[AWS] IAM 계정 생성하기

IAM 이란?

IAM(AWS Identity and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스이다. IAM을 사용해서 리소스를 사용하도록 인증 및 권한 부여된 대상을 제어한다.

 

루트 계정은 IAM 계정을 만들 때만 사용하고 되도록이면 모든 건 IAM 계정을 생성하여 IAM 계정에서 AWS 서비스를 사용하도록 권장하고 있다.

• AWs 어카운트 관리 및 리소스/ 사용자/ 서비스의 권한제어
  • 서비스 사용을 위한 인증 정보 부여
• 사용자의 생성 및 관리 및 계정의 보안
  • 사용자의 패스와드 정책관리
• 다른 계쩡과의 리소스 공유
• IAM은 글로벌 서비스( 리전별 서비스가 아님)

IAM 구성

• 사용자
  • 실제 AWS를 사용하는 사람 혹은 어플리케이션을 의미
• 그룹
  • 사용자의 집합
  • 그룹에 속한 사용자는 그룹에 부여된 권한을 행사
• 정책
  • 사용자와 그룹, 역할이 무엇을 할 수 있는지에 관한 문서
  • JSON 형식으로 정의
• 역할
  • AWS 리소스에 부여하여 AWS리소스가 무엇을 할 수 있는지를 정의
  • 혹은 다른 사용자가 역할을 부여받아 사용
  • 다른 자격에 대해서 신뢰관계를 구축 가능
  • 역할을 바꾸어 가며 서비스를 사용가능

IAM 모범사용 사례

• 루트 사용자는 사용하지 않기
• 불필요한 사용자는 만들지 않기
• 가능하면 그룹과 정책을 사용하기
• 최소한의 권한만을 허용하는 습관을 들이기
• MFA를 활성화 하기
• AccessKey 대신 역할을 활용하기
• IAM 자격 증명 보고서 활용하기

 

1) 보안자격 증명 클릭

2) 사용자 클릭

• 사용자 추가 클릭
•  

3) 사용자 추가

• 사용자 이름 설정해준다 
•  

4) 권한 설정

• 기존 정책 직접 연결 클릭
• AdministratorAccess 권한( aws 모든 권한 부여 단, 빌링 제외) 클릭

4) 선택사항

• 선택사항들은 그냥 넘기도록 하자 다음 클릭
•  

5) 검토

• 검토 후 사용자 만들기 클릭
•  

5) 생성 완료 (성공)

• 절대로 비밀 액세스 키는 공개되면 안 된다
• 공개된다면 나쁜 맘을 먹은 사람들이 나의 아이디로 접속해 비트코인 등 AWS서버를 사용해서 채굴을 해서 나중에 천문학적인 요금 폭탄을 먹을 수도 있으니 반드시 반드시 액세스 키는 공개하지 않도록 한다.

이제 루트 계정이 아닌 IAM계정으로 로그인하여 네트워크를 구성하고 , 루트 계정은 안전하게 보관하도록 하자 

 

이제는 IAM 계정을 활용해서 본격적으로 AWS를 사용을 해야겠다.