AWS IAM - 사용자, 그룹, 역할, 정책

AWS IAM(Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스 이다.

어떤 서비스, 시스템 이든 아무나에게 오픈할 수 는 없다. 특히나 AWS의 콘솔 접근의 경우 시스템에 대한 막대한 권한을 갖을 수 있기 때문에 등록된 사용자의 접근과 사용자 별 권한에 따른 접근 제어는 필수적인 사항이다. AWS IAM은 AWS 서비스를 사용하는데 있어 이러한 사용자 관리와 권한 관리를 해주는 서비스다.

 

최초에 생성하는 root 계정을 제외하고 이외에 AWS 서비스들을 사용하려면 기본적으로 IAM을 통해 사용자를 생성하여야 한다. 기본적으로 초기에 이메일로 생성한 root 사용자의 경우 모든 권한을 보유하고 있기 때문에 일반적인 작업을 진행시 root 사용을 금지하는 것을권장하고 있다. 따라서 IAM을 통해 사용자를 생성하고 사용자가 접근할 수 있는 AWS 리소스를 제어하고 권한 관리를 중앙에서 할 수 있도록 도와준다.

 

IAM은 어느 사용자가 어떤 리소스에 접근하는지에대한 자격증명과 무엇을 어디까지 허용할 지에 대한 권한을 가집니다. IAM을 통해 사용자, 사용자 그룹을 만들어 개별적인 사용자나 그룹별 사용자들에게 필요한 권한을 부여하고 제어할 수 있습니다.

 

AWS IAM은 AWS를 사용하는 사용자를 생성하고 특정한 목적에 따른 권한을 부여하여 각 리소스별 접근을 제어할 수 있습니다. 또한, 특정한 목적을 가진 사용자들을 그룹으로 지정하여 해당 그룹에 속한 사용자들을 세분화해서 각 리소스에 대한 접근제어를 관리할 수 있도록 해다.

 

IAM을 사용하면 사용자가 액세스할 수 있는 AWS 리소스를 제어하는 권한을 중앙에서 관리할 수 있다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어한다.

 

IAM을 구성하는요소는 크게 사용자, 사용자 그룹, 역할, 그리고 정책이다. 정책의경우 각사용자의 권한을 정의할수있다. 

 

• 사용자그룹( User Groups)
  • A user group is a collection of IAM users. Use groups to specify permissions for a collection of users.
  • 사용자 그룹은 사용자들의 집합으로 그룹을 통해서 사용자 집합에 대해 권한을 지정할 수 있음.
• 사용자 (Users)
  • An IAM user is an identity with long-term credentials that is used to interact with AWS in an account.
  • IAM 사용자는 계정에서 AWS와 상호작용하는데 사용되는 장기 자격 증명을 갖고 있는 하나의 신분이다.
• 역할(Roles)
  • An IAM role is an identity you can create that has specific permissions with credentials that are valid for short durations. Roles can be assumed by entities that you trust.
  • IAM 역할은 단기간 동안 유효한 자격 증명을 가진 특정 권한이 있는 자격 증명이다. 신뢰할 수 있는 개체가 역할을 맡을 수 있다.
  • 역할은 특정 개체에 권한을 부여할 수 있다는 점에서 사용자(User)와 유사하지만, 사용자의 경우는 하나의 사람을 대표하게 된다면 역할의 경우 서비스 및 사용자와 같은 신뢰할 수 있는 개체 모두를 대표할 수 있다. 그러나 역할에는 암호 또는 액세스 키와 같은 장기 자격 증명 기능이 없지만, 역할을 수행하는 동안에만 단기 자격 증명을 가지고 수행할 수 있게 된다. 
• 정책(Policies)
  • A policy is an object in AWS that defines permissions.
  • 정책은 권한을 정의하는 AWS의 객체이다.