02. IAM (Identity and Access Management)

1. MFA란?

MFA  = 내 password + 나의 security device

암호보다 보안에 더 강력함

혹시 해킹당해 비밀번호를 잃어버리더라도 해커가 개인의 security device를 소유하지 않는 이상 계정이 손상되지 않음

 

1) Virtual MFA device

• Google Authenticator : 하나의 장치에 여러 개의 token 지원 가능, 백업 기능 X
• Authy : 하나의 장치에 여러 개의 token 지원 가능, 백업 및 동기화 가능

 

2) Universal 2nd Factor (U2F) Security Key

• YubiKey

 

 

2. IAM 사용 시 주의사항

• 계정 생성할 때를 제외하고 root account는 사용하지 않기!
• 하나의 AWS user = 하나의 physical user (다른 사용자 추가 시 자격증명 주지 말고, 다른 사용자 생성)
• 그룹에 사용자를 할당할 수 있으며 그룹에 권한 할당 가능
• 암호는 강력하게
• 보안을 강력하게 하고 싶다면 MFA 이용
• AWS 서비스에 권한을 줄 때마다 역할을 생성하고 사용해야 함
• CLI / SDK 사용 시 Access Key 생성해야 함
• 계정의 승인을 편집하기 위해서는 IAM Credentials & IAM Access Advisor 기능 사용
• IAM users & Access Keys는 절대 공유 금지!!!

 

⭐ 정리

1) Users

• 실제 사용자와 매핑되어야 함
• AWS Console에 대한 암호 가짐

2) Groups

• 사용자들을 그룹화 가능
• 사용자 전용

3) Policies

• 사용자나 그룹에 대한 허가 개요에 관한 정책 첨부
• JSON 형태의 문서 공유

4) Roles : 역할 부여 가능

 

5) 보안 : MFA + Password 정책

 

6) AWS CLI : command-line을 이용해 AWS 서비스 관리

    AWS SDK : 프로그래밍 언어를 통해 AWS 서비스 관리

 

7) Access Keys : CLI / SDK 를 이용해 AWS에 접근하기 위한 Access Key 생성

 

8) Audit : IAM Credential Reports & IAM Access Advisor 이용