블라베의 취향편지

IAM 이란,

  AWS Identity and Access Management(IAM)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다.

  IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다.

IAM 기본 용어

IAM 리소스(Resource)
  - define: 사용자, 그룹, 정책 및 자격증명 공급자 객체
  - role : 리소스 추가, 편집, 삭제 할 수 있다 

IAM 자격증명(identity)
  - define: 식별 및 그룹화에 사용되는 IAM 리소스 객체. 사용자/그룹/역할이 포함된다.
  - role : 정책을 IAM 자격증명에 연결할 수 있다. 

IAM 엔터티(Entity)
  - define : AWS가 인증에 사용하는 IAM 리소스 객체. IAM 사용자 및 역할이 포함된다.

보안주체 (Principal)
  - define : AWS 리소스에 대한 작업을 요청하는 ‘사람 또는 애플리케이션’   

사용자, 그룹 

연동 사용자
  - 3rd Party 자격증명공급자(IdP)를 사용하는 외부 사용자 (페더레이션 사용자)

Request에 포함되는 정보 

• 작업 또는 작동 (Actions or Operations)
• 리소스 (Resources)
• 보안주체 (Principal)
• 환경 데이터 (Environment data)
    : ip, user-agent, ssl-status, timezone, … 
• 리소스 데이터 (Resource data)
• 인증 (Authentication)
    : id&pw, access&secret key, MFA,. …
• 권한 (Authorization)
    : 요청을 완료할 수 있는 권한 
• 정책 (Policy)
    : 요청을 허용하거나 거부하는 결정기준
•  

IAM이 제공하는 기능 

AWS 계정에 대한 공유 액세스
: 암호나 액세스키 없이도 AWS 계정의 리소스의 관리 사용 권한을 다른 사람에게 부여할 수 있다

세분화된 권한
: 리소스에 따라 여러 사람에게 다양한 권한을 부여할 수 있다 

애플리케이션을 위한 보안 AWS 리소스 액세스
: EC2 인스턴스에서 실행되는 애플리케이션은 IAM 기능으로 자격증명을 안전하게 제공할 수 있다 

멀티 팩터 인증 (MFA)
: 보안 강화를 위해 계정과 사용자에게 2팩터 인증 추가를 제공 

자격 증명 연동
: 암호가 있는 사용자에게 AWS 계정에 대한 임시 액세스 권한 부여 가능 

PCI DSS 준수
: 판매자 또는 서비스 공급자에 의한 신용카드 데이터의 처리, 저장 및 전송을 지원, PCI DSS 준수 검증받았음 

많은 AWS 서비스와의 통합 

최종 일관성 

무료 사용

IAM에 액세스하는 방법

AWS Management Console

AWS Command Line Interface (명령줄 도구)

AWS SDK : 다양한 언어 및 플랫폼 지원 (Java, Python, Ruby, .NET, iOS, Android 등)

IAM HTTPS API

자료 1. https://aws.amazon.com/ko/getting-started/fundamentals-core-concepts/?e=gs2020&p=gsrc 

자료 2. https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/introduction.html