IAM의 개념과 IAM 사용자 & 그룹 생성

1.

IAM(Identity and Access Manager)을 통해 무엇을 할 수 있을까?

1) 서비스와 리소스에 대한 접근을 안전하게 관리할 수 있다.

2) AWS 사용자 및 그룹을 만들고 관리할 수 있다.

3) 권한을 사용하여 AWS Resource에 대한 접근을 허용하거나 거부할 수 있다.

 

IAM의 장점

1) AWS 리소스에 대한 사용자의 접근을 세부적으로 제어할 수 있다.

2) 대부분 AWS 서비스 내에 통합하여 사용할 수 있다.

3) 유연한 보안 자격 증명 관리가 가능하다.

3) 기존의 자격 증명 시스템을 활용할 수 있다(Federation) 단, 기존에 사용하던 시스템을 일정 세팅을 해야한다.

4) AWS 계정에서 추가 비용 없이 제공 되는 기능이다.

 

IAM에 대한 설명은 앞서 https://0707gray.tistory.com/24?category=953957에서 간단히 얘기한 적 있지만 궁극적으로 왜 사용하는지에 자세한 언급은 하지 않았다.

그렇다면 IAM을 사용함으로서 무엇이 편리해지는걸까?

 

만약 A라는 회사가 AWS 솔루션을 사용하고 있다고 가정한다면 어떻게 될까. 서비스가 많으면 많을수록 그만큼 많은 권한을 부여해야 하는 상황에 부딪힐 거다. 그리고 그 권한은 필요한 권한뿐만 아니라 불필요한 권한까지 포함되어 제공될 것이며, 그럴 때마다 서비스 담당자들은 매번 Root 계정을 공유해야 하는 상황에 쳐해질거다.

 

그래서 아마존이 이러한 권한 분리 문제를 해결하기 위해 만들어놓은 서비스가 IAM이다.

 

IAM은 IAM에서 생성한 사용자와 그룹 단위로 AWS에서 제공하는 모든 솔루션에 대한 권한 관리를 제공한다. 단순히 서비스나 솔루션 단위의 권한 분리를 넘어서 솔루션이 지닌 각각의 리소스에 대해 각각 독립적으로 권한 분리가 가능하다.

 

그림으로 알아본다면 다음과 같다.

 

 

 

IAM Diagram의 예

 

 

 

 

2. IAM 사용자 생성

1) 사용자 추가

 

 

 

2) 사용자 세부 정보 설정

 

 

 

3) 권한설정, 태그 추가, 검토(Skip)

 

 

 

4) 사용자 생성 완료

비밀 액세스 키와 비밀번호는 다운받아 따로 저장해 두는걸 추천한다. 분실한 경우에는 Root 계정으로 접속할 경우 재발급 받을 수 있다. 또한 Root 계정이 아닌 사용자가 로그인 할 수 있는 URL도 알아두어야 한다.

 

 

 

5) IAM 생성 후 확인

 

 

 

6) 루트(Root)사용자로 로그인 하여 IAM 사용자 설정 방법

루트 사용자로 접속한 후 IAM-사용자(변경할 사용자)-보안 자격 증명 탭으로 가면 해당 사용자에 대한 정보를 변경할 수 있다.

사용자 비밀번호 변경, 액세스 키 생성/삭제/활성/비활성, CodeCommit 자격 증명 생성이 가능하다.

 

 

 

7) IAM 사용자 로그인

루트 계정으로 생성한 IAM 사용자로 로그인 하면 생성 테스트까지 완료

 

 

 

 

 

그룹생성은 잠시뒤 업데이트 하기.