AWS - IAM

IAM : Identity and Access Management

 

사용자를 생성하고 그룹에 배치하기 때문에 글로벌 서비스에 속합니다.

루트계정을 생성할 때 기본적으로 사용하고 있습니다.

 

루트계정은 더 이상 사용해서도, 공유해서는 안됩니다,

사용자를 생성해서 사용합니다.

 

한 조직의 한 사람이 되며, 그룹으로 묶을 수도 있습니다.

아래의 사진처럼 그룹에 속한사람이 있으며, 속하지 않은 사람이 있을 수도 있고, 동시에 여러 그룹에 속한 사람이 존재할 수 도 있습니다.

 

IAM 은 권한을 설정할 수 있습니다.

그룹의 유저들에게 JSON 형식으로 된 문서를 작성해서 정책을 정해줄 수 있습니다.

AWS 에서는 사용자에게 최소한의 권한을 갖도록 권장하고 있습니다.

모든 사용자들이 모든 권한을 갖게 된다면 엉망이 될 수 있습니다.

 

루트계정은 혼자서 모든 서비스를 관리하는 것이 아니라면 꼭 필요할 때만 사용하는 것이 좋습니다.

사용자를 만들어서 최소한의 권한만 부여해 사용하는 것을 권장합니다.

 

IAM 정책을 상속받을 수 있습니다.

 

IAM 정책 구조에 대해 알아보겠습니다.

 

Version : 정책언어 버전

id : 정책을 식별하는 ID (선택사항)

statement : 사이에 문장 존재

sid : ID 를 뜻하며, 문장의 식별(선택사항)

effect : 특정 API 에 접근가능 / 접근불가능 여부 (allow, deny)

principal : 특정 정책이 적용될 사용자, 계정, 또는 역할로 구성 ( 아래 사진에서는 aws 계정의 루트 계정이 적용 )

action : 허용되거나 거부되는 API 호출 목록

resource : 적용될 action의 리소스 목록