1. IAM

• IAM(Identity and Access Management) : AWS 리소스에 대한 권한을 관리하는 서비스
• IAM 사용자 및 그룹을 만들어서 관리
• 권한을 사용해 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있음
• 추가 비용 없이 제공 되며, 사용자가 사용한 다른 AWS 서비스에 대해서만 요금이 부과됨
• Key를 발급함으로써 AWS 외부에서 API로 접근할 수 있음

1.1 IAM 기본 개념

IAM은 Root계정 노출없이 사용자에게 제한적인 권한(Role)을 부여하고 싶을때 사용한다.

• User : AWS 서비스 사용자를 의미하는데, 사람 또는 외부 애플리케이션이 User가 된다.
• Group : User들의 집합을 의미
• Role(역할) : AWS의 작업과 리소스에 대한 액세스를 부여하는 권한 세트를 의미
• Policy : 특정 AWS 요소의 특정 기능을 사용하기 위한 정책을 의미
• Permission : Policy들의 집합을 의미

사용하는 방식에는 크게 2가지가 있다.

• Programmatic Access :
  • AWS SDK등을 이용하여 AWS 서비스에 API로 접근하는 방식
  • Access key ID, Secret access key로 구성된 키가 발급됨
  • 일반적으로 많이 사용하는 방법
• Management Console Access :
  • 브라우저를 통해 전용 Console login link로 접속하는 방식
  • AWS Management Console에 제한된 로그인이 필요할 때만 사용

1.2 IAM 사용 형태

• AWS의 리소스와 서비스에 접근하려고 하는 사용자 및 그룹이 있으며,

  • 각 사용자 및 그룹은 필요한 Policy들을 갖고 있다.

• AWS Lambda 같은 다른 서비스가 AWS의 서비스에 접근할 수 있도록 하기 위해서

  • Role을 부여한 것도 볼 수 있다.

2. (실습) IAM 사용자 추가

[IAM] → 왼쪽 메뉴의 [사용자] 페이지로 이동해, [사용자 생성] 버튼을 클릭한다.

1단계 사용자 세부 정보 지원

• 사용자 이름 : test-iam-user
• AWS Management Console에 대한 사용자 액세스 권한 제공을 체크
  • cf. 말 그대로 IM 사용자가 매니지먼트 콘솔에 접근할 수 있게 허용하는 것
  • 체크하면 아래 사용자 유형을 선택할 수 있는 옵션이 나온다.
  • IAM 사용자를 생성하고 싶음를 체크
• 그럼 아래에 암호를 어떻게 할지 선택하는 옵션이 나오는데,
  • 자동 생성된 암호를 사용하되,
  • 사용자는 다음 로그인 시 새 암호를 생성을 체크한다.
• 이제 [다음] 버튼을 클릭한다.

2단계 권한 설정

• [직접 정책 연결]을 클릭
• 직접 정책 연결을 선택하면, 미리 정의된 정책들을 검색할 수 있는 화면이 나온다.
• ec2readonly를 검색해서 AmazonEC2ReadOnlyAccess를 선택.
  • cf. EC2의 리소스들을 생성할 수는 없고, 읽을 수만 있는 권한.
• 선택한 뒤에 [다음] 버튼을 클릭한다.

3단계 검토 및 생성

마지막 단계에서는 이전에 설정한 내용이 맞는지 한번 검토하고 이후에 [사용자 생성] 버튼을 클릭한다.

• 그러면 이렇게 IM 사용자가 성공적으로 생성된다.
• 중요한 것은 사용자 이름과 암호가 있는 CSV 파일을 다운로드 받을 수 있는 유일한 기회다.
• 그래서 [.CSV 파일 다운로드] 버튼을 클릭해서 파일을 다운로드 받아 둔다.

3. (실습) IAM 사용자로 로그인

앞에서 다운로드 받은 CSV 파일을 열어서, 콘솔 URL을 복사해 브라우저에서 연다.

• 이때 기존 브라우저는 루트 계정으로 AWS 콘솔에 로그인되어 있을 것이기 때문에,
  • 새로 시크릿 창에서 접속하기 바란다.
• 이제 CSV 파일에 나와 있는 사용자 이름과 암호를 입력해서 로그인한다.
• 로그인이 성공하면, 비밀번호를 변경하는 화면이 나온다.
  • 앞에서 처음 로그인 시 비밀번호를 변경하도록 설정했기 때문
  • 새 비밀번호에 특수문자, 숫자, 대소문자를 섞어서 넣어야 한다.

이제 IAM 사용자로 인스턴스를 생성할려고 시도하면, 실패한다.

• 현재 IAM 사용자는 EC2 Read Only 권한만 있기 때문.

4. (실습) IAM 그룹 생성 및 사용자 추가

먼저 Root 사용자로 로그인되어 있는 브라우저에 접속한다.

• [IAM] → 왼쪽 메뉴 [사용자 그룹] 페이지로 이동한다.
• 그룹 목록 화면이 나오면, [그룹 생성] 버튼을 클릭한다.

(사용자 그룹 생성)

• 사용자 그룹 이름 : test-group
• 그룹에 사용자를 추가 : 기존에 생성한 IAM ㅅ사용자를 선택해 그룹에 추가
• 권한 정책 연결 : ec2full를 검색해 필터링한 뒤에,
  • AmazonEC2FullAccess 정책을 선택
• 모든 설정을 마쳤으면, [그룹 생성] 버튼을 클릭한다.

그룹 상세 정보 페이지로 이동해, [권한] 탭을 클릭한다.

• 그럼 현재 이 그룹이 갖고 있는 권한 정책들이 나온다.
• 이 그룹에 속한 사용자는 이 그룹의 권한을 모두 갖게 된다.

이번에는 IAM 사용자 목록에서 생성한 사용자를 클릭해, 상세 정보 페이지로 이동한 뒤에,

• [그룹] 탭에서 권한을 확인해면,
• 현재 이 사용자에게도 AmazonEC2FullAccess 정책이 연결된 것을 볼 수 있다.

다시 IAM 사용자로 로그인되어 있는 브라우저로 돌아와서,

• 아까 실패한 EC2 인스턴스 생성을 클릭해보면, 정상적으로 인스턴스가 생성된다.

5. (실습) IAM 사용자 및 그룹 삭제

IAM 사용자 목록에서 생성한 사용자를 선택한다.

• 오른쪽 상단에 [삭제] 버튼을 클릭한다.
• 그럼 확인 다이얼로그가 나오고, 사용자 이름을 입력한다.
  • [삭제] 버튼을 클릭하여 IAM 사용자를 삭제한다.
• 버튼을 누르면 이렇게 사용자 삭제가 진행되고 조금 시간이 지나면 삭제가 완료된다.

이번에는 그룹을 삭제하기 위해서 [사용자 그룹] 메뉴를 클릭한다.

• 그룹 목록에서 생성한 그룹을 선택한다.
• 이후 [삭제] 버튼을 클릭한다.
• 그룹 삭제도 마찬가지로 확인 다이얼로그가 나오는데, 그룹 이름을 입력한다.
  • 이후 [삭제] 버튼을 클릭한다.
  • 그러면 그룹 삭제가 진행되고, 조금 시간이 지나면 그룹 삭제가 완료된다.