1 분 소요

ACC 휴동 기간에 맞추어 대략 2주 쉬고, week2를 진행한다.

5/4

IAM(cntn)

CLI

iTerm을 사용하여 실습을 진행하였다

aws --version

IAM user를 생성하고, access key를 발급받아서

aws configure를 통해서 configuration을 진행한다. region, default output format도 설정해주면 끝이 남

aws iam list-users를 통해서 계정의 모든 유저를 확인할 수 있음

  • 접근 권한이 없으면 공백의 output

CloudShell

  • aws 내부의 기능, cli를 대체하여 API call을 가능하게 함
  • 지역별로 사용 제한이 있음
  • echo "test" > demo.txt로 새 파일을 만들면 다음 로그인에도 남아있음
  • pwd 를 통해 현재 경로 확인
  • download, upload file이 가능함
  • new tab으로 2개의 terminal을 사용할 수 있음

IAM Roles for Services

  • AWS service에 대한 permission을 IAM Roles에 부여할 수 있음
  • common roles
    • ec2 instance roles
    • lambda function roles
    • roles for cloudformation
  • AWS Service 에 대한 Role을 만들기
    • Usecase: EC2, Lambda 등 ..
    • Permissions Policies: IAMReadOnlyAccess
    • Rolename
      1. Select trusted entities
      2. add permissions
      3. add tags

IAM Security Tools

  • IAM credentials report (account-level)
    • lists all users of my account and status of their credentials
    • IAM > Credential Report 를 통해서 다운로드 받을 수 있음
  • IAM Access Advisior (User level)
    • shows the service permissions granted to a user and when those services were last accessed
    • Policy revision을 위해서 해당 정보를 사용할 수 있음
    • Last Access 로 최근 이름 변경됨 !!
  • least previliege 원칙을 만족할 수 있게 해줌

IAM Guidelines & Best Practices

  • root account를 setup 할 때 이외에는 사용하지 말 것
  • one AWS user = one physical user
  • 그룹 내에 user를 assign, 그리고 그룹에 permission을 assign 할 것
  • strong password policy를 만들 것
  • Multi Factor Authorization을 사용할 것
  • Role을 만들어서 User에 부여할 것
  • CLI/SDK를 사용하는 경우(programmatic access) access key를 사용할 것
  • Audit permissions of your account using IAM Credentials Report & IAM Access Advisior
  • IAM User와 Access Key를 공유하지 말 것

EC2

  • budget에 대한 alarm을 설정할 수 있음
    • billing console(root account) > IAM user and role access to billing information에서 IAM 사용자가 결제 기능 열람이 가능한지 설정할 수 있음

태그: ,

카테고리:

업데이트:

참고