AWS IAM, root user, IAM user

다음 글: AWS Organization

IAM

IAM (identity and access managememt)은 AWS 리소스를 사용하는 것을 안전하게 제어할 수 있는 웹서비스를 말합니다. 여기에서 말하는 제어라는 것은 누가 로그인하고, 어떤 리소스를 사용할지 설정하는 것을 말합니다. 

맨 처음 AWS account를 생성할 때, 로그인 ID로 email address를 입력합니다. 이 로그인 ID를 root user라고 합니다. AWS에서는 이 root user 대신 IAM user를 생성하여 이용하는 것을 권장합니다. Linux 시스템에서 root user 대신 sudo user를 사용하는 것과 유사합니다. 

IAM 기능

• 다른 사람들에게 내 비밀번호나 key를 알려주지 않고도 내 account 안에 있는 리소스를 관리하고 사용할 수 있게 해 줍니다. 
• 사람별(그룹별), 리소스별(그룹별), 각기 다른 권한을 부여할 수 있습니다. 
• Amazon EC2 안에서 실행하는 app에 안전하게 인증서를 제공할 수 있습니다. (You can use IAM features to securely provide credentials for applications that run on EC2 instances.)
• 보안수준을 높이기 위해 account나 개별 이용자에게 MFA를 적용할 수 있습니다. 
• 사용자가 다른 곳에 password를 가지고 있다고 하더라도 AWS account에 로그인할 수 있게 해 줍니다. (SSO를 말하는 듯함)
• AWS CloudTrail을 이용한다면, 리소스를 사용하는 해당 로그정보를 받는데, 이 로그정보는 IAM identity에 기반을 두고 있습니다. (헷갈림: 원문: If you use AWS CloudTrail, you receive log records that include information about those who made requests for resources in your account. That information is based on IAM identities.)
• PCI DSS 규정을 만족합니다. 즉 PCI DSS 인증을 받을 수 있습니다. 
• AWS service와 통합/연동할 수 있습니다.

IAM을 접근하는 방법

• AWS Management Console
• AWS Comamdn Line Tools
• AWS SDKs
• IAM HTTPS API

root user vs IAM user

root user

root user는 AWS account owner를 말합니다. AWS account를 생성할 때 생성됩니다. IAM user는 root user나 IAM admin이 생성합니다. roo user는 account 안에 있는 모든 리소스에 모든 권한을 갖습니다. IAM policy를 이용해서 root user가 리소스에 접근하는 것을 막지 못합니다. root user의 권한을 막으려면 AWS Organization의 SCP(service control policy)를 이용해야 합니다. 운영/관리를 할 때 root user를 사용하기 보다는 admin 권한을 갖는 IAM user를 만들어 사용하는 것을 권장합니다. 

root user만 할 수 있는 일이 있습니다. 대표적인 것은 account를 폐쇄/삭제하는 경우입니다. 이 경우에는 root user의 email address와 password를 이용해 로그인해야 합니다. 

• account 설정 변경
• IAM user permission 복구
• Biling, Cost management console에 접근 허용/차단
• AWS account 폐쇄
• AWS support plan 변경
• Seller로 등록
• Configure an Amazon S3 bucket to enable MFA (multi-factor authentication) Delete.
• Edit or delete an Amazon S3 bucket policy that includes an invalid VPC ID or VPC endpoint ID.
• Sign up for GovCloud

아래는 root user (루트 사용자) 로그인 화면입니다. 

IAM user

• 일반 이용자입니다. 
• root user가 admin 권한을 부여해 줄 수 있습니다. AWS에서는 full 권한을 가진 IAM user를 만들어 일반적인 관리를 하라고 추천하고 있습니다. 

아래는 IAM user(IAM사용자) 로그인 화면입니다. 

 

참고사항: Org, Payer Account, Member Account, root user, IAM user

 

우리가 AWS에 처음 접근하여 생성하는 것은 Account 입니다. 위 그림에서 member account라고 하는 폴더를 생성하는 것입니다. Account는 이용자 및 리소스를 포함하는 바구니 즉 폴더입니다. Account를 만들 때 입력하는 email address는 root user를 위한 ID입니다. AWS에서는 root user만 할 수 있는 일을 할때만 사용하고 IAM user를 만들어 작업하는 것을 권장하고 있습니다. Linux 시스템에서 root user 대신 sudo user를 이용하라고 추천하는 것과 유사합니다. 

 

 

다음 글: AWS Organization