[AWS] IAM 그룹 만들기

이 글은 실습으로 배우는 AWS 핵심 서비스 강의를 공부하기 위해 작성된 글입니다.

1. AWS 란 무엇인가

AWS(Amazon Web Services)는 클라우드 컴퓨팅 서비스를 제공하는 아마존닷컴의 서비스 브랜드입니다. 클라우드 서비스는 인터넷을 통해 컴퓨팅 리소스와 애플리케이션을 제공하는 서비스로, 이를 통해 사용자는 자신들의 데이터를 저장하고 처리할 수 있습니다. AWS는 인프라, 데이터베이스, 스토리지, 인공지능, 머신러닝 등 다양한 클라우드 서비스를 제공하고 있습니다.

웹서버 : EC2
저장소 : S3
네트워크 망 : VPC

1.1 클라우드 란?

클라우드 는 인터넷 기반 컴퓨팅의 일종으로, 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술을 의미합니다.

2. 관리 콘솔 (AWS Management Console)와 IAM 그룹

2.1 관리 콘솔이란?

관리 콘솔은 AWS 를 가장 쉽게 사용할 수 있는 방법입니다.

2.2 IAM (Identity and Access Management) 이란?

공통의 권한을 가지는 사용자의 집합을 말합니다. IAM 그룹은 다음과 같이 만들 수 있습니다.

그룹을 생성 후 IAM Policy 연결
그룹에 사용자 추가
그룹 내 사용자는 그룹과 연결된 Policy의 권한을 부여 받음

3. 관리 콘솔로 IAM 그룹 만들기

AWS는 회원 가입 이후 이메일을 사용해서 로그인이 가능합니다. 이때 이 로그인한 계정을 루트 계정(Root account)라 합니다.

이 루트 계정을 사용하여, AWS의 모든 서비스를 사용할 수 있습니다.

하지만 루트 계정을 사용하여 서비스를 사용하는것 추천되지 않습니다. 그 이유는 다음과 같습니다.

보안 위험성
권한 부여 및 제한의 어려움
트래픽 분산

따라서 회원가입 후 해야할 일은 다음과 같습니다.

루트 계정을 MFA 등을 이용해서 2중화를 한다.
IAM 관리 사용자를 생성한다.
IAM 개발 사용자를 생성하여 사용한다.

3.1 루트 계정 MFA 적용하기

정말 중요한 계정인 루트 계정의 보안을 위해, MFA 를 적용합니다.

1. 우측 상단에 계정 사용자 이름을 클릭하고, [보안 자격 증명] 메뉴를 클릭합니다.

2. 사진 속 중간에 위치하고 있는, [MFA 디바이스 할당]을 클릭합니다. (저는 미리 MFA 디바이스를 만들었습니다)

3. 원하는 MFA 디바이스 선택 후 다음 클릭

4. 구글 OPT 앱을 통해 MFA 코드를 2 번 연속 입력한다.

저는 구글 OTP 앱을 사용하여 MFA 코드를 입력했습니다

Google OTP - Google Play 앱

2단계 인증을 사용하도록 설정하여 계정 도용을 방지합니다.

play.google.com

위의 과정을 통해 MFA 설정을 했다면, 루트 계정에 로그인 할 때마다, MFA 코드를 입력해야 합니다.

3.2 IAM 관리자 사용자 추가하기

루트 계정에 MFA 설정을 했다면 다음으로 할 일은 IAM 관리 사용자를 생성하는 것입니다.

IAM 관리 사용자는 루트 계정과 같은 권한을 가지고 있지만, 루트 계정으로 IAM 관리 사용자를 제어할 수 있습니다.

따라서 루트 계정의 권한이 필요할 때, IAM 관리 사용자로 권한을 사용하는 방법을 추천합니다.

IAM 관리 계정을 추가하는 방법은 다음과 같습니다.

1. 루트 계정으로 로그인한다.

2. IAM 서비스 페이지에 접속한다.

3. 사용자 그룹 페이지에서, 그룹을 생성한다.

4. 관리자 권한 부여

그룹을 만든다고 해서, 그룹의 실제 권한이 관리자 권한이 되는 것은 아닙니다.

AWS 에서 미리 정해 놓은 IAM 정책을 선택하여, 그룹에 권한을 부여합니다.

위의 과정으로 인해, Admin 그룹은 AdministratorAccess 정책에서 지정해준 권한을 부여 받게 됩니다.

5. 사용자 생성하기

위의 과정은 관리자 그룹을 만든 것입니다. 관리자 그룹에 포함될 사용자를 추가합니다.

아래의 그림 처럼 체크를 한 뒤, 다음을 입력합니다.

6. 관리자 그룹에 사용자 추가하기

사용자를 만들었다면, 사용자를 관리자 그룹에 추가해야합니다.

7. (중요) 관리자 계정 비밀번호 저장해놓기

관리자 그룹에 추가한 사용자로 로그인하기 위해서는 관리자 비밀번호를 기억해야합니다.

아래 그림의 관리자 계정 비밀번호를 통해, 관리자 계정으로 로그인할 수 있습니다.

3.3 IAM 개발 사용자 생성

관리 사용자를 생성하는 방법과 똑같이 진행합니다.

다만, 관리자 권한 보다 낮은 권한을 가져야 합니다.

1. PowerUserAccess 정책을 선택합니다.

PowerUserAccess 정책을 선택함으로써, 개발자 그룹에 속한 사용자는 아래와 같은 제약을 같습니다.

모든 서비스를 사용할 수 있다.
하지만, 계정 관련 서비스는 사용할 수 없다.

개발자 그룹을 만들었다면, 개발자 그룹에 사용자를 추가할 수 있습니다.

개발자 사용자로 로그인 후, IAM 관리 서비스 페이지로 들어간다면 아래와 같이 엑세스가 거부된 것을 알 수 있습니다.

4. 정리

위의 과정을 정리하자면 다음과 같습니다.

루트 사용자 계정 생성
관리 사용자 생성
개발 사용자 생성

출처: https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html

저작자표시

'Amazon Cloud' 카테고리의 다른 글

[AWS] S3 사용 실습 - 2 (권한 부여) (0)	2023.05.07
[AWS] S3 사용 실습 - 1 (버킷 생성, 파일 업로드, 파일 다운로드, 파일이동) (0)	2023.05.06
[AWS] IAM Role - 3 (CLI 로그인 및 사용해보기) (0)	2023.05.04
[AWS] IAM Role - 2 (관리자 콘솔로 사용해보기) (0)	2023.05.04
[AWS] IAM Role - 1 (IAM 역할 만들어보기) (0)	2023.05.04