AWS IAM

IAM은 Identity and Access Management의 약자 입니다.

IAM에서는 사용자를 생성하고 그룹에 배치하기 때문에 글로벌 서비스에 해당됩니다.

 

IAM에서 사용자를 생성할 때, 하나의 사용자는 조직 내의 한 사람이라고 생각하면 됩니다.

필요하다면 사용자들을 그룹으로 묶을 수도 있습니다.

그룹에 포함된 사용자는 포함된 그룹에 부여된 정책을 상속 받을 수 있습니다.

그룹에는 오직 사용자만 포함될 수 있으며, 그룹에 다른 그룹을 포함시킬 수는 없습니다.

사용자는 반드시 그룹에 포함되어야 하는 것은 아니며, 여러 그룹에 포함될 수도 있습니다.

 

사용자와 그룹을 생성하는 이유는 사용자들이 AWS 계정을 사용하도록 허용하기 위해서 입니다.

허용을 위해서는 이들에게 권한을 부여해야 하는데, 이를 위해 사용자 또는 그룹에게 정책, 또는 IAM 정책이라고 불리는 JSON 문서를 지정할 수 있습니다.

아래와 같이 JSON 문서로 편집이 가능하지만, 익숙하지 않다면 클릭하는 것으로도 설정이 가능합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        }
    ]
}

* 예시 : 사용자에게 EC2 사용 및 Describe이 허용된 상태 입니다.

 

이러한 정책들을 사용해 사용자들의 권한을 정의할 수 있습니다.

사용자가 꼭 필요로 하는 것 이상의 권한을 주지 않는 것이 중요합니다.

사용자가 세 개의 서비스에 접근해야 한다면 그에 대한 권한만 생성하도록 합니다.