[AWS Solutions Architect Associate] IAM / Identity and Access Management 요약, 정리, 문제

IAM = Identity and Access Management

💡

AWS는 루트 계정으로 하는거 아니다.

IAM으로 접속해야함. 루트로 활동하는거 좋지 않다.

IAM User 등록

1. IAM 탭 이동 →Access management → Users
2. Users 생성 → 이름 = 로그인할 아이디 비번으로 생성할 수 도 있고, 키로 할 수 도있다.
3. User groups 생성 → admin → 권한 admin부여
4. 만든 계정을 User groups에 등록

• 아이디 비번
• Alias :
  IAM User ID :
  PW :

IAM Policies inheritance / Structure

💡

IAM 사용자를 등록하고 권한관리를 JSON문서로 한다.

Version : 정책 언어 버전 [보통 2012-10-17]
Id : 이 정책을 식별하는 ID 선택 사항이다. 필수 X
Statement : 필수,

• Sid : Statement 식별자 이건 Optional
• Effect : 이 Statement가 어떤 API 에 허용 거부를 결정
• Principal : 정책이 적용될 계정
• Action : Deny, Allow 되는 actions 리스트
• Resources : action이 적용될 resource의 목록
• Condition : policy가 언제 적용될건지 설정하는거 Optional

Policy들은 내가 Custom 해서 만들고 적용할 수 있다.

Password Policy

💡

계정의 보안을 강화하기 위해 Password Policy를 지정할 수 있다.
예를들어 모든 user은 비번을 90일마다 바꿔야한다거나, 이전에 사용했던 비번은 사용할 수 없다거나.

MFA : Multi Factor Authentication

💡

다중 인증
구글 Authenticator같은거

AWS CLI

💡

AWS CLI는 AWS 관리용 터미널 이라고 생각하면될듯.
Windows 다운로드 : https://docs.aws.amazon.com/cli/latest/userguide/getting-started-version.html
mac 다운로드 :

설치 잘 되었는지 확인 aws --version

AWS CLI 사용법

💡

1. User의 Access Key생성 ( 키는 1번 밖에 못본다 새로고침하면 날아감 )
2. 터미널에 aws configure 입력
   AWS Access Key ID : AKIAZQ3DOPUTMWEAHHYS
   AWS Secret Access Key : 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
   Default regoin name : 그냥 엔터
   Default output format : 그냥 엔터
3. aws iam list-users
   적용이 잘 되었으면 iam user가 JSON 형태로 나옴.

AWS Cloud Shell

💡

AWS CLI를 웹에서 사용할 수 있게 해주는거
** 중요 : 특정 region에서만 사용가능 함 서울 불가 도쿄 가능
로컬 스토리지 개념이 있음
내가 원하는 파일 업로드, 다운로드 가능 이게 너무 사기네
⇒ 그냥 터미널로 하면됨

IAM Role

💡

이건 user적용이 아니고 AWS한테 적용하는것이다.
예를들어 EC2 를 하나 만들때 IAM Role과 EC2 Instance를 묶어서 하나의 객체로 만들고 AWS에 접속 할 수 있게 한다.

IAM Role 생성 [ IAM > Roles > Create role ]

1. Role이 적용될 분야 선택

 

2. Service를 선택하고 어떤 Service에 적용할 건지 선택

 

3. 이 서비스의 Policies 설정 ( 정책 )

 

4. 이 규칙의 이름 설정 및 설정한 trusted entities 체크

 

5.생성 끝

 

IAM Security Tools

IAM Credential Report

💡

account-level에서 관리

Download redentials report 하면 csv 파일이 다운받아짐

이 파일 안에는 IAM User에 대해서
user_creation_time
password_enabled
password_last_used
password_last_changed
password_next_rotation
mfa_active
access_key_1_active
access_key_1_rotated
등등 다양한 정보를 얻을 수 있다.
이걸로 IAM에 등록된 사용자를 관리할 수 있다.
보안관리 측면에서 도움됨.

IAM Access Advisor

💡

user-level에서 관리

• Access Advisor shows the service permissions granted to a user and when those services were last accessed.
• Can use this information to revice your policies.

IAM Guidelines & Best Practices

💡

1. AWS account setup시를 제외하고는 root account 사용 금지
2. 1명의 User 당 1개의 IAM 계정 제공. 1개로 나눠쓰기 금지
3. User을 group 별로 관리할 것 [ 권한을 적용할 것 ]
4. MFA를 사용할 것
5. AWS Services를 만들때 Role을 부여할 것. [ ex) EC2 ]
6. Access Key는 Programmatic Access할 때 사용할 것 (CLI/SDK)
7. Account 들을 감사할때 IAM Credentials Report 와 IAM Access Advisor를 사용할 것
8. 절때 IAM User와 Access Key를 공유하지 말것

IAM 요약

💡

1. User : 사용자는 실제 물리적 사용자와 1대1 매핑되어야 함
2. Group : Groupt에는 user만 있어야함
3. Policies : JSON document로 되어있음, user와 group의 권한 문서
4. Roles : EC2 인스턴스와 AWS 서비스 들의 권한
5. Security : MFA + Password Policy
6. AWS CLI : AWS 서비스를 command-line 으로 관리
7. AWS SDK : AWS 서비스를 Programming language로 관리
8. Access Key : CLI, SDK 를 사용할 때 필요한 키
9. Audit : Iam 사용량을 감사할 수 있다. IAM Credential Reports를 생성하거나 IAM Access Advisor를 사용

---

문제

다음 중 IAM 역할의 올바른 정의는 무엇일까요?

1. 다중 사용자 그룹에 속한 IAM 사용자
2. IAM 사용자들을 위한 비밀번호 정책을 정의하는 IAM 개체
3. AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하고, AWS 서비스에 의해 사용될 IAM 개체
4. 특정 행동 수행을 위해 IAM 사용자에게 할당된 권한

• 정답 : 3 일부 AWS 서비스는 우리를 위해 특정 행동을 수행해야 합니다. IAM 역할을 이러한 권한을 할당하기 위해 사용됩니다.

다음 중 IAM 보안 도구에 해당되는 것은 무엇인가요?

1. IAM 자격 증명 보고서
2. IAM 루트 계정 관리자
3. IAM 서비스 보고서
4. IAM 보안관리자

• 정답 : 1 IAM 자격 증명 보고서에는 AWS 계정의 모든 IAM 사용자와 이들의 다양한 자격 증명 상태가 포함되어 있습니다.

IAM 사용자에 대해 잘못 서술된 내용을 고르세요.

1. IAM 사용자들은 다중 사용자 그룹에 속할 수 있습니다.
2. IAM 사용자들이 사용자 그룹에 속할 필요는 없습니다.
3. IAM 정책은 IAM 사용자에게 직접 연결될 수 있습니다.
4. IAM 사용자들을 루트 계정 자격 증명을 통해 AWS 서비스에 액세스합니다.

• 정답 : 4 IAM 사용자들은 자신만의 자격 증명 ( 사용자 이름, 비밀번호, 혹은 Access Key )을 통해 AWS 서비스에 액세스합니다.

다음 중 IAM 모범 사례에 해당하는 것은 무엇인가요?

1. 한 사람에게 다수의 IAM 사용자 생성하기
2. 루트 계정 사용하지 않기
3. 동료들이 업무를 대신 수행할 수 있도록 AWS 계정 자격 증명 공유하기
4. 보다 쉬운 액세스를 위해 MFA를 활성화하지 않기

• 정답 : 2 루트 계정은 최초 IAM 사용자 생성과 일부 계정/서비스 관리 업무에만 사용됩니다. 일상적인 업무에는 IAM 사용자를 사용해야 합니다.

IAM 정책은 무엇인가요?

1. AWS 계정들이 상호작용하는 방법을 정의하는 일련의 정책
2. AWS 서비스에 요청을 생성하기 위한 일련의 권한을 정의하며, IAM 사용자, 사용자 그룹 및 IAM 역할에서 사용하게 될 JSON 문서
3. IAM 사용자들의 비밀번호를 정의하는 일련의 정책
4. 고객들이 AWS와 상호작용하는 방법을 보여주는, AWS에서 정의한 일련의 정책

• 정답: 2

IAM 권한에는 다음 중 어떤 원칙이 적용되어야 할까요?

1. 최대 권한 부여하기
2. 직원의 요청이 있을 경우, 더 많은 권한 부여하기
3. 최소 권한 부여하기
4. 루트 계정 권한 제한하기

• 정답 : 3 사용자에게 필요 이상의 권한을 부여하지 마세요.

루트 계정 보안을 향상시키기 위해서는 어떤 작업을 수행해야 할까요?

1. 루트 계정에서 권한 제거하기
2. AWS 명령줄 인터페이스(CLI)를 통해서만 AWS 서비스에 액세스하기
3. IAM 사용자를 생성하지 않고, 루트 계정으로만 AWS 계정에 액세스하기
4. 다중 인증 (MFA) 활성화하기

• 정답 : 4 MFA를 활성화할 경우, 보안에 하나의 층을 더 추가하게 됩니다. 비밀번호가 유출되었거나 도용을 당한 경우에도, 계정은 안전합니다.

[참/거짓] IAM 사용자 그룹은 IAM 사용자 및 기타 사용자 그룹을 포함할 수 있습니다.

• 정답 : 거짓 : IAM 사용자 그룹은 IAM 사용자만을 포함할 수 있습니다.

IAM 정책은 하나 이상의 문장으로 구성됩니다. 다음 중 IAM 정책 내 문장의 구성요소가 아닌 것을 고르세요.

1. 효과
2. 원칙
3. 버전
4. 조치
5. 리소스

• 정답 : 3 IAM 정책의 문장은 시드, 효과, 원칙, 조치, 리소스, 조건으로 구성됩니다. 버전은 IAM정책 자체의 일부이지, 문장의 일부가 아닙니다.