AWS IAM 사용자 생성 및 그룹 정책

IAM (Identity and Access Management, Global Service)

사용자 생성 및 그룹에 배치 

그룹 내에는 사용자만 배치할 수 있음, 그룹 배치는 불가

한 사용자가 다수의 그룹에 존재 가능 (그룹에 속하지 않고 사용자한테만 적용 가능한 인라인 정책도 적용 가능)

JSON 형태로 권한 부여

최소 권한의 원칙 

 

 

사용자 생성 중, 그룹 생성하여 사용자에게 권한 상속 가능

AdministratorAccess : 그룹 내의 모든 사용자에게 전체 관리자 액세스 권한을 제공

 

 

생성한 계정 정보 확인

IAM > Dashboard 우측 AWS Account

 

 

별칭은 하기와 같이 변경 가능 (타인의 별칭과 중복 불가)

sign-in-URL 로 로그인 페이지로 이동 가능

 

 

해당 URL로 로그인

사용자 이름 : IAM 유저로 생성한 이름

 

 

root 와 IAM 창 콘솔 창 비교

 

 

IAM User

 

 

 

 

IAM 정책 구조

{
	"Version": "2012-10-17",#버전 넘버 주로 2012-10-17 정책 언어 버전
    "Id": "S3-Account-Permissions",#정책 식별 ID 선택 사항
    "Statement": [#여러개 가능
    	{
        	"Sid": "1"#문장 ID : 문장의 식별자, 선택사항
            "Effect": "Allow"#접근 허용, 불가 여부 (deny)
            "Principal": {#특정 정책이 적용할 사용자,계정,역할로 구성
            	"AWS": ["arn:aws:uan::123456789012:root"]#이 경우에는 루트 계정에 적용
            },
            "Action": [#effect에 기반하여 허용 또는 거부되는 API 호출의 목록
            	"s3.GetObject", 
                "s3:PutObject"
            ],
            "Resources": ["arn:aws:s3:::mybucket/*"]#적용될 action의 리소스 목록, 여기서는 버킷이고 다른 것들이 될 수 O 
        }
    ]
}

#예시에는 없지만 statement 언제 적용될지 결정하는 Condition도 존재 (썬택 사항)
#Effect, Principal, Action, Resources 필수로 알아두기

 

 

IAM 정책 구조 실습

왼쪽 : root / 오른쪽 : iam user

현재 권한은 admin과 동일하게 iam user에게 부여

 

 

root에서 admin 내 IAM User 삭제

 

 

그리고 IAM User 창에서 새로고침 하면 하기와 같이 접근 불가가 출력

 

 

IAM user에게 Add permissions로 권한 재부여

 

 

IAMReadOnlyAccess 정책 허용

 

 

IAM User 창 새로고침 후, 하기와 같이 접근이 허용된 것을 확인할 수 있다.

 

하지만, Read&Only 권한이 적용되었기 떄문에 User Group을 생성하려고 시도하면 하기와 같이 생성이 불가하다.

 

 

kang에 Admin 그룹으로 포함시켜 AdministratorAccess 권한 부여 후에 하기의 작업 실행

 

 

kang에 적용된 정책 확인 - 상반된 정책 조회 가능

 

 

 

 

Policy 조회 후, AdministratorAccess Policy 링크 클릭 

 

 

JSON 조회 가능

* 으로 any action, acy resource

 

하기의 방식으로 Policy 추가도 가능

 

 

JSON을 클릭하면 위에 Visual로 생성한 코드가 JSON으로 출력

 

 

---

연습

시나리오

1. 3명의 사용자 : user-1, user-2, user-3

2. 다음과 같은 정책을 사용하는 3개의 그룹 : 

S3 Support : Amazone Simple Storage Service(Amazone S3) 에 대한 Read-Only 액세스

EC2 Support : Amazone Elastic Compute Cloud(Amazon EC2)에 대한 Read-Only 액세스

EC2 Admin : EC2 인스턴스를 View, Start 및 Stop 할 수 있는 기능

 

 

user-1 

 

user-1 로그인

 

user-3 (Instance 생성을 위하여 user-3부터 로그인)

인스턴스 조회 가능

 

인스턴스 중지 클릭 시, 하기의 화면이 출력되며 중지 불가

 

 

user-3로 로그인

Instance 중지 시, 중지 가능함