[AWS] IAM 사용자와 그룹 생성

IAM(Identidy and Access Management)

• 사용자를 생성하고 그룹에 배치해서 글로벌 서비스라 할 수 있다

사용자와 그룹

• 계정 생성시 루트 계정 만드는 것도 IAM이라 할 수 있음
• 루트 계정은 더 이상 생성할 수 없음
• 사용자 생성 시 하나의 사용자는 조직 내 한 사람에 해당
• 사용자들을 하나의 그룹으로 묶을 수도 있음
  • 그룹에는 사용자만 배치 할 수 있으며 다른 그룹을 포함할 수는 없다
  • 그룹에 포함되지 않은 사용자가 존재할 수 있다(추천하지 않음)
  • 한 사용자가 여러 그룹에 속할 수 있다
• 사용자와 그룹을 생성하는 이유 :
  • AWS 계정을 사용하도록 허용하기 위해서이다.
  • 허용을 위해서는 권한을 부여해야 하는 데 이를 위해 사용자 또는 그룹에게 정책 또는 IAM 정책이라고 불리는 JSON 문서를 지정할 수 있다.
    • JSON 문서 : 특정 사용자 혹은 특정 그룹에 속한 모든 사용자들이 어떤 작업에 권한을 가지고 있는지 설명해놓은 문서, 사용자들이 해당 JSON 문서를 통해 AWS 서비스를 이용하도록 허용한다.
      • 사용자들의 권한을 지정하기 위해서 사용
      • 새로운 사용자가 너무 많은 서비스를 실행하여 큰 비용이 발생하거나 보안문제를 발생할 수 있어 최소 권한의 원칙을 적용(사용자가 꼭 필요하는 것 이상으로 권한을 주지 않는다.)

사용자와 그룹 생성

• IAM에서는 사용자와 그룹이 글로벌 관점에서 생성됨
• IAM Dashboard로 이동 : https://us-east-1.console.aws.amazon.com/iamv2/home?region=ap-northeast-2#/home

Access management - Users

• 사용자 생성 : Add users
  • 사용자 생성하는 이유 : 상단 계정을 선택해보면 루트 사용자를 사용 중인데 루트 사용자는 계정에 대한 모든 권한을 가지고 있다. 그래서 위험(보안 상의 이유)할 수 있으므로 별도의 관리자 계정을 만드는 것이 좋다.(관리자 계정 또한 루트 계정이 할 수 있는 모든 권한을 설정해 놓아 루트 계정은 사용하지 않아도 된다) -> 루트 계정은 반드시 꼭 필요할 때만 사용
  1. User name 작성
  2. 자격 증명 방식(Select AWS access type)
     • Password - AWS Management Console access(비밀번호 방식 자격 증명 활성화) 선택
  3. console password
     • Autogenerated password : 비밀번호 자동 생성
     • custom password : 비밀번호 직접 입력 v
  4. Require password reset : 비밀번호 초기화 미설정
  5. Next Permission 버튼 클릭
  6. 사용자 그룹 배치(Set permissions - Add user to group) : admin 그룹 선택
  7. Next: tags 버튼 클릭
  8. Add tags (나는 설정 안함)
     • AWS에서는 어디에서든 태그 찾을 수 있음
     • 사용자의 접근을 추적, 조직, 제어 할 수 있도록 도와줌
     • 특정 사용자에 대해 단순히 정보 추가하는 것
     • 태그 설정 방법 : ex) 사용자가 속한 부서가 엔지니어링이라면 Key는 부서(Department), Value는 엔지니어링(Engineering)로 태그 설정
  9. Next:Review 버튼 클릭
  10. Review : 만든 사용자의 개요를 볼 수 있음\
  11. Create User 버튼 클릭
  12. Download .csv 버튼 클릭하여.csv 파일 다운로드
      • 특히 비밀번호를 자동으로 생성했다면 꼭 다운로드!
      • 해당 파일 내부에는 사용자들의 자격 증명 정보가 들어있음
      • Send email 링크를 통해 타인을 위한 사용자를 생성한 경우 특정 메일 주소로 로그인에 대한 설명을 전송할 수 있음
  13. close 버튼 누른 후 사용자 생성 완료
• 사용자 정보(사용자 이름 클릭)
  • permissions : 사용자에 연결된 정책 보여줌, 그룹으로부터 승계된 관리 정책임을 볼 수 있는 것은 policy types
• 특정 사용자로 로그인 하기
  • IAM dashboard로 이동 : https://us-east-1.console.aws.amazon.com/iamv2/home?region=ap-northeast-2#/home
  • AWS Account : aws 계정 요약 정보를 볼 수 있음, 상단의 이름과 요약 정보와 동일한지 확인 가능
    • Account Alias(계정 별칭): 숫자를 기억하는 게 어려운 경우 빠르게 로그인 하기 위해 create로 새로운 계정 별칭으로 설정 가능
    • Sign-in URL for IAM users in this account : 별칭에 맞춰 조정된 로그인 url
  • IAM 특정 사용자로 로그인
    • Sign-in URL for IAM users in this account의 해당 url을 복사해서 새탭으로 열기(시크릿 모드의 탭 혹은 아예 다른 웹 브라우저를 사용하여 열어야 함)
    • aws 로그인 화면에서 root user(루트 계정으로 로그인)과 IAM user 중 IAM user 모드 선택
• IAM 사용자로 로그인 하면 상단 계정 정보에 IAM사용자이름@계정별칭 으로 되어 있음

 

Access management - Users groups

• 어떤 그룹이 있는지 보여줌
• 그룹 이름 클릭 시
  • Users : 해당 그룹 내 사용자 정보 파악 가능, 사용자 이름 클릭 시 Users로 넘어가 해당 사용자의 정보 볼 수 있음
  • Permissions : 어떤 정책들(Policies)이 연결되어 있는 지 확인 가능
• 그룹 생성(create group) : 이 곳 말고도 사용자 생성시에도 만들 수 있음
  • 그룹 이름 admin 설정
  • amin 그룹에 배치된 사용자는 이 그룹에 부여된 권한을 승계함, 권한(Access)은 정책(Policies)을 통해 정의됨
  • admin 그룹에 AdministratorAccess 정책 연결(체크 표시) : admin 그룹에 속한 모든 사용자가 계정의 관리자 역할을 하도록 허용, 즉 그룹 내 사용자들에게 전테 관리자 권한을 제공