AWS Identity and Access Management(IAM)
- AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스
- IAM 사용자를 생성하여 적절한 권한만을 주어 모범을 준수하고, 사용자를 하나로 묶어 관리할 수 있는 IAM 그룹 기능도 존재함. 그룹 전체에 특정 리소스 액세스 권한을 부여하게 되면, 그 그룹에 존재하는 모든 사용자는 모두 같은 권한을 가지고 리소스에 액세스할 수 있음
- 사용자가 액세스할 수 있는 AWS 리소스를 제어하는 권한을 관리할 수 있음
- IAM에는 정책과 역할이 존재하는데, 정책이란 AWS 서비스 관련 작업을 수행하기 위한 권한을 뜻함
정책: 사용자 및 그룹에 부여할 수 있음
정책 종류 2가지
1. AWS 관리형 정책(Managed Policy): 기존에 정의되어 있음
2. 고객 관리형 정책(Customer Policy): 사용자가 직접 생성함
역할: 사용자 및 그룹과 AWS 서비스에도 부여할 수 있음
역할의 경우, 그냥 진짜 역할놀이라고 생각하면 되는데 쉽게 말하자면 모자!를 쓴다고 생각하면 어렵지 않음. 경찰 모자쓰면 경찰관, 소방관 모자 쓰면 소방관 같은 느낌으로 접근하면 됨
S3에 접근할 수 있는 모자(역할)를 생성할 경우, 이 모자를 사용자에게 씌워주거나 AWS 서비스에 씌워줄 수가 있는데
1. 사용자에게 씌워주기 = > 스토리지 관리자 역할이 됨. S3 버킷 생성, 삭제, 변경 등의 활동을 할 수 있음
2. AWS 서비스에 씌워주기 => 예를 들어 EC2 인스턴스 하나에 이 모자를 씌워준다면, EC2는 S3에 있는 리소스에 접근할 수 있게 됨. S3 버킷에 저장되어 있는 리소스를 가져오는 등의 권한을 가지게 됨
* AWS에서는 보안 토큰을 생성하여 일시적인 액세스 권한을 부여할 수 있는데, 이를 AWS STS(Security Token Service)라고 한다.
** 다른 계정 또는 리소스에 액세스할 수 있는 방법도 있는데, 이를 Assume Role이라고 함
*** 일반적인 STS, Assume Role 사용 방법
: STS를 사용한 일시적인 자격 증명 생성 -> Assume Role 호출 -> AWS 리소스 액세스 권한 부여
[IAM의 모범 사례]
1. IAM 역할 부여
2. 적절한 IAM 정책 연결
* 이거 왜 이렇게 함? => IAM 역할의 경우, 임시 보안 자격 증명을 제공하기 때문에 장기적인 액세스 키를 생성하지 않아도 됨. 다른 파트너사나 개발사에게 최소한의 권한만을 부여할 수 있음
문서
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html
IAM이란 무엇입니까? - AWS Identity and Access Management
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS IAM Identity
- 여러 AWS 계정과 애플리케이션에 대한 통합 인증 및 권한 관리 제공 서비스
- 액세스를 간소화하는 것이 특징임
문서
https://docs.aws.amazon.com/ko_kr/singlesignon/latest/userguide/what-is.html
IAM아이덴티티 센터란? - AWS IAM Identity Center
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Cognito
- AWS에서 제공하는 웹 및 모바일 앱을 위한 자격 증명 플랫폼으로, AWS 자격 증명을 위한 권한 부여 서비스
- Cognito에는 사용자 풀과 자격 증명 풀이 존재
1. 사용자 풀(User Pools)
- 사용자 인증 및 관리 기능을 제공하며, 등록, 로그인, 비밀번호 설정 등을 할 수 있음
- 사용자와의 상호작용에 관련된 기능을 제공하고 있음
- 자체적인 사용자 디렉토리를 관리하고 있으며, 다양한 IdP(ID 공급자, ID Provider)와 통합할 수 있음
2. 자격 증명 풀(Identity Pools)
- AWS 리소스 접근을 위한 임시 자격 증명 기능 제공
- 사용자에게 특정 AWS 서비스에 대한 접근 권한을 관리하고 부여하는 기능을 제공하고 있음
문서
https://docs.aws.amazon.com/ko_kr/cognito/latest/developerguide/what-is-amazon-cognito.html
Amazon Cognito란 무엇입니까? - Amazon Cognito
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
Key Management
AWS Key Management Service(AWS KMS)
- 암호화 키를 쉽게 만들고 제어할 수 있게 해주는 완전 관리형 서비스
- KMS에서 키를 직접 발급받을 수도 있고, 외부에서 키를 생성하여 등록할 수도 있음
- 일반적으로 대칭 암호화 KMS키를 사용하지만, 암호화 및 서명을 위한 비대칭 KMS 키를 생성하여 사용할 수도 있음
문서
https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/overview.html
AWS Key Management Service - AWS Key Management Service
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS CloudHSM
- 클라우드 하드웨어 보안 모듈로, 암호화 작업을 처리하고 암호화 키를 안전하게 저장하는 컴퓨팅 장치
문서
https://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/introduction.html
무엇입니까 AWS CloudHSM? - AWS CloudHSM
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Secrets Manager
- 비밀 정보(자격 증명, 암호화 키 등 기타 정보)를 안전하게 관리할 수 있도록 도와주는 중앙 관리형 서비스
- 안전하게 저장하고 액세스를 자동으로 제어함으로써 보안을 강화하고 운영 효율성을 높임
문서
https://docs.aws.amazon.com/ko_kr/secretsmanager/latest/userguide/intro.html
AWS Secrets Manager란 무엇인가요? - AWS Secrets Manager
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Certificate Manager(AWS ACM)
- 애플리케이션 보안 강화를 위한 SSL/TLS 인증서를 관리하고 배포할 수 있도록 도와주는 서비스
- 인증 기관(CA)로부터 SSL/TLS 인증서를 자동으로 발급받을 수 있음
- 여러 서비스와 통합되어 인증서를 쉽게 배포할 수 있으며, 별도의 설정 없이도 보안 연결을 구현할 수 있음
- ACM에서 제공하는 공개 인증서의 경우, 추가 비용 없이 사용할 수 있음
문서
https://docs.aws.amazon.com/ko_kr/acm/latest/userguide/acm-overview.html
무엇입니까 AWS Certificate Manager? - AWS Certificate Manager
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Directory Service
- AWS 클라우드 환경에서 디렉터리 기반의 리소스를 관리할 수 있도록 도와주는 서비스
- 온프레미스 환경도 지원해주고 있음 => AD Connector를 사용하여 연결할 수 있음
AD Connector: 온프레미스 Active Directory에 직접 연결할 수 있는 디렉터리 게이트웨이 역할을 하는 서비스
이게 뭐야?
https://docs.aws.amazon.com/ko_kr/directoryservice/latest/admin-guide/what_is.html
이게 뭐야 AWS Directory Service? - AWS Directory Service
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
AWS Resource Access Manager (AWS RAM)
- AWS 리소스를 안전하고 효율적으로 공유할 수 있도록 지원하는 서비스로, 조직 내 다양한 팀/부서, 외부 파트너와 리소스를 손쉽게 공유할 수 있음
- 다중 계정 환경을 관리할 때 유용하게 사용됨
- 여러 계정에서 동일한 VPC 서브넷을 사용할 수 있어 네트워크 구성을 단순화할 수 있으며, 이는 중앙화된 네트워크 관리가 가능해짐
문서
https://docs.aws.amazon.com/ram/latest/userguide/what-is.html
What is AWS Resource Access Manager? - AWS Resource Access Manager
What is AWS Resource Access Manager? AWS Resource Access Manager (AWS RAM) helps you securely share your resources across AWS accounts, within your organization or organizational units (OUs), and with AWS Identity and Access Management (IAM) roles and user
docs.aws.amazon.com
'클라우드 컴퓨팅 > AWS 이론' 카테고리의 다른 글
| [AWS-SAA] 4-2. Content Delivery (0) | 2024.09.30 |
|---|---|
| [AWS-SAA] 5-1. Security (0) | 2024.09.29 |
| [AWS-SAA] 5-3. Compliance (0) | 2024.09.29 |
| [AWS-SAA] 6-1.Devops (0) | 2024.09.29 |
| [AWS-SAA] 6-2. Monitoring (0) | 2024.09.29 |