[AWS] IAM (Identity & Access Management) 개요

갑자기 AWS 하는 이유? 사내 해커톤 나가는데 AWS 관련이라서

IAM(Identity & Access Management) 이란?

• 간단하게 말해서 통합 계정 관리
• SSO(Single Sign On) , EAM (Extranet Access Management) 보다 포괄적으로 확장된 개념
• 업무 프로세스를 정의하고 관리하는 인프라

왜 IAM?

• IT시스템 중요도와 사용자가 늘어남에 따라 사용자 ID와 계정 및 권한에 관한 관리에 대한 중요성 증가
  • 제대로 관리하지 못할 경우 리스크가 큼
  • IAM 에서 통합 관리하는 것이 효율적

1. AWS IAM

AWS 계정 내에서 “누가(Who)” 리소스에 접근할 수 있고, “무엇을(What)”, “어떤 리소스에(Which Resource)”, “어떤 조건/언제(Under Which Conditions)” 할 수 있는지를 통제할 수 있게 해주는 웹 서비스

• Amazon Web Services 리소스에 대한 액세스를 안전하게 관리할 수 있게 해주는 서비스
• AWS 사용자 및 그룹 생성 및 관리, 권한을 통한 액세스 제어

IAM 사용자(User)	AWS와 서비스 및 리소스와 상호작용하기 위해 그 개체를 사용하는 사람 또는 서비스 하나의 AWS 계정에 최대 5,000개의 계정 생성 가능.  각 IAM 사용자는 1개의 AWS 계정에만 연결됨  ( AWS 계정 (1) : User (N)) AWS 계정 (1) : User (N) 신규 IAM 사용자는 권한 X 직접 권한 할당 또늑 Group, Role 추가 필요 개별 IAM 사용자에게 권한을 할당하여 AWS 리소스, 타 IAM 사용자 관리하도록 구성 할 수 있음
IAM 그룹 (Group)	다수의 사용자들에 대한 권한을 관리하기 위한 단위.
IAM 역할 (Role)	특정 권한을 가지며, 사용자/서비스/어플리케이션이 임시로 해당 권한을 가져 실행할 수 있게 하는  IAM 자격 증명
IAM 정책 (Policy)	JSON 문서 특정 액션에 대한 허용/거부를 정의한 권한 문서

 

2. IAM 서비스 동작 방식

1. 사용자가 AWS 자원에 요청 전송 → IAM이 해당 요청을 한 주체(principal) 확인(Authentication, 인증)
2. 해당 주체가 해당 자원에 대해 요청한 액션(action) 을 수행할 권한이 있는지 검사(Authorization, 인가)
3. 정책에 따라 요청이 허용되면 AWS 서비스에서 요청 처리
   - 기본 규칙은 요청 거부이며, 명시적 허용 필요
4. 역할(Role)의 경우, 임시보안 자격증명을 통해 접근이 가능하므로, 영구 자격증명이 필요 없어 보안 이점이 있음

권한 별 예

관리자 (모든 작업 가능	EC2 정지, 종료 가능
개발자 (S3 모든 작업 가능)	EC2 정지, 종료 불가  S3 파일 업로드 가능
사용자 (S3 읽기 전용)	S3 파일 업로드 불가

3. 타 인증 시스템과의 연동

• AWS IAM 의 Federation 서비스를 통해 AWS 리소스 중앙 관리가 가능
• SAML 2.0 및 OpenID Connect(OIDC)와 같이 일반적으로 사용되는 표준을 지원하여 ID 제공자(IDP) 와 어플리케이션 간 ID 및 암호 교환을 통해 AWS 계정에 액세스 가능