aws - IAM

- IAM

IAM은 Identity and Access Management의 약어로 사용자와 그룹을 생성하고 AWS의 각 리소스에 대해 접근 제어와 권한관리를 제공합니다. IAM 그룹과 사용자를 생성하여 어떤 IAM 사용자는 EC2만 관리할 수 있고 어떤 사용자는 S3만 관리할 수 있도록 구성할 수 있습니다. 따라서 전체 권한이 아닌 필요한 권한만 주기 때문에 보안성이 높아집니다.

 

AWS 계정으로 AWS 콘솔페이지에 접속하듯이 IAM 사용자도 AWS 콘솔에 접속할 수 있습니다. 그리고 허용된 권한안에서 AWS 콘솔을 조작할 수 있습니다. IAM 계쩡은 액세스 키를 별도로 생성할 수 있고, 이 액세스 키를 이용해서 AWS API를사용할 수 있습니다.

 

- IAM 역할

IAM 그룹과 사용자에게 권한을 설정하는 것과 달리 EC2 인스턴스 전용으로 권한을 설정할 수 있습니다. 이것을 IAM 역할이라고합니다. IAM 역할은 EC2 인스턴스뿐만 아니라 다른 AWS 계정으로 권한을 설정할 수 있습니다.

 

- IAM 그룹 생성

IAM 그룹에 접근제어 및 권한설정을 하게되면 IAM 그룹안에 포함된 모든 사용자들에게 적용됩니다. EC2 인스턴스만 제어할 수 있는 IAM 그룹을 만들어보겠습니다.

IAM 카테고리에서 그룹생성을 눌러줍니다.

이름은 EC2Admin으로 하겠습니다.

권한을 AmazonEC2FullAccess로 체크하고 그룹을 생성합니다.

그룹 생성이 완료되었습니다.

 

- IAM 사용자 생성

이제 사용자를 하나 생성해서 EC2Admin 그룹에 포함시켜보겠습니다.

사용자 생성을 눌러줍니다.

다음으로 넘어갑니다.

그룹에 포함시켜줍니다.

사용자가 하나 만들어졌습니다. 이제 액세스 키를 만들고 콘솔에 접근할 수 있도록 해보겠습니다.

콘솔액세스 활성화를 눌러줍니다.

암호를 하나 만들고 적용합니다. 이제 IAM 사용자로 로그인해보겠습니다.

IAM 사용자로 로그인합니다.

로그인이 성공했습니다. EC2를 관리해보겠습니다.

잘 관리가 되는 것을 확인할 수 있습니다. S3도 가능한지 해보겠습니다.

S3에 권한이 없다고 나오는 것을 확인할 수 있습니다.

 

- IAM 역할

IAM 역할을 하나 만들고 EC2 인스턴스가 S3 버킷을 관리할 수 있도록 해보겠습니다.

역할만들기를 눌러줍니다.

위사진처럼 구성해줍니다.

S3FullAccess 정책을 추가해주고 다음을 눌러줍니다.

역할 이름을 설정해줍니다. 이후 생성해줍니다.

잘 생성된 것을 확인할 수 있습니다.

IAM 역할을 수정합니다.

역할이 적용된 것을 확인할 수 있습니다. 그러면 EC2에 접속해서 aws CLI로 s3를 관리해보겠습니다.

퍼블릭이 아닌 S3에 접근해서 버킷 리스트를 가져오는 것을 확인할 수 있습니다. 

 

추가적으로 IAM 사용자가 CLI를 사용하려면 IAM 액세스키를 만들어서 CLI에 등록해줘야합니다.