[AWS] IAM Roles & Security Tools

IAM Role

• AWS 서비스 몇 개는 계정에서 실행해야 한다. 이를 위해 AWS 서비스에 권한을 부여해야 하는 데 이를 위해서는 IAM Role을 만들어야 한다.
• IAM Role은 사용자와 같지만 실제 사람이 사용하도록 만들어진 것이 아닌 AWS 서비스에 의해 사용되도록 만들어졌다.
  • ex) EC2 인스턴스(가상 서버) 생성 후 AWS에서 어떤 작업을 수행하려면 EC2 인스턴스에 권한을 부여해야 한다. 이를 위해 IAM Role을 만들어 이들을 하나의 개체로 만든다. 후에 EC2 인스턴스가 AWS에 있는 어떤 정보에 접근하려 할 때 IAM Role을 사용하게 된다.
• IAM Role의 권한을 올바르게 부여해야지만 하려고 하는 호출에 접근 할 수있다.
• 종류 예시: EC2 인스턴스 Role, 람다 함수 Role, CloudFormation

IAM Role 생성 방법

• IAM dashboard - Access management - Roles - create Roles - 사용할 서비스 선택(EC2 or Lamda) - 정책 설정 - 별칭 작성 - 저장
• EC2 : 가상 서버
• 람다 함수 : 코드 실행

---

IAM Security Tools

IAM Credentials Report

• 자격 증명 보고서
• 계정 수준에서 가능
• 계정에 있는 사용자와 다양한 자격 증명 상태 포함
  • 루트 계정과 IAM 사용자 계정 있음
  • 사용자가 언제 생성되었는지, 비밀번호가 활성화되었는지,비밀번호를 마지막으로 언제 사용했는지, 마지막으로 언제 변경되었는지, 비밀번호 변경 주기를 활성화한 경우 다음 주기는 언제인지, MFA가 활성화되었는지, 액세스 키가 생성되었는지액세스 키의 마지막 주기와 마지막 사용 시간 등등
• Access Reports - Credential report - download

IAM Access Advisor

• 접근 관리자
• 사용자 수준에서 가능
• 사용자에게 부여된 서비스의 권한과 해당 서비스에 마지막으로 접근한 시간을 볼 수 있음
• 해당 도구를 사용하여 어떤 권한이 사용되지 않는 지 확인하여 사용자의 권한을 줄여 최소 권한의 원칙을 지킬 수 있다.
• Users - 사용자 이름 클릭 - Access Advisor