[AWS] AWS IAM - 1

이 블로그는 유데미 "AWS Certified Solutions Architect Associate 시험합격!" 강의를 바탕으로 작성되었습니다.

 

목차

1. IAM⭐️

2. IAM과 Permission

3. IAM policies 상속 (Inheritance)⭐️

4. IAM Policies 구조 (JSON)⭐️

 

1. IAM⭐️

- Identity and Access Management의 약자

- 사용자를 생성하고 그룹에 배치 -> 글로벌 서비스 (리전별 서비스 X)!!
ex) 우리 Root account (계정을 생성할때만 사용됨. 그후에는 사용, 공유 안됨!)

-> 대신 조직 내 User 생성. User들은 그룹으로 묶을수도 o
ex) 사용자(User) A, B, C, D, E, F 중 A, B, C는 Developers, D, E는 Operations면 Developers, Operations 그룹을 만들어서 A,B,C와 D,E를 묶어줌

- Groups는 사용자만 포함가능, 다른그룹은 포함 불가

- Group에 속하지않은 user도 가능
ex) 아까 유저 중 F는 어느 그룹에도 속하지 x

- 한 user가 여러 group에 속하기 가능
ex) C와 D만 포함된 Audit Team이란 group 새로 만들면 C는 developers와 Audit Team 둘다에 포함되는거임

 

2. IAM과 Permission

- IAM에서 만든 user, group만 AWS 계정 사용 가능!

- AWS 접근 허용하기 위해서는 그들에게 permission(권한)도 부여해야함

 

Permisson 주는 방법

- Users, Groups에 policies라고 불리는 JSON 문서 할당

- Policies가 users의 permissions 정의

- AWS에선 least privilege principle (user가 필요한것보다 더많은 permission 주지않는것) 적용!!!

 

3. IAM policies 상속(Inheritance)⭐️

ex)

- A, B, C가 Developers 그룹에 속해있고 policies를 그룹단위로 연결할 경우, 해당 policies는 그룹 구성원 모두(A, B, C)에게 적용, A,B,C 모두 권한을 얻고 policies의 상속이 가능해짐

- D, E는 Operations 그룹에 속해있고, Developers 그룹과 다른 policies를 적용받음

- 그룹에 속하지 않은 F의 경우, 그룹 상관없이 원하는 user에게만 연결이 가능한 inline policies 적용 가능

- C, D가 원래 팀 외에 Audit Team에도 속해있는 경우, Audit Team의 policies도 상속받게 됨 (C는 Developers와 Audit Team의 Policies가 적용, D는 Operations와 Audit Team의 Policies가 적용)

 

4. IAM Policies 구조 (JSON)⭐️

 

- Version: 정책 언어 버전. 항상 "2012-10-17"

- Id: policy의 id (optional)

- Statement: 1개이상의 statements (필수)

 

⭐️Statement 구조⭐️

 

- Sid: Statement Id (optional)

- Effect: statement가 특정 api 접근을 허용하는지(거부하는지)

- Principal: policy가 적용될 user/account/role

- Action:이 policy가 허용(또는거부할) actions의 리스트

- Resource: 적용될 action의 리소스 리스트

- Condition: statement가 언제적용될지 결정(optional)