AWS SAA-C02개념정리::IAM

1. IAM
-구성:유저, 그룹, 폴리시, 롤

2. 유저
-루트유저: 가장 처음에 작성되는 유저. 관리에는 일반적으로 쓰이지 않는 계정. AWS의 모든 서비스와 리소스를 사용할수 있는 권한을 가진 유저. 일상작업에는 루트유저를 사용하지 않는 것을 추천함.
-루트유저만 가능한 일:
AWS 루트 계정의 이메일 주소 및 패스워드 변경
IAM 사용자의 과금정보 접근에 관한 activate/deactivate 설정
다른 AWS 계정으로 Route53의 도메인 등록 이행
CloudFront 키페어 만들기
AWS 서비스(서포트 등)의 취소
AWS 계정의 정지
Consolidated billing설정
취약성 진단 양식 제출
리버스 DNS 신청

3. 인증방식
-액세스 키 ID / 시크릿 액세스 키: EC2 인스턴스 연결 등 REST/Query 형식,API 이용 시 인증에 사용함
-X.509 Certificate: SOAP 형식의 API 요청용 인증방식
-AWS 관리 콘솔 로그인 패스워드: AWS 어카운트별로 설정, 디폴트는 미설정(로그인할 수 없음)
-MFA(다요소인증): 물리 디바이스 등을 이용한 핀코드에 의한 인증방식. 루트 계정 등에 MFA를 부여하여 보안을 강화.

4. 폴리시
-IAM 정책을 생성하여 사용자 등에 대한 접근 권한을 부여(JSON 형식)
-AWS 관리폴리시: AWS가 작성 및 관리하는 관리정책
-커스텀 관리 폴리시:AWS 계정으로로 작성·관리하는 관리 폴리시. 같은 정책을 여러 개의 IAM 엔티티에 적용할 수 있음
-인라인 폴리시:직접 작성 및 관리하는 폴리시로서, 각각의 유저, 그룹, 롤 단위에 내장된 고유한 폴리시.
-유저를 베이스 한 폴리시, 리소스(S3, SNS, SQS)를 베이스로 한 폴리시도 가능.

5. 롤
-AWS리소스간에서 접근권한을 부여하기 위함.(S3과 data Pipeline이라던가)
-권한이양: IAM 롤은 감사원 등에게 일시적인 권한을 이양할 때도 이용된다. 해당 신뢰 IAM 롤이 보유한 권한을 신뢰 정책의 조작 주체인 Principal에게 이양가능.


6. 유저 활동의 기록
-Access Advisor의 Service Last Accessed Data: IAM 엔티티(유저, 그룹, 롤)가 마지막으로 AWS 서비스에 접속한 날짜와 시간을 표시하는 기능
-Credential Report: 이용 일시 등이 기록된 IAM 인증정보와 관련된 보고서 파일
-AWS Config: IAM의 User, Group, Role, Policy와 관련하여 변경이력, 구성 변경을 관리 및 확인할 수 있는 기능
-AWS CloudTrail: AWS 인프라스트럭처 전체에서 어카운트 액티비티를 로그에 기록하고 지속적으로 감시하고 유지할 수 있는 기능

7. 접근권한 일시 부여
-AWS Security Token Service (STS): 동적으로 IAM 사용자를 만들어 일시적으로 이용하는 토큰을 발행하는 서비스
-Temporary Security Credentials: AWS에 일시적인 인증 정보를 작성하는 시스템

8. IAM설계의 베스트 프랙틱스
-계정 설정 등 필요한 경우를 제외하고 루트 유저를 이용하지 않는다.
-루트 유저등의 높은권한의 유저에 대해서, MFA를 유효화한다.
-이용자마다 IAM 유저 생성하기
-조직 이용의 경우 역할별 IAM 그룹을 작성하여 그룹에서 관리하는 것을 기본으로함
-최소한의 권한 설정과 불필요한 인증 정보는 삭제한다.
-유저에 강도 높은 패스워드 정책을 설정한다.
-EC2 인스턴스에서 작동하는 애플리케이션 등 프로그램에서 이용하는 경우에는 되도록 롤을 사용하다.
-모바일이나 어플리케이션도 포함하여 일시 이용에는 STS등을 이용하여 최소한의 이용허가를 부여한다.
-AWS 계정 액티비티를 이용하여 항상 상황을 감시한다.

#제 돈 주고산 유료강의를 듣고 정리한 요약노트입니다. #AWS비슷비슷한 서비스, 기능들 위주로 요약했습니다. #일본거주자라 일본어강의여서 가끔 단어가 이상할 수 있습니다.