루트 사용자(Root User)
처음에 이메일 만들고 신용카드 정보 넣으면 만들어지는 기본
AWS 서비스에 대한 전체 엑세스 권한 보유, 제한 없음
=> 일상적인 상호작용에 사용하면 안됨
루트 유저는 MFA(Multi-Factor Access) 만들어서 보안 강화할 필요 있음
일상적인 상호작용은 IAM User로 만들어서 사용할 것
사용예시)
루트 유저로 admin 권한 있는 IAM유저 생성 IAM 유저로 실제 작업할 IAM 유저들 생성해서 권한 부여
IAM(Identity and Access Management) 유저
Aws에 대한 제한된 sudo 엑세스 권한
글로벌, 무료 서비스
주요 기능
- 인증
- 권한 부여
즉 누가 무엇을 할건지 정하는 서비스
사용자, 그룹 및 역할 생성 및 관리, AWS 서비스 및 리소스에 대한 엑세스 관리
Policy(보통 Json파일로 된 Permissions 들로 구성)를 만들고 그룹에 할당해주면 해당 그룹의 유저들을 정책내에서 권한을 부여 받음
자격증명기반 정책
관리형 정책 - 1:N = 정책:유저들, 유저 한명 사라져도 정책은 유지
인라인 정책 - 1:1 = 정책: 유저, 유저가 사라지면 정책도 사라짐
권한 평가
- 명시적 거부 : 거부 설정이 있으면 거부 정책 우선
- 명시적 허용 : 허용 설정이 다 통과되면 허용
- 묵시적 거부 : 아무 말도 없으면 거부
순으로 적용된다
Role 은
trust relationship (Who?)
permission (What?)
STS(Security Token Service)
Role을 받아서 AccessKey/SecretAccesskey/SessionToken 줌
ex) EC2가 S3 버킷에 접근할 때 STS에 AssumeRole 주고 AK/SA/ST 받아와 버킷에 이걸로 인증하고 접근
정책 유형
최대 권한 설정(set Max Permission) - ex)어트랙션 탑승 키 120cm 제한
권한 부여(Grant Permission) - ex)자유이용권
- IAM 자격 증명 기반 정책
- 관리형
- 인라인
- IAM 리소스 기반 정책
- 인라인
둘다 통과해야 권한 부여 받는 것
'TIL > AWS' 카테고리의 다른 글
| [AWS] AWS 볶음밥6 (스토리지) (0) | 2022.07.21 |
|---|---|
| [AWS]AWS 볶음밥5 (데이터베이스) (0) | 2022.07.21 |
| [AWS]AWS 볶음밥4 (컴퓨팅) (0) | 2022.07.21 |
| [AWS] AWS 볶음밥3 (네트워크) (0) | 2022.07.20 |
| [AWS] AWS 볶음밥1 (0) | 2022.07.20 |
댓글