1. Cloud 사용자 관리
01. root 사용자
root 사용자?
-> AWS 계정을 처음 생성할 때 해당 계정의 모든 AWS 리소스에 액세스 권한이 있는 ID
-> 이메일 주소와 암호를 이용하여 인증
-> 일상적인 작업 및 관리 작업에도 루트 사용자의 사용을 권장하지 않음
-> 오직 계정 및 과금 관리 작업 수행 시에만 root 사용자 사용 권장
02. IAM
IAM (Identity and Access Management)
- AWS 서비스와 리소스에 대한 액세스 통제
- AWS 사용자 및 그룹을 만들고 관리하며 리소스에 대한 액세스 허용 및 거부 가능
- AWS 관리를 위한 그룹, 사용자 및 역할(Role) 생성 가능
IAM 사용자(User)
- 개체, 서비스 및 리소스와 상호작용하기 위해 개체를 사용하는 사람 또는 서비스
- 각 사용자는 자신의 고유 콘솔 액세스 암호를 가짐
- 계정의 리소스를 사용하기 위한 개별 액세스 키 생성
IAM 역할(Role)
- 사용자 /서비스가 필요한 리소스에 액세스하기 위한 권한 집합 설정
- 권한을 IAM 사용자 또는 그룹에 연결하지 않음
- 권한을 역할에 연결하고 역할을 사용자, 서비스에 위임
- "유효기간"을 가지고 자격증명 발급, 자격증명 노출에 대한 위협을 최소화할 수 있음
03. IAM 정책
IAM 정책(Policy)
- IAM 정책은 AWS 서비스에 대한 액세스나 제어 / DB나 애플리케이션에 대한 접근 제어가 아님
(예시) 자신의 IAM 사용자에 대한 액세스 키 생성 권한
| 항 목 | 설 명 |
| Version | 정책 언어 버전 |
| Statement | 정책 요소를 담는 컨테이너 |
| Sid(선택) | 설명 |
| Effect | Allow(허용), Deny(거부) |
| Action | 정책이 허용하거나 거부할 작업 |
| Resource | 적용될 리소스 목록 |
| Condition(선택) | 조건(Source IP.. ) |
- 권한 분석(Statement)을 통해 자원(Resource)이 허가/거부(Effect)된 작업(Action) 권한 부여
04. ARN
ARN(Amazon Resource Name)
- AWS 리소스를 고유하게 식별하는 식별자
- RDS 태그 및 API 호출과 같은 모든 AWS에서 리소스를 명시해야할 경우 사용
더보기
< Format >
arn:partition:service:region:account-id:resource-id
arn:partition:service:region:account-id:resource-type/resource-id
arn:partition:service:region:account-id:resource-type:resource-id
| 항 목 | 설 명 | 예 시 |
| partition | 리소스가 존재하는 파티션 | aws, aws-cn |
| service | 서비스 네임스페이스 | iam. s3 |
| region | 리전 | us-west-1 |
| account-id | 리소스를 소유하는 AWS 계정의 ID | 12345689012 |
| resource-id | 리소스 식별자 | user/Bob |
arn:aws:iam:us-west-1:123456789012:user/Bob
arn:aws:iam:us-west-1:123456789012:user/*
'[Education] > [AWS] Cloud Hacking' 카테고리의 다른 글
| [AWS] Chapter3. 클라우드 아키텍처(Cloud Architecture) (0) | 2024.05.06 |
|---|---|
| [AWS] Chapter2. 사용자 관리 - 2 (0) | 2024.05.04 |
| [AWS] Chapter1. 클라우드 모의해킹 기초 - 2 (0) | 2024.05.04 |
| [AWS] Chapter1. 클라우드 모의해킹 기초 - 1 (0) | 2024.05.04 |
| [AWS] Chapter0. 클라우드 모의해킹(Cloud Hacking) 교육 소개 (0) | 2024.05.04 |
