일기장
article thumbnail
Published 2024. 6. 27. 21:40
AWS Fundamentals - External and Internal Users 기타/Cyberbit

IAM USER 생성

- IAM은 AWS리소스에 대한 세부 권한을 제어할 수 있는 서비스입니다. IAM 유저별로 특정 리소스에 대한 접근 권한을 다르게 부여해 서비스를 이용하면, 루트 계정에 대한 보안을 강화할 수 있습니다.

- IAM 계정을 생성한 이후, Access Advisor탭에서 허용된 서비스들을 확인할 수 있습니다. 기본적으로 설정값으로 세팅된 IAM 계정의 경우 어떠한 접근 권한도 부여받지 못한 것을 확인할 수 있습니다.

 

Access Key 생성

- IAM USER에 부여된 권한을 이용해 리소스에 접근하는 방법 중 하나는 Access Key를 이용하는 것입니다.

- Access Key는 Security credentials 탭에서 새롭게 생성할 수 있습니다.

- 생성된 키는 확인 후에 csv파일로 저장해둘 수 있습니다. 생성 후에는 다시 키를 확인할 수 없으므로 저장해두는 것이 권장됩니다.

- 키를 생성하고 Security credentials 탭에 돌아오면 전과 달리 생성된 키를 확인할 수 있습니다. Actions버튼을 눌러 키에 대한 설명을 수정하거나, 키를 비활성화시키거나(생성되면 기본적으로 활성화된 상태입니다), 키를 삭제할 수 있습니다.

 

Group 생성

- group을 통해 유저에 대한 접근 권한을 간편하게 관리할 수 있습니다. 그룹에 속한 유저는 그 그룹에 해당하는 권한을 부여받을 수 있습니다.

- User groups 섹션에 진입한 뒤, Create user group 버튼을 클릭합니다.

- 그룹명을 작성하고, 그룹에 추가할 유저들을 선택합니다.(추후에 유저들을 추가해도 됩니다)

 

- 그 뒤, 그룹에 맞게 정책들을 선택합니다. 이번 케이스에서는 AWS의 대표서비스 중 하나인 S3에 대한 전체 권한을 부여해보았습니다. 그룹 정책에 따라 조회 전용, 수정 가능 등 동일한 서비스도 다양한 방식으로 정책을 결정할 수 있습니다.

 

- test_user의 허용된 서비스에 S3 관련 서비스들이 추가된 것을 확인할 수 있습니다.

 

Role 생성

- Role의 경우 여타 다른 설정들과 다르게, 몇가지 예외 사항만 제외한다면 Role이 부여된 IAM 계정은 Role의 정책에 맞는 권한만 부여받습니다.

- 저는 계정에 대한 IAMReadOnlyAccess정책만 부여한 IAMReadOnlyAccess이라는 역할을 생성했습니다.

- 당연하지만 test_user의 접근권한에는 아무런 변화가 없습니다.

- 우측 상단에 계정을 클릭해 Account ID를 확인할 수 있고, Switch role을 눌러 역할을 전환할 수 있습니다.

- 이어지는 페이지에서 아까 보았던 Account ID와 원하는 역할 이름을 입력한 후에 역할을 전환해줍니다.

- 그 뒤, IAM계정을 생성하려고 시도하면, no identity-based policy allows the iam:CreateUser action 라는 오류 메시지와 함께 유저 생성이 거부됩니다. 해당 역할은 IAM에 대한 읽기 권한만을 갖고 있기 때문입니다.

 

Cognito

 

- Cognito는 AWS가 제공하는 인증, 권한 부여, 그리고 사용자 관리를 위한 서비스입니다. 이 서비스를 통해 개발자들은 웹이나 모바일 앱에 안전한 사용자 로그인 기능을 쉽게 추가할 수 있습니다.
- AWS Cognito는 이메일, 소셜 미디어 계정 (예: Facebook, Google 등) 또는 자체 사용자 이름과 비밀번호를 이용하여 사용자를 인증할 수 있는 기능을 제공합니다.
- 사용자가 인증을 완료하면, AWS Cognito는 사용자의 권한에 따라 애플리케이션의 자원에 대한 접근을 허용하거나 제한할 수 있습니다.
- 개발자는 AWS Cognito를 사용하여 사용자 계정을 생성, 업데이트, 관리할 수 있습니다. 또한 사용자 비밀번호 변경이나 계정 복구 같은 기능도 지원합니다.
- User Pools에서는 사용자 정보를 저장하고 관리할 수 있습니다. 사용자가 로그인하면 이 풀에서 정보를 검증하여 인증 과정을 처리합니다.
- Identity Pools에서는 인증된 사용자에게 AWS 리소스를 사용할 수 있는 권한을 부여할 수 있습니다. 예를 들어, 인증된 사용자가 AWS S3 버킷에 접근하거나 DB 데이터를 읽는 작업을 허용합니다.

'기타 > Cyberbit' 카테고리의 다른 글

Phishing  (0) 2024.09.08
AWS Security Basics - Introduction to Compute Resources Security  (0) 2024.07.30
Splunk's Advanced search syntax  (0) 2024.05.26
profile

일기장

@공군급양

포스팅이 좋았다면 "좋아요❤️" 또는 "구독👍🏻" 해주세요!

검색 태그

ObjectMapping
sgs
Spring
리모트인턴십세션2
postgre
리모트인턴십 5기
Cj올리브네트웍스
쿠키
@ResponseStatus
전남대
한국경제신문
리모트인턴십
대외활동추천
Externalizable
퍼브
지연 연산
innerclass
Parameter Store
PropertyEditor
대외활동 추천
I/O Stream
동등성
직무경험
mapstruct
nacls
MVC
AWS
java
리모트인턴십5기
리모트인턴십 세션2

티스토리툴바