AWS의 특정한 리전 혹은 가용 영역과 무관하게 루트 계정은 유일하다 → 왜 AWS IAM이 글로벌 서비스인지 알 수 있다.
AWS 의 그룹과 IAM 유저는 DB에서의 다대다 관계이며 IAM유저가 단 하나의 그룹에도 포함되지 않을 수 있다.또한 이떄는 인라인 규칙을 해당 IAM 유저에게 직접적으로 할당해주는 방식을 이용할 수 있다.
IAM 정책은 상태(Statement)에 대한 규칙이다.어떤 유저(Principal)에게 어떤 자원(Resource)에 대한 어떤 행위(Action)를 허용할지 말지(Effect)를 결정해주는 것.
루트 계정과 IAM유저 계정들에 대한 보안을 강화할 방법이 없을까? → 비밀번호를 이용하여 주기적으로 비밀번호를 변경한다던지 특수문자를 이용하여서 어떻게든 비밀번호를 강화하는게 과연 강력한 보안을 책임질 수 있나?완전히 고유한 정보를 비밀번호와 붙여서 사용하는 건 어떨까?
이러한 생각에서 나온게 다중 인증 방법인 MFA
MFA는 비밀번호와 장치의 고유 넘버를 합쳐서 만든다 → 이는 비밀번호가 해커에 의하여 중간에서 갈취당해도 장치에 대해 직접적으로 털리는게 아닌 이상 보안적으로 굉장히 강력함을 제공한다.
AWS의 서비스에 접근하는 3가지 방법
- AWS 콘솔을 통한 접속(흔히 우리가 알고있는 AWS사이트에서 바로 접속하는 것)
- AWS CLI를 통한 터미널에서의 접근(엑세스 키 필요)
- AWS SDK를 통한 접근(엑세스 키 필요)
- SDK는 소프트웨어 디벨로프멘트 키트이며 특정 언어로 구성된 라이브러리의 집합
- SDK는 하나의 패키지이기 떄문에 그 자체가 프로그램 내부에 내장되어야 한다.
AWS 서비스들 예를 들면 EC2 혹은 ELB같은 애들도 자원을 사용하기 위해서는 유저와 마찬가지로 특정 권한이 필요하다.이를 IAM ROLE을 통하여서 해결한다(ROLE부여)
보안 부분에서는 IAM 자격 증명서나 IAM 엑세스 관리자를 통하여서 이를 해결한다.
'AWS SAA' 카테고리의 다른 글
| AWS 리전과 AZ (0) | 2024.12.04 |
|---|