AWS IAM ?
IAM은 Identity Access Management의 악어로 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있게 해주는 서비스이다.
즉, AWS의 사용자 계정, 권한, 역할 등을 관리할 수 있는 서비스이다.
AWS 계정을 생성할 떄는 해당 계정의 모든 AWS 서비스 및 리소스에 대한 Full Access 권한이 있는 계정으로 시작하게 되는데 이 사용자를 "루트 사용자"라고 하고, 처음 시작 할 경우 Email 및 Password를 통해 액세스할 수 있게 된다.
이는 AWS를 사용함과 동시에 MFA(Multi-Factor Authentication)를 설정하고 일상적인 작업에서는 루트 사용자 계정을 사용하지 않는 것을 권장한다.
루트 사용자 계정을 일상 작업에 사용하지 않는 것을 권장하는 이유는 루트 사용자의 경우 모든 계정과 리소스에 대한 모든 액세스 권한을 제어할 수 있기 때문에 상당히 강력한 계정이기에 자칫 문제가 발생할 경우가 많기 때문에 루트 사용자는 청구 문제, 대체 연락처 변경 등의 문제 등 중요한 작업(루트 사용자만 할 수 있는 작업)에 최소한으로만 사용하는 것을 권장한다.
IAM 기본적인 보안 설정
루트 사용자 액세스 키 삭제
AWS Console에 접근한 후 우측 상단에 계정->보안 자격 증명으로 이동한다.
보안 자격 증명으로 접근한 후 아래로 이동하면 "액세스 키" 섹션을 확인할 수 있다.
만약 AWS 루트 사용자의 액세스 키가 발급되어 있을 경우에는 삭제하는 것을 권장한다.
또한, IAM Users를 생성한 후 액세스 키를 발급하여 사용할 경우에는 발급 날짜로부터 90일까지 사용하도록 하고, 기간이 지날 경우 재발급하여 사용하는 것을 권장한다.
MFA(Multi-Factor Authentication) 설정
액세스 키 설정과 동일하게 "보안 자격 증명"으로 이동한 후 진행한다.
MFA를 설정하는 이유는 공격자에게 계정이 탈취당하더라도 계정에 액세스하기 위해 또 다른 인증 수단을 추가적으로 거치게 하여 공격자가 더 많은 리소스를 사용할 수 밖에 없도록 구현하기 위함이다.
보안 자격 증명에서 멀티 팩터 인증(MFA) 섹션에서 MFA 디바이스 할당을 클릭해 MFA 설정을 시작한다.
디바이스 이름과 사용할 디바이스를 선택하여 MFA 설정을 진행한다.
보통은 모바일 디바이스를 이용한 MFA 설정을 많이 진행한다. (필자의 경우 Google Authenticator 앱을 설치하여 사용중임)
암호 정책 설정
IAM Console -> 계정 설정 -> 암호 정책 편집으로 이동하여 일상적인 작업에 일반 IAM User를 사용하기 전 강력한 암호를 강제할 수 있도록 암호 정책을 설정한다.
위 사항은 권장 사항으로 사용자의 환경에 맞게 설정하여 사용하여도 됨
IAM User 생성
루트 사용자의 경우 강력한 제어 권한을 가지고 있기 때문에 앞서 계속 설명했던 것과 같이 일상적인 작업에는 루트 사용자를 사용하지 않는 것을 권장한다.
따라서 위와 같이 IAM User를 생성하여 사용하도록 한다.
참고 자료
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html#intro-video
https://twodragon.tistory.com/609?category=1057789
IAM이란 무엇입니까? - AWS Identity and Access Management
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
클라우드 시큐리티 과정 4기 - 3회차 AWS 아키텍처 및 보안 심화
안녕하세요. Twodragon입니다. 클라우드 시큐리티 과정 4기 강의를 시작하게 되었고, 게더 타운(Gather Town)에서 진행되는 일정을 소개드리려고 합니다. 먼저 게더 타운 진행 스케줄은 총 2시간(20분
twodragon.tistory.com
'Cloud > Amazon Web Service' 카테고리의 다른 글
| AWS EC2 Instance Storage (AWS EC2 인스턴스 스토리지 종류) (0) | 2024.03.30 |
|---|---|
| IAM(Identity Access Management) 계정 관리 및 Key Pair 관리 (IAM 보안) (0) | 2023.12.24 |
| Amazon S3(Simple Storage Service) / S3를 이용한 정적 웹 배포 (0) | 2023.12.01 |
| Amazon CloudWatch, CloudTrail, Config 정리 (2) | 2023.11.03 |
| VPC(Virtual Private Cloud)란? / VPC 및 서브넷(Subnet) 구성 실습 (0) | 2023.09.24 |
