본문 바로가기
CS study

AWS Certified Solutions Architect Associate : AWS 리전 및 IAM 정책

블랑v 2024. 5. 2. 20:39

 

AWS Regions

 

 

north-east-2 .. 서울 리전처럼 데이터 센터들의 집합을 의미한다.

대부분의 서비스들은 특정 리전에 국한된다.

 

리전 선택에 영향을 미치는 요인

- 법률 준수

- 지연 시간 : 실사용자와 가장 가까운 리전 선택

- 리전간 요금 차이

 

가용 영역(AWS Availability Zone)

리전 안에 존재하는 데이터센터의 영역

 

 

 

 

 

IAM : Users & Groups

Identity and Access Management, Global service

루트 계정과 달리, 사용자들을 그룹화화고, 이를 묶어서 권한을 처리할 수 있는 서브 계정과도 같다.

 

  • AWS의 Identity and Access Management (IAM)의 주요 부분
  • 루트 계정과 달리, 사용자와 그룹을 통한 세분화된 권한 관리 기능
  • 각 사용자는 개별 로그인 정보와 권한 설정 보유
  • 사용자 그룹화를 통한 일괄 권한 할당 가능
  • 권한의 최소화 원칙 적용으로 필수 리소스 접근 제한
  • AWS Management Console, AWS CLI, AWS SDK를 통한 권한 관리 가능

 

IAM 콘솔창을 들어가면 사용자 설정을 할 수 있다.

루트 유저와 달리, 다른 사용자에게 넘겨줄 IAM 계정을 생성해줄 수 있다.

 

 

 

 

그룹과 사용자를 생성한 모습

이를 통해 IAM 주소와 키, 암호를 통해 접근하여 AWS 서비스에 iam 계정으로 로그인 뒤 접근할 수 있다.

 

 

 

IAM 정책

  • IAM의 중요한 구성 요소로, 사용자 또는 그룹에 권한을 할당하는 데 사용
  • JSON 형식으로 작성되며, 권한을 세밀하게 지정할 수 있음
  • "허용" 또는 "거부" 규칙을 통해 리소스에 대한 접근을 제어
  • 정책은 관리형 정책과 인라인 정책으로 분류됨
    • 관리형 정책: AWS에서 사전 정의하거나 사용자가 생성한 재사용 가능한 정책
    • 인라인 정책: 특정 IAM 엔터티에 직접 삽입되는 개별 정책
  • 최소 권한 원칙을 지원하여 필요한 최소한의 권한만 부여 가능
  • 사용자, 그룹, 또는 역할에 적용 가능하여 다양한 사용 사례와 보안 요구사항을 충족

 

IAM 정책 구문 구조

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/iam-policy-structure.html

 

정책 구조 - Amazon Elastic Compute Cloud

여러 조건 키들이 하나의 리소스에 딸려 있고, 일부 API 작업은 다수의 리소스를 사용합니다. 조건 키로 정책을 작성하는 경우에는 설명의 Resource 요소를 이용해 조건 키가 적용되는 리소스를 지

docs.aws.amazon.com

 

IAM 정책은 하나 이상의 문으로 구성된 JSON 문서이다. 각 명령문의 구조는 다음과 같다.

{
  "Statement":[{
    "Effect":"effect",
    "Action":"action",
    "Resource":"arn",
    "Condition":{
      "condition":{
        "key":"value"
        }
      }
    }
  ]
}

 

원문 중 일부 발췌

  • 효과(Effect): 효과(effect)는 Allow 또는 Deny일 수 있습니다. 기본적으로 사용자에게는 리소스 및 API 작업을 사용할 권한이 없으므로 모든 요청이 거부됩니다. 명시적 허용은 기본 설정을 무시합니다. 명시적 거부는 모든 허용을 무시합니다.
  • Action: action은 권한을 부여하거나 거부할 특정 API 작업입니다. 작업을 지정하는 방법에 대한 자세한 내용은 Amazon EC2 작업 단원을 참조하십시오.
  • 리소스: 작업의 영향을 받는 리소스입니다. 일부 Amazon EC2 API 작업의 경우 작업이 생성하거나 수정할 수 있는 리소스를 정책에 구체적으로 포함할 수 있습니다. Amazon 리소스 이름(ARN)을 사용하거나 명령문이 모든 리소스에 적용됨을 표시하는 와일드카드(*)를 사용하여 리소스를 지정합니다. 자세한 내용은 Amazon EC2 API 작업에 지원되는 리소스 수준 권한 섹션을 참조하세요.
  • Condition: Condition은 선택 사항으로서 정책이 적용되는 시점을 제어하는 데 사용할 수 있습니다. Amazon EC2에 조건을 지정하는 방법에 대한 자세한 내용은 Amazon EC2에 사용되는 조건 키 섹션을 참조하세요.

 

티스토리툴바