IAM(identity and access management)

IAM(Identity and Access Management)

• 사용자들의 계정에 대한 관리
• 유저를 관리하고 접근 레벨 및 권한에 대한 관리를 가능케 해줌
• universal 함. 즉 지역 설정이 필요 없음!

 

루트 유저

• 새로운 계정을 생성하면, 그 계정은 루트유저가 됨. 루트 유저는 모든 권한을 가지고 있는 슈퍼유저를 의미
• 여담이지만, 루트 유저는 패스워드 입력외에도 구글이나 페이스북을 활용해 보안을 강화하는 다중 인증 기능을 해야한다고 아마존에서 적극 권장

 

유저의 생성 

• 루트 유저는 다른 유저를 생성하고, 그 유저의 접근키와 비밀키를 생성해줄 수 있음
  • 생성된 유저는 접근키와 비밀키를 가지고 AWS의 다양한 서비스에 접근가능 
  • 접근키와 비밀키는 비밀번호같은 것은 아님
• 루트유저는 생성한 유저의 권한을 세밀하게 설정해줄 수 있음
  • ex)A유저를 생성하고, A유저에게 테이블에 접근 및 생성 권한만을 주고, 삭제 및 수정기능은 주지 않을 수 있음

 

정책, 그룹, 역할

• 루트 유저는 단순히 유저 생성외에도 그룹, 역할, 정책을 생성하여 관리할 수 있음
• 정책 : json형태로 되어 있는 document로, 접근 권한(레벨)에 대한 정보에 관함. 그룹/역할에 추가시킬 수 잇음
• 그룹 : 하나의 유저 혹은 다수의 유저를 묶고 명명하는 기능
• 역할 : 하나 혹은 다수의 정책을 지정해줄 수 잇음.

 

IAM 정책 시뮬레이터

• 개발환경에서 실제환경으로 빌드하기 전에, 미리 정의내린  IAM 정책에 따라 권한이나 기능이 잘 분배 되고 잘 작동되는지를 테스트 하는 기능
• 예를 들어, A유저가 DB생성 권한이 없도록 IAM정책을 짰다면, 실제로 A유저의 아이디로 시뮬레이션을 돌려 정말로 (권한이 없어서) DB를 생성할 수 없는 것인지 확인하는 것
• IAM과 관련된 문제들