[AWS-SAA-03] IAM | AWS Organization

IAM; AWS Identity and Access Management

 

IAM 사용자 ; User

단일 개인 또는 애플리케이션에 대한 특정 권한을 가지고 있는 AWS 계정 내 자격 증명

 

IAM 그룹; Group

사용자(;user)에게 권한을 부여하는 용도

 

IAM 역할; Role

• 서비스에 대한 권한 및 액세스 "제어"
• IAM User, 애플리케이션, AWS 서비스 등 누구든지 IAM Role을 맡을 수 있음.
• 역학을 사용하여 AWS 리소스에 액세스 할 수 없는 사용자, 애플리케이션 또는 서비스에 액세스 권한 위임 가능.
  • AWS STS; Security Token Service : AWS 리소스에 대한 액세스를 제어할수 있는 임시 보안 자격 증명 제공.
    - 일시적 토큰 발급

 

IAM 정책; Policy

• AWS 리소스에 대한 액세스 권한을 "정의"하는 것.
• 사용자, 그룹, 역할에 정책을 연결하여 사용.
• JSON 문서 형식 구성
• default : 모든 요청이 거부

종류

1. 자격 증명 기반 정책
   • 관리형 정책
     • AWS 계정에 속한 다수의 사용자, 그룹, 역할에 연결할 수 있는 정책.
     • AWS 에서 생성 및 관리
   • 인라인 정책 :  직접 추가하는 정책
2. 리소스 기반 정책
   • 특정 IAM 사용자, 역할, 계정이 해당 리소스를 사용할 수 있도록 허용.
   • 기존 권한을 유지한 채 추가적으로 특정 리소스에 대한 접근 가능.
   • S3, KMS, Lambda, SQS  같은 특정 리소스에 연결
3. 신뢰 정책
   • IAM 역할에서만 사용
   • 주체가 특정 IAM Role을 수행할 수 있는지에 대한 규칙 정의 (가능/ 불가능)
   • 주로 교차 계정 액세스 설정 시 사용
     ex) 운영 계정과 개발 계정이 있을 때 운영 계정의 권한을 위임하고자 할 경우 신뢰정책 사용

 

IAM 역할  VS 리소스 기반 정책

	IAM 역할	리소스 기반 정책
기존 권한	포기 후 역할 권한을 받음	기존 권한 유지
접근 방식	역할을 할당	리소스에 직접 정책 적용
적용 가능 리소스	IAM Role기반 서비스(;KDS..)	S3, Lambda SNS, SQS, KMS…

 

IAM 권한 경계

• IAM 사용자 또는 역할에 최대 권한을 제한하는 기능
• AWS 전체 권한을 가지고 있어도 권한 경계에 대한 권한 범위로 축소되어 적용

 

IAM 액세스 관리자

• IAM 권한을 분석하고 관리하는 기능
• 사용자 또는 역할이 허용된 서비스에 마지막으로 액세스하려고 시도한 시간을 표시
• 필요 이상으로 부여된 권한 제어에 참고 가능

 

IAM 자격 증명 보고서

• 계정의 모든 사용자와 암호, 액세스 키, MFA, 디바이스 등의 자격 증명 상태에 대한 보고서를 다운로드

---

 

AWS Organizations

• 여러 AWS 계정을 중앙에서 관리하고 제어하기 위한 서비스
• 조직 관리를 위해 OU(Organization Unit)이라는 단위로 그룹화하여 관리

 

장점

• 계정 단위의 격리로 보안이 뛰어남
  - 다수의 VPC를 가진 단일 계정에 비해 보안 우수
• 전체 계정 중앙 관리 가능
• 한번에 모든 계정에 대해 CloudTrail을 활성화
• 모든 로그를 중앙 S3계정으로 전송

 

서비스 제어 정책

• 특정 OU 또는 계정에 적용되는 IAM 정책
• 특정 서비스에 대한 접근 및 제한 허용
• IAM 정책보다 강력한 제한을 적용, 기본적으로 아무 권한도 허용하지 않음.
• 관리 계정에는 적용되지 않음
• 상속 기능 : 특정 OU에 적용하면 해당 OU의 모든 계정에 적용
• Cross Account Role을 설정하여 관리자가 여러 계정을 통합 관리 가능

 

결제 및 가격 관리

• 결제 통합 : 여러 계정의 결제를 하나로 통합 가능
• 볼륨 가격 할인 : 계정을 통합하여 더 큰 규모의 할인 적용 가능

 

---

IAM 자격 증명 센터; (구) SSO

• 여러개의 AWS 계정, 리소스 등에 대한 액세스를 중앙에서 쉽게 통합 관리하는 서비스
• 내장 ID 저장소 또는 외부 ID 공급자(Active Directory, Okta 등)와 연동 필요
• 권한 셋( Permission Set)을 사용하여 사용자 권한을 설정하고 특정 OU와 연결해야 함. 

---

• 교차 계정 액세스; Cross Account Access
  • 다른 AWS 계정의 리소스에 액세스 할 수 있도록 허용
  •  한 계정에서 다른 계정의 리소스를 사용하고자 할 때 필요