[AWS] IAM 및 AWS CLI 란?

11. IMA 소개 : 사용자, 그룹, 정책

왜 사용하는가?

- permissions

 

12. IMA 사용자 및 그룹 실습

- IMA는 글로벌 서비스입니다.

- 루트 사용자는 계정에 대한 모든 권한을 갖고 있습니다. 무엇이든 할 수 있습니다. 따라서 별도의 관리자 계정을 만드는 것이 좋습니다 . 태그는 사용자의 접근을 추적, 조직, 제어할 수 있도록 도와주는 정보입니다.

IAM 대시보드 > 우측 AWS 계정 > 이 계정에 있는 IAM 사용자의 로그인 URL을 통해서 만든 계정에 접속할 수 있습니다. 

 

13. IAM 정책

정책 구조와 정책 명명법에 대해서 잘 이해하고 있어야 합니다. 

{
"Version": "2012-10-17",
  "Statement":[{
    "Effect":"Allow",
    "Action": [
       "ec2:AuthorizeSecurityGroupIngress",
       "ec2:AuthorizeSecurityGroupEgress",
       "ec2:RevokeSecurityGroupIngress",
       "ec2:RevokeSecurityGroupEgress"],
     "Resource": "arn:aws:ec2:region:account:security-group/*",
      "Condition": {
        "StringEquals": {
          "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-11223344556677889"
        }
      }
    }
  ]
}

 

14. IAM정책 실습

총 376개의 서비스가 있습니다. 서비스의 수는 계속 늘어납니다. 

 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "iam:GenerateServiceLastAccessedDetails",
                "iam:Get*",
                "iam:List*",
                "iam:SimulateCustomPolicy",
                "iam:SimulatePrincipalPolicy"
            ],
            "Resource": "*"
        }
    ]
}

 

정책은 2가지 방법을 통해 직접 만들어볼 수 있습니다. 

1. Visual editor

2. Json

15. IAM MFA 개요

 

16. IAM MFA 실습

MFA를 사용할 수도 있다. 장치를 잃어버리면 절대 안됩니다. 

 

17. AWS 액세스 키, CLI 및 SDK

- 엑세스 키를 절대 공유해선 안됩니다.

- 강의에서 사용하게 될 AWS CLI는 사실상 Boto라는 Python용 AWS SDK(Softeware Development Kit)에 구축되어 있습니다. 

 

19. MAC OS X에서 AWS CLI 설정

install aws cli mac

https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html

➜  ~ aws --version
aws-cli/2.11.20 Python/3.11.3 Darwin/21.6.0 exe/x86_64 prompt/off

 

21. AWS CLI 실습

보안 자격 증명의 생성에 루트 계정을 사용하면 안됩니다. 

실습이 끝나면 엑세스 키를 무효화 시킬 예정입니다. 절대 공유 X

➜  ~ aws configure
AWS Access Key ID [****************AP73]: Access Key ID
AWS Secret Access Key [****************OrxS]: Secret Access Key 
Default region name [ap-northeast-2]:
Default output format [None]:

 

➜  ~ aws iam list-users

{
    "Users": [
        {
            "Path": "/",
            "UserName": UserName,
            "UserId": UserId,
            "Arn": Arn,
            "CreateDate": "2023-05-17T14:42:22+00:00",
            "PasswordLastUsed": "2023-05-18T01:37:29+00:00"
        }
    ]
}

 

23. AWS 클라우드쉘

CloudShell은 AWS 클라우드에서 무료로 사용 가능한 터미널 같은 개념입니다.

[cloudshell-user@ip-10-2-31-208 ~]$ aws iam list-users

- 해당 명령어 입력 시 API 호출을 반환해줍니다.

- CloudShell에서는 기본 리전이 현재 로그인된 리전으로 나오게 됩니다.

- CloudShell에는 전체 저장소가 존재합니다. 

 

업로드/다운로드 등 다양한 기능을 활용할 수 있습니다. 

 

24. AWS 서비스에 대한 IAM Role

 

25. IAM Role 실습

AWS 서비스에 대한 Role을 생성할 수 있다는 것만 알고 있으면 됩니다.

EC2 인스턴스가 IAM에서 읽을 수 있게 됩니다. 

 

26. IAM 보안 도구

 

27. IAM 보안 도구 실습

 

보고서를 다운하면 루트 계정과 제 계정이 나옵니다. (총 2개의 행) 사용자가 언제 생성되었는지, 비밀번호가 활성화 되었는지 비밀번호를 마지막으로 언제 사용했는지 등의 정보가 담겨있습니다. 

 

이 보고서는 어떤 사용자가 비밀번호를 바꾸지 않았는지, 계정을 사용하는지를 파악할 때 매우 유용합니다. 보안 측면에서 어떤 사용자를 주목해야 하는지를 발견하는 데 도움을 줍니다. 

 

IAM 액세스 관리자

 

28. IAM 모범 사례

 

29. IAM 요약

 

Quiz

IAM 정책의 문장은 시드, 효과, 원칙, 조치, 리소스, 그리고 조건으로 구성됩니다. 버전은 IAM 정책 자체의 일부이지, 문장의 일부가 아닙니다.

 

---

Reference: https://www.udemy.com/course/best-aws-certified-solutions-architect-associate/