AWS Certified Soultions Architect Associate Day 02

IAM

IAM = Identity and Access Management, Global service

Root account 는 디폴트로 생성

Users 를 생성해서 사용, 그룹으로 묶을 수도 있다.

그룹에는 사용자만 배치할 수 있다. 다른 그룹은 포함할 수 없다.

그룹에 포함되지 않는 사람도 있을 수 있지만 추천하지는 않는다.

또 사용자는 다수의 그룹에 포함될 수 있다.

 

정책, IAM을 JSON형태로 지정한다

이걸로 사용자들의 권한을 정할 수 있다.

 

IAM 사용 및 그룹 실습

iam은 글로버 서비스라서 어디에서 생성하든 상관이 없다.

 

사용자 추가해보자

Root 만으로는 상당히 불안정하다.

 

Root는 정말로 필요할 때만 사용해야한다.

admin 그룹을 새롭게 만들자

계정의 관리자 권한을 허용한 그룹이다

 

사용자의 접근을 추적, 조직, 제어할 수 있도록 도와주는 정보이다.

 

csv 파일을 미리 받아놓자

 

이제 Tony로 로그인하는 방법을 알아보자

혹은

admin 권한을 가지고 있기 때문에 관리자와 같은 역활을 할 수 있지만 그럼에도 IAM을 사용하는 것이 훨씬 좋다.

 

루트는 이후에 언제 사용할지 알려줄 것이다.

 

IAM 정책

개발자 그룹이 있는데 정책을 그룹 레벨에서 연결해보자. 3명 모두 권한을 얻으며 정책의 상속이 가능하다.

운영자 그룹으로 다른 정책을 적용해주자

인라인 정책이라는 것을 사용자들(그룹에 속해도)에게 적용할 수 있다.

감사팀을 하나의 정책으로 묶을 수도 있다.

 

그러면 정책 두개를 적용받는 것이다

오른쪽은 JSON 문법인데

Version : 정책 언어 번호

Id : 정책 Id

Statement

- Sid : Statement Id

- Effect : 문장이 특정 API에 접근하는 걸 허용할지 거부할지에 대한 내용

- Principal : 특정 정책이 적용될 사용자, 계정 혹은 역활로 구성. 여기에서는 AWS 루트 계정에 적용됨

- Action : effect에 기반해 허용 거부되는 API 호출 목록

- Resource : 적용될 action의 리소스의 목록. 여기에서는 bucket이 적용

- Condition : Statement가 언제 적용될지

 

 

그룹과 사용자들의 정보가 침해당하지 않도록 보호하기