포도가게의 개발일지

AWS SAA-C02(IAM[2]) 본문

AWS

AWS SAA-C02(IAM[2])

grape.store 2022. 2. 22. 16:48
반응형

How can users access AWS? 3 way

  • AWS 관리 콘솔을 통해 : protected password + MFA
  • AWS CLI를 통해 : protected access key
  • AWS SDK를 통해 : for code? protected access key

Access key 생성방법

 - AWS console을 통한 generate

 

* 사용자(users)들은 자신만의 access key를 가진다 절대 공유 xxx

access key ID = 본인의 id

secret access key = 본인의 password처럼 다루자

 

 

AWS CLI on MAC

1. AWS CLI 설치

https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html

 

Installing or updating the latest version of the AWS CLI - AWS Command Line Interface

To update your current installation of the AWS CLI, add your existing symlink and installer information to construct the install command with the --update parameter. $ sudo ./aws/install --bin-dir /usr/local/bin --install-dir /usr/local/aws-cli --update To

docs.aws.amazon.com

 

2. Access key 생성 및 적용

0123456
get user list permission이 되어있어야 가능

 

3. AWS Cloud shell

- 그냥 aws cloud shell이다 대신 로그인이 이미 되어있어 key 입력이 필요없음 (반응 좀 느린듯)

- 저장소를 가지고 있어 download와 upload가 가능하다

2022/02/22 기준

- 아직까지는 몇개의 지역밖에 서비스 안함 ( 한국 제외 )

 

4.IAM Roles for Services

정의 

  • Some aws service will need to perform actions on your behalf
  • To do, we will assing permission to AWS services with IAM Roles

IAM Role vs IAM User 뭔차이지?

user(사용자)는 실제 aws 상위 user로 부터 실제 사람이 permission을 할당받은 것이다

Role은 EC2같은 사람이 아닌 인스턴스가 다른 AWS service를 사용 또는 접근을 위해 permission을 할당 받은것 이다.

IAM Role 설정

0123

IAM Security Tools

IAM Credential Report (account level)

- 모든 사용자들 리스트와 자격증명 상태를 볼 수 있음

 

IAM Access Advisor (user level)

- 접근자에게 유저에게 부여된 서비스 permission을 보여주며 마지막으로 언제 접근했는지도 보여준다. 때문에 AWS는 최소 권환 원칙을 권장하기 때문에 권한 설정에 도움이 된다.

 

자격증명 보고서, IAM access advisor 설정

012345

IAM 모범사례

  • AWS 계정 세팅을 제외하고 root 계정사용하지 말기
  • One physical user = One AWS user (새로운 사람이 생기면 새롭게 만들어 줘라)
  • 유저에게 그룹을 주고 그룹에 permission을 줌으로써 그룹레벨로 보안을 관리한다.
  • 강력한 비밀번호 정책을 사용하자
  • AWS services에 권한을 줄때마다 역할을 생성해서 주자
  • CLI or SDK 프로그래밍방식으로 접근할려면 access key를 사용하자
  • 계정에 감사권(? 최소권한원칙을 위해) IAM credential report나 IAM access analyzer를 사용
  • 절대! IAM user & access key 공유하지 말자

 

'AWS' 카테고리의 다른 글

AWS SAA-C02(EC2[2])  (0) 2022.02.23
AWS SAA-C02(IAM[1])  (0) 2022.02.23
AWS SAA-C02(EC2[1])  (0) 2022.02.22
AWS SAA-C02(1)  (0) 2022.02.21
AWS EC2 메모리 부족현상 swap disk로 해결해보자  (0) 2021.12.06
Comments