AWS_IAM(Identify and Access Management) I

1. 개념

 : 큰 규모의 팀이나 프로젝트는 리소스가 많다보니 개인이 운영하기에는 한계가 있다. 그래서 특정 팀이 특정 리소스에 접근을 제한하거나 허용하도록 권한을 부여하는 기능이 IAM(Identify and Access Management)이다. 

1) 기능

 - 다른 AWS 서비스와 통합

 - 연동 자격 증명 관리

 - APP의 안전한 엑세스

 - 세부적 권한 관리

AWS "IAM 관리 사용자 생성 후, 그 사용자에게 admin 권한을 주고 root 계정을 봉인시키는 것을 추천" 

2. 보안 주체

: 보안 정책을 적용받을 객체

 -  보안 주체 종류 : IAM 사용자 / 연동 사용자 / IAM 역활 / 자격 증명 공급자(ID Provider)

1) IAM 사용자

 - AWS 계정이 아니라 계정 내 사용자이며 자체 자격 증명을 갖고 있다.

 - 자체 권한은 기본적으로 없으며, 권한을 받지 않으면 아무것도 할 수 없다.

 - 기본적으로 Console이나, CLI에 대한 엑세스 권한을 명시적으로 줘야 활동가능

2) IAM 정책

 - 하나 이상의 권한이 적혀있는 문서이며 서비스가 요청받으면 그 요청을 평가(허용 or 거부)한다.

 - 단, IAM 정책은 AWS 서비스에 한에서만 적용되는 정책이지 서버 내의 어플리케이션에 적용되는 것은 아니다.

   쉽게 생각하면 Management Console에서 행해지는 작업들에만 국한된다 생각하면 된다. 

3) IAM 사용자 그룹

 : 권한들을 부여한 그룹을 구성하여 특정 사용자가 새로 들어왔을때, 그 사용자에게 개별적으로 권한을 주는 것이 아니라 사용자를 특정 그룹에 넣어 손쉽게 권한을 관리

3. 권한 부여

*IAM에서 권한을 평가하는 방법

 - 사용자를 처음 만들었을때 권한이 아무것도 없는데, 이때 명시적인 거부, 허용이 되어 있지 않기 때문에 '거부'된다.

1) 리소스 기반 = 연결된 AWS 리소스 기반

 i. 연결 대상

  - AWS 리소스 : 해당 리소스(=서비스)에 직접 작성 ex>S3

 ii. 제어 대상

- 특정 보안 주체가 허용한 작업 : 특정 사용자가 접근 권한을 가지고 있더라도, 서비스가 거부 정책이 작성되어 있다면

                                              거부

  - 필요한 조건

  - 항상 인라인 정책임

  - AWS 관리형 리소스 기반 정책이 없음

 iii. 정책 유형

  - 인라인 : 특정 보안 주체에게만 적용되는 정책

   * 리소스 기반 정책은 인라인 정책밖에 없다.

2) 자격 증명 기반 = 연결된 IAM 보안 주체에 기반

 i. 연결 대상 : 사용자 / 그룹 / 역할

 ii. 제어 대상 : 수행 작업 / 필요한 조건 / 필요한 대상

 iii. 정책 유형

  - AWS 관리형 : AWS가 미리  만들어둔 수정 불가능한 정책

  - 고객 관리형 : 고객이 직접 만든 수정 가능한 정책

  - 인라인 : 특정 보안 주체에게만 적용되는 정책

   *관리형 정책은 설정 후 여러 대상에게 적용이 가능하지만 인라인 정책은 특정보안 주체에게만 국한된 정책