⭐ AWS/IAM (8) 썸네일형 리스트형 교차 계정 접근 (AWS STS - Security Token Service) # AWS 계정 교차접근 하기 1. AWS 교차 계정 접근이란? - 보통은 AWS 계정의 IAM 사용자는 하나의 IAM 계정에 AWS 리소스에 접근이 기본이다. 그런데 한 AWS 계정의 IAM 사용자가 다른 AWS 계정의 IAM 사용자의 AWS 리소스에 엑세스 해야할 때가 있다. 그럴때 AWS 계정 교차 접근을 해야한다. (한 AWS 계정의 IAM 사용자가 다른 AWS 계정의 IAM 사용자의 AWS 리소스에 엑세스 하는것.) 예시는 아래와 같다. 아래의 AWS Account를 보면 (2)라고 표시된것을 확인 할 수 있다. 현재 계정이 접근 가능한 AWS Account계정은 2개라는 뜻이다. 2. 교차 계정 접근이 필요한 이유? - 첫째는 보안 때문이다. AWS는 보안을 최우선으로 하며, 사용자 권한관리는.. AWS 사용자 계정 부여 프로세스? # AWS 사용자 계정생성 프로세스 1. aws.test.com 등의 주소를 통해 해당 도메인 및 회사의 콘솔에 접근이 가능하다. 2. 콘솔에 접근을 하면 해당 사용자가 사용할 수 있는 서비스 리스트를 확인할 수 있다. (보통은 교차 계정 엑세스를 통해 구현된다.) 3. 해당 사용 가능한 서비스를 클릭하여 accesskey와 secretkey등을 확인할 수 있다. (accesskey와 secretkey는 아이디와 패스워드 같은 의미로 해당 계정이 AWS 서비스를 이용할때 사용 가능한 서비스들에 대한 접근 권한을 부여한다. 한마디로 ID와 Password로 로그인을 하면 해당 계정에 사용 가능하고 접근 가능한 리스트를 확인 가능하고 접근이 가능하다.) 4. 인증은 보통 CMD 화면에서 aws configu.. ✈ AWS IAM 정책과 역할을 정리 # 정책과 역할의 정리 - 위의 내용을 토대로 정책과 역할을 간단하게 설명하자면 역할은 사용자, 그룹, 역할 등을 정의한다. 그리고 정책은 사용자, 그룹, 역할에 대한 서비스에 대한 접근을 관리한다. - 위의 사용자(User)에서 특정 사용자를 생성한다. 해당 사용자가 접근 가능한 서비스 및 권한은 정책을 통해서 설정 할 수 있다. 아래의 예시를 보면 이해가 쉽다. 위의 그림에서 첫번째에 해당이 된다. 특정 사용자가 있고, 해당 사용자가 가지고 있는 정책은 아래와 같이 설정 되어 있다. kim 이라는 사용자는 아래와 같은 정책에 등록된 서비스만 접근이 가능하다. 이와 마찬가지로 그룹 및 Role도 특정 정책을 등록해 놓으면 해당 정책에 등록된 서비스만 접근이 가능하다. 역할 이라는 말이 좀 생소해서 그렇.. IAM 정책 예제 사이트 # IAM 관련 다양한 정책 예제를 확인할 수 있는 사이트 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_examples_aws-dates.html AWS: 날짜 및 시간에 따라 액세스 허용 - AWS Identity and Access Management AWS: 날짜 및 시간에 따라 액세스 허용 이 예제는 날짜 및 시간을 기준으로 작업에 대한 액세스를 허용하는 아이덴티티 기반 정책을 생성하는 방법을 보여줍니다. 이 정책은 2020년 4월 1일부터 2020 docs.aws.amazon.com # Github 검색 → iam policy example https://github.com/search?q=iam+policy.. 사용자 리전별 제한 # 특정 사용자가 리전별 리소스 제한을 할 수 있도록 설정한다. 1. IAM에서 사용자를 생성하거나, 기존의 생성된 사용자 정보를 수정한다. - 예를들어 test 라는 계정이 존재한다면, test라는 계정을 클릭하여 계정의 요약 정보에 들어간다. 2. 권한 추가 - 해당 정보 화면에서 권한 추가를 통해 아래에서 설정한 권한을 입력하여 넣어준다. 3. 권한 생성하기 - 인라인 정책 추가를 통해 아래의 코드를 json 형태로 넣어준다. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestedRegion": [ ".. AWS가 권장하는 IAM BestPractice 10가지 1. AWS Account 계정의 AccessKey와 SecretKey 사용 금지. AccessKey와 SecretKey는 막강한 권한을 가지고 있으므로 절대 노출되어서도 안되고, 만약 노출이 된다면 SDK나 CLI를 통해 해당 Account를 통해 생성한 모든 리소스 자원이 접근이 가능하므로 사용을 하지 않는것을 권장한다. 2. AWS 관리자가 여러명 있다면 관리자 별로 아이디를 생성하라. 하나의 아이디를 생성 후 공유하여 사용하는것을 매우 위험한 방법이다. 관리자가 여러명 있다면 아이디를 개별적으로 생성하여 각각의 관라지에게 알맞는 권한으로 아이디를 부여하는 것이 맞다. 그리고 각각 관리자이게 필요한 권한을 부여하고, Administrator Access 권한을 남발해서는 안된다. 3. 권한 부여시 .. IAM MFA를 활성화 하자 - AWS 서비스에서 IAM을 선택하고 서비스로 들어간다. - IAM 대시보드에서 위의 그림과 같이 MFA를 활성화를 클릭하여 활성화 작업을 시작한다. - MFA 활성화 버튼을 클릭하여 활성화 작업을 시작한다. - 가상 MFA 디바이스를 선택하여 모바일 및 다른 앱을 사용하여 인증하는 옵션을 사용한다. - AWS에서도 추천하고 가장 일반적인 OTP APP은 Google OTP 이다. - Google OTP 앱을 설치하여 MFA 인증을 수행하자. - 중간에 QR코드 인증 및 확인 작업을 수행한다. - MFA 작업이 모두 완료가 되면 위와같이 화면이 생성된다. - 실제로 AWS 콘솔을 로그아웃 하여 새로 로그인 시 MFA 코드를 입력하라는 화면이 나온다. - 여기에 구글 OTP 앱을 실행하여 나오는 6자리 .. IAM 정책설정 및 키값 생성 IAM 이란? Identity and Access Manager 의 약자. AWS의 모든 솔루션의 서비스 및 자원에 대해 개별적으로 권한을 부여할 수 있는 권한 관리 솔루션이다. 이것이 필요한 이유는, AWS에는 솔루션이 무지하게 많다. 그런데 aws 사용자가 생성한 계정은 하나 뿐이다. 그 말은 즉슨, 회사 A가 AWS 솔루션을 사용하고 있다고 가정할 때, - 서비스가 10개든 100개든 한계정으로 관리해야하며 - 10개, 100개 되는 서비스들 사이에 불필요한 권한들이 다 포함되며 - 서비스들의 모든 담당자가 AWS Root 계정을 공유해야하고 - 담당자가 바뀌거나, 임시 파견직에게도 Root 계정을 공유해야한다. 그래서 아마존이 이러한 권한 분리 문제를 해결하기 위해서 만들어놓은 것이 IAM 이다... 이전 1 다음