AWS IAM(Identify and Access Management)이란?
IAM(Identify and Access Management)은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증 및 권한을 부여하여 대상을 제어할 수 있습니다.
쉽게 생각하여 IAM은 AWS 데이터센터에 접속할 수 있는 출입 권한을 가진 허가증이라고 생각하시면 쉽게 이해할 수 있습니다. AWS계정을 처음 생성하는 경우에는 전체 AWS 서비스 및 계정의 모든 리소스에 대해 완전하게 액세스가 가능한 권한을 지닌 ROOT(루트) 계정을 생성하게 됩니다. ROOT(루트) 계정은 계정의 모든 서비스와 리소스에 대해 액세스가 가능하므로 보안에 취약하다는 단점이 있습니다. 때문에 처음 계정을 생성해서 로그인할 때를 제외하면 ROOT(루트) 사용자를 사용하지 않는 것을 권장합니다. 이쯤 되면 왜 IAM계정을 사용하는지 눈치채셨을 거라 생각합니다. 바로 ROOT(루트) 계정의 단점을 보안하기 위해 ROOT(루트) 계정의 일부 서비스와 리소스에 대한 액세스 권한을 따로 부여한 IAM계정을 사용하는 것입니다.
IAM의 정의
AWS 자격 및 접근 관리(AWS Identity and Access Management, IAM)는 는 당신의 사용자들이 AWS 리소스에 대하여 가지는 접근 권한을 안전하게 제어할 수 있도록 도와주는 웹 서비스입니다. IAM을 사용하여 누가 AWS 리소스를 이용할 수 있는지(인증:Authentication), 그리고 사용자가 접근 가능한 리소스를 어떤 방식으로 이용할 수 있는지(권한 부여:Authorization)를 제어합니다.
IAM의 장점
앞서 IAM 계정을 사용하면 ROOT(루트) 계정의 단점인 보안적 취약함을 해결할 수 있다는 장점이 있다는 것을 알 수 있었습니다. 그러면 정확히 어떤 메커니즘으로 보안적 취약함을 보안할 수 있는 것인지 확인해볼까요?
예를 들어 하나의 인스턴스(Instance)를 여러명이서 사용한다고 가정해보면 아래와 같은 그림으로 표현할 수 있습니다.
(*하나의 계정을 공유 -> 보안에 취약해지게 된다.)
여기서 IAM을 사용하면 아래 그림과 같이
각각의 사용자가 IAM에 대한 아이디와 비밀번호가 생성되고
이를 통해 인스턴스에 엑세스가 가능합니다.
한눈에 봐도 ROOT계정을 사용했을때 보다 보안적 요소가 강화된 것을 확인할 수 있습니다.
세분화된 권한
IAM을 사용하면 IAM계정 별로 정책과/역할을 설정하여 아래 그림과 같이 사용자의 액세스를 제어할 수 있다.
IAM 역할
역할은 사용자에게 적용됩니다. 특정 IAM 역할을 사용자에게 적용함으로써 사용자는 해당 역할이 속한 정책을 부여받게 됩니다. 역할은 한번 만들어 놓으면 다시 사용 가능하기 때문에 효율적이다. 또한 다른 조직의 외부 사용자가 갖고 있는 ARN에 연결되는 역할을 만들 수 있습니다. 특정 서비스에 이러한 역할을 만들어 놓으면 외부 조직의 인원 또한 해당 서비스에 접근 가능할 수 있습니다. 보안 문제는 교차 계정 IAM역할을 만들어 외부 사용자를 신뢰 관계로 추가하여 해결할 수 있습니다.
IAM 그룹
IAM 그룹은 단순하게 IAM 사용자들의 모음입니다. 그룹을 사용하면 여러 사용자들의 권한을 지정할 수 있습니다. 예를 들면 TESTUSER라는 그룹을 만들고 그룹에 필요한 권한 유형을 부여합니다. 그럼 그룹에 속한 testuser1~10은 그룹에 할당된 권한을 자동으로 갖게 됩니다. 그룹 또한 업무내용, 역할 별로 여러 개 생성하여 사용자를 추가/삭제함으로써 유동적으로 사용이 가능합니다.
이번 편에서는 AWS의 IAM계정에 대해 공부해보았다. 이후 포스팅에서는 직접 IAM계정을 만들어 정책/역할을 부여하는 실습을 다뤄보겠다.
댓글