IAM = Identity & Access Management
IAM 사용자 및 그룹 설정으로 체계적인 권한 관리
- User IAM 사용자는 조직 내의 한 사람을 나타내는 개체로 각 사용자는 AWS 리소스에 접근하기 위한 고유한 자격 증명을 가지며, 개별적으로 권한을 관리 가능
- Group IAM 그룹은 사용자들을 논리적으로 묶어 관리하는 컨테이로 그룹을 활용하여 여러 사용자에게 동일한 권한을 효율적으로 부여 - 사용자만 포함 가능: 그룹은 IAM 사용자만 포함할 수 있으며, 다른 그룹을 중첩해서 포함 불가 - 선택적 소속: 사용자가 반드시 그룹에 속해야 하는 것은 아니지만 그룹 없이 개별적으로 권한을 관리하는 것은 권장되지 않음
권한 관리: Policies를 통한 접근 제어
AWS에서 권한을 부여하는 핵심 메커니즘은 Policies(정책)으로 JSON 문서 형식으로 작성되며, 누가 어떤 리소스에 어떤 작업을 수행할 수 있는지 정의한다.
그룹을 통한 권한 부여의 장점
권한 부여는 주로 그룹 단위
- 효율적인 관리: 동일한 역할을 가진 사용자들에게 한 번에 권한을 부여
- 일관성 유지: 팀 단위로 동일한 권한을 유지하기 용이
- 유지보수 용이성: 권한 변경 시 그룹 정책만 수정하면 모든 구성원에게 적용됩니다.
IAM 이용 시 참고
추천
- 개발팀, 운영팀, 보안팀 등 역할별로 그룹을 생성
- 각 그룹에 필요한 권한을 JSON 정책으로 정의하여 연결
- 신규 사용자는 해당하는 그룹에 배치하여 자동으로 권한을 부여
비추
- 각 사용자에게 개별적으로 정책을 연결 → 관리 어려움
- 그룹 없이 사용자를 운영하면 권한 추적과 감사가 어려움
Polices
⬆️ 첨부된 방식에 따라 다른 권한을 부여
Policy의 구성요소
- Version - 정책 언어 버전
- Id (optional) - 정책 식별 ID
- Statement - 하나 이상의 문장 1) Sid : 문장의 식별화 (optional) 2) Effect : 특정 API 접근 허용/거부 3) Principal : 특정 정책이 적용될 사용자, 계정 4) Action : effect에 기반해 허용되는 API 호출 목록 5) Resource : 적용될 action의 리소스 목록 6) condition : Statement가 언제 적용될지 (optional)
Policy 직접 추가해보기
Share article