-
✔ aws에서도 Root 계정은 Multi-Factor 인증을 하도록 요구하고 있습니다.
- Root 계정은 E-Mail 사용 (IP/PW : 지식기반) > 로그인 관련 메일, 메일로 본인 확인 절차 사용 (소유기반)
- 추가 인증으로 Google OTP (One Time Password) 사용 (소유기반)
* aws의 일반 사용자 계정
- 최소 권한 (Least Privileges)을 부여해야 합니다.
- 과도한 권한을 부여하면 남용해서 부정, 불법 행위의 가능성이 높아집니다.
- Root 계정을 E-Mail로 등록하면 바꿀 수가 없습니다.
- 개인 계정으로 Root 계정을 생성하면 안됩니다.(퇴사시 방법 없음) 회사 메일로 aws 전용 계정을 생성해서 관리 (부득이한 상황에는 인수인계)
- Root 계정의 패스워드를 바꾸면, 퇴사자가 메일로 패스워드 복구 시도가 가능하기 때문에 위험 > 추가 Mult-Factor 인증으로 전환해야 합니다.
IAM
Role
EC2에서 생성한 로그를 S3에 저장하는 경우
Beanstalk 등을 사용하면 자동으로 EC2, S3, RDS 등을 생성함 > Role을 부여해야 합니다.
주체 (Subject) : 객체를 조작하거나 통제하는 능동적인 개체 ex) 사용자, 프로그램, 프로세스 등
객체 (Object) : 주체에 의해서 조작이나 통제되는 수동적인 개체 ex) 파일, 디렉토리, 스토리지 등
- 주체와 객체는 상대적
Role : 주체가 객체에 접근할 수 있도록 사전에 정의된 권한
- aws의 서비스에 할당하도록 되어 있으며 PaaS 서비스에서 Role을 많이 사용합니다.
ex) PaaS : 개발자를 위한 플랫폼, 개발자들이 Infra에 대한 관리를 최소화 하고 개발에 초점을 맞출 수 있도록 하는 서비스 > Beanstalk, Cloud9, CodeDeplay 등
Policy (정책)
- 정책 이름 앞에 주황색 정육면체 아이콘이 있는 것은 aws에서 만든 기본 정책 (삭제하면 안되며, 삭제 불가)
- 주황색 정육면체 아이콘이 없으면 개인적으로 만든 것, Paas 설정 과정에서 만든 것
- 사용자에게 부여할 수 있습니다.
사용자
phoenix00.signin.aws.amazon.com
'Cloud > aws' 카테고리의 다른 글
aws - DevOps, Cloud Formation (0) 2022.06.21 aws - ECS, Docker, DynamoDB, NoSQL, System Architecture Design (0) 2022.06.20 aws - Auto Scaling, Load Balancer - 오토 스케일링, 로드 밸런서 (0) 2022.06.17 aws - CLI를 이용한 EC2(Ubuntu) 생성 (0) 2022.06.16 aws - Amazon Luinux, Windows, RDS (0) 2022.06.14