[AWS/SAA-C02] 시험대비 7일차 + IAM, IAM 정책

2022.08.15

SAA-C02 시험대비 공부 7일차

 

 

출처

  ① AWS 바로 시작하기(사내인터넷강의)

  ② AWS Certified Solutions Architect - Associate 자격증 준비하기(인프런인터넷강의)

  ③ AWS 공인 솔루션스 아키텍트 스터디 가이드(직접구매)

 

 

AWS Identity and Access Management (IAM)

  ① AWS 계정 및 권한 관리 서비스

  ② EC2 Instance 및 다른 AWS 서비스와 리소스에 대한 접속을 제어할 수 있음

  ③ 사용자, 그룹, 롤, 정책으로 구성

  ④ AWS 계정으로 연결된 특정 서비스와 리소스에 대한 동작을 허용하는 방식

 

 

AWS의 보안권장사항

  ① 루트 계정은 최초 사용자 계정 생성 이후 가능하면 사용하지 말 것

  ② IAM계정으로 서비스를 사용하고 사용자는 필요한 최소한의 권한만 부여 (최소권한의 원칙)

  ③ 루트계정과 개별 사용자 계정에 강력한 암호 정책과 MFA 적용

  ④ 사용자의 암호에 대한 복잡성 요구 사항과 의무 교체 주기를 정의

 

 

IAM 그룹

  ① 개별이 아닌 팀 단위로 권한을 부여하는 방법

  ② 업무 영역별, 조직 업무 내용별 권한부여가 가능

 

 

IAM 롤

  ① AWS 리소스에서 사용하는 자격증명

  ② 특정 AWS 서비스가 다른 AWS 서비스에 엑세스하여 작업을 수행할 때 필요한 권한

  ③ 정책을 연결하여 IAM 롤에 작업 수행에 필요한 권한을 부여

  ④ Trust Policy(신뢰정책)을 사용하여 다른 AWS 계정에 역할을 위임할 수 있음

 

 

IAM 정책

  ① AWS 리소스에 대한 허용 및 불허를 정리한 JSON형식의 문서 (권한 정의)

  ② 사용자, 그룹, 롤에 정책을 연결하여 사용

  ③ Effect: 허용 또는 불허를 나타내며, 이를 위해 Allow 또는 Deny라는 속성 값을 사용

  ④ Action: 권한에 대한 작업 목록

  ⑤ Resource: 권한이 적용되는 리소스

  ⑥ Condition: 정책이 적용되는 세부 조건 (옵션사항)

 

 

IAM - JSON 정책 구문 예시

{       "Version": "2012-10-17",      // 버전       "Statement": [             {                   "Effect": "Allow",      // 허용                   "Action": {                    // Lambda의 모든 작업                         "lambda": "*"                   },                   "Resource": "*",                   "Condition": {                         "IpAddress": {                               "aws.SourceIp": "192.100.100.0/20"      // 192.100.100.0/20 IP에 대한 권한허용                         }                   }             }       ] }

 

 

IAM 권한 경계 (Permission Boundary)

  ① IAM 사용자 또는 롤에 최대 권한을 제한하는 기능

  ② S3, EC2등의 몇 개의 서비스만 관리할 수 있게 할 수 있음