AWS 정리
시작하기 전에
IAM 개념 정리 포스팅 에서 간략하게 IAM이란 무엇인지, 일반적으로 어떻게 사용하는지 알아봤습니다. 오늘은 클라우드 서비스를 사용하다 보면 아무래도 보안, 인증, 인가 문제가 생기기 마련인데 이를 효과적으로 제어할 수 있는 방법이 무엇인지를 알아보고 배포 자동화의 기본이 되는 IAM에 대해서 보다 자세히 알아 보겠습니다.
IAM 사용자
사용자라 하면 우리 같은 개발자들도 콘솔을 통해 AWS 서비스 이용할 수 있는 권한을 받을 수 있고, 우리가 짠 코드, 서드파티, 서버 등 다양한 서비스도 사용자가 될 수 있습니다. 이를 세세하게 컨트롤하기 위해 root사용자가 새롭게 생성한 사용자는 화이트리스트 방식을 기반으로 모든 권한이 제한되며 그룹, 역할, 기존 사용자 복사 같은 방식으로 권한을 부여 받는게 일반적입니다.
직접 해보기
콘솔방식 혹은 프로그래밍 제어 방식을 선택할 수 있습니다. 앞서 말한 사람 사용자와 서비스 사용자입니다.
그룹은 바로 다음에 설명하겠지만, 여러 사용자들이 속해있는 형태가 그룹입니다. 그 밖에 복사, 직접 정책 연결로 권한을 부여할 수 있습니다. 연습이라 아무 권한도 주지 않았습니다.
다음과 같이, 새로운 사용자를 위한 로그인 링크와 안내 메일 발송이 있습니다.
https://계정ID.signin.aws.amazon.com/console 로 새로운 사용자는 로그인 할 수 있습니다. 주의할 점은 사용자 이름과 계정 ID(루트마다 AWS에서 부여)는 다르다는 점입니다.
계정에 아무런 권한을 주지 않아, 인스턴스 보기 뿐 아니라 생성 등 모든 행위가 제한됩니다.
IAM 그룹
아마존에서는 개별적으로 권한을 부여하는 대신 그룹으로 사용자 관리하는 것을 권장합니다. 그룹을 생성하고 권한을 지정하면 해당 그룹에 속한 사용자든 그룹에 해당하는 모든 권한을 받습니다.
그룹 탭으로 이동하여 그룹을 생성합니다
필터에 ec2를 검색한 뒤, AmazonEC2FullAccess를 체크후 다음단계를 클릭합니다.
그룹을 생성한 뒤, 그룹 이름을 클릭하여 그룹에 위에서 생성한 IAM 사용자를 추가합니다.
그런 다음, IAM 사용자 로그인 페이지(https://계정ID.signin.aws.amazon.com/console)로 접속하여 IAM 사용자로 로그인한 뒤 EC2 서비스로 이동하면 아까와는 다르게 인스턴스 상태를 볼 수 있습니다.
정리
오늘은 IAM중 가장 기본이되는 사용자와, 이를 간편하게 관리할 수 있는 그룹에 대해서 알아보았습니다. 사용자는 사람 뿐아니라 코드, 서비스, 심지어 서드파티 앱이 될 수도 있다는 것을 기억하시면 되겠습니다. 그리고, 그룹을 생성할 때 아마존에서 미리 정의해 놓은 정책들 또는 사용자 정의 정책을 연결하고 사용자 추가하는 것 까지 보았습니다. 다음 포스팅에서는 정책과 권한에 대해 알아보겠습니다.