NOW OR NEVER

AWS 가이드 라인 root 계정은 AWS 계정을 설정할 때 제외하고 사용하지 않기 하나의 AWS 사용자는 한 명의 실제 사용자를 의미 동료가 나의 aws를 이용하고 싶을 시 자격 증명을 주지 않고 새로운 사용자를 만들어 주기 사용자를 그룹에 넣어 해당 그룹에 권한을 부여할 수 있다. 즉 그룹 수준에서도 보안을 관리할 수 있다. 비밀번호 정책을 강력하게 설정해야 한다. --> MFA를 사용하면 보안 강화 AWS 서비스에 권한 부여 시 가상 서버인 EC2 인스턴스를 포함하여 역할을 만들고 사용해야 한다. AWS 프로그래밍 시 CLI나 SDK 사용하는 경우 반드시 Access Key를 만들어야 한다. 이때 Access Key는 비밀번호와 같으므로 절대 공유 금지(IAM 사용자와도 공유 금지) 계정의 권한이 ..

IAM Role AWS 서비스 몇 개는 계정에서 실행해야 한다. 이를 위해 AWS 서비스에 권한을 부여해야 하는 데 이를 위해서는 IAM Role을 만들어야 한다. IAM Role은 사용자와 같지만 실제 사람이 사용하도록 만들어진 것이 아닌 AWS 서비스에 의해 사용되도록 만들어졌다. ex) EC2 인스턴스(가상 서버) 생성 후 AWS에서 어떤 작업을 수행하려면 EC2 인스턴스에 권한을 부여해야 한다. 이를 위해 IAM Role을 만들어 이들을 하나의 개체로 만든다. 후에 EC2 인스턴스가 AWS에 있는 어떤 정보에 접근하려 할 때 IAM Role을 사용하게 된다. IAM Role의 권한을 올바르게 부여해야지만 하려고 하는 호출에 접근 할 수있다. 종류 예시: EC2 인스턴스 Role, 람다 함수 Rol..

IAM Policies 그룹 내 정책으로 사용자는 권한을 승계받는다 인라인 정책을 생성하여 사용자가 그룹에 속해있든 아니든 원하는 사용자에게 적용 가능 policies 구조 Version : 정책 언어 버전 ex) "2012-10-17" Id : 정책을 식별하는 ID으로 선택 사항 Statement :[] --> 하나일 수도 여러 개일 수도 있다. [] 안에 {}로 구별하여 문장 작성 Sid : 문장 ID로 문장 식별자로 선택 사항 Effect : 문장이 특정 API에 접근하는 것을 허용(Allow)할지 거부할지(Deny)에 대한 내용 Principal : 특정 정책이 적용 될 사용자, 계정 혹은 역할로 구성됨, {}안에 작성 Action : Effect에 기반해 허용 및 거부되는 API 호출 목록 Re..