AWS IAM 정리1 -IAM정의와 계정과 그룹 만들기

IAM = Identity and Access Management 의 약자.

 

AWS에서 계정을 식별하고 접근을 관리하는 서비스

역할: 계정을 만들어서 계정그룹에 배치를 하는 역할을 수행한다.

그러므로 Gloabl Service 라고 한다. (아래에서 글로벌 서비스에 대해 자세히 설명함.)

 

계정을 만들때에 Root Account를 만들게 되는데, 우리가 회원가입을 했을때 만든 계정이다.

이 계정은 오직, 사용자를 만들고 관리하는 용으로만 사용되어야 한다.

 

사용자는 그룹별로 만들어서 넣을 수(배치할 수 있다.)

 

그룹1- 개발자 그룹

그룹2- 인프라 그룹

 

어떤 사용자는 그룹에 속하지 않을 수 있다.

어떤 사용자는 그룹1과 2에 모두 속할 수 있다.

 

그룹과 계정을 왜 만들까?

 

AWS계정을 사용하게 하기 위함이다. (적절하게 사용하게 하기 위함)

 

그러면 사용자나 그룹은, JSON 으로 구성되어진 문서로 정의 될 수 있다.

policies 즉 정책 이라고 하는것으로 정의할 수 있다.

 

JSON 형식으로 정의를 해서 사용자나 그룹에 적절하게 권한을 부여하는 방식이다.

 

 

위와 같이 생겼습니다. AWS권한은 꼭 필요한 권한만 넣게끔 되어있다.

 

우리가 IAM 서비스로 들어오게 되면 우측상단에 Region(지역)을 선택하는 것이 글로벌로 바뀐것을 볼 수 있다.

이건 지역에 상관없이 전체적으로 적용되는 글로벌 서비스라는걸 알 수 있다.

모든 리전에서 동일한 사용자를 갖는다.

 

그룹과 사용자를 생성하는것은 간단하다.

먼저 IAM 서비스로 들어와서 좌측에 '사용자'를 검색하여 사용자를 만들면 된다.

 

 

사용자 이름을 먼저 지정하고, AWS Management console에 액세스 권한제공에 체크한다. 그래야 그 사용자가 여기 콘솔관리 들어와서 주어진 권한내에서 작업을 수행할 수 있지 않겠는가?

 

이후 내가 쓸거니까 사용자 지정암호를 넣고, 다른사람에게 줄거라면 자동 생성된 암호를 넣어도 된다. 한번씩 실습해보면 좋다.

체크박스 새 암호를 생성해야 합니다. -> 내가 임의로 암호를 옐롱00 으로 안내해주고, 사용자가 로그인하면서 바꾸도록 하게끔 하는 경우이다. 초기비밀번호를 안내할 때 사용하면 된다.

 

이제 다음버튼을 눌러서 권한을 부여해주면 된다.

권한은 아까 설명하였듯이, 권한그룹에 넣어주거나(개발자,인프라 권한그룹) 개별적으로 혼자 정책을 부여해주거나 하면된다.

일단은 admin이라고하는 권한그룹만들고, 여기에 이 사용자를 집어넣어보자

그룹에 사용자 추가를 선택하면 아래에 내가 만든 권한그룹들이 있을텐데, 처음이면 아직 없다.

 

create group 그룹만들기를 선택하여 아래와 같이 선택한다.

 

AdministratorAccess의 + 버튼을 눌러보면 아래와 같이 권한에 관련된 json 형식이 나온다. 이 정책이름들은 aws에서 미리 만들어놓은 json 정책부여 권한들이다. 여기서 정의되어있는 권한들을 체크해서 내가 권한을 줄 수 있다. 없으면 정책생성해서 직접 만들면 되긴 하는데, 일단은 aws에서 만들어준 권한들로 정책을 사용해보는 연습을 하는것이 중요할 것 같다. 그리고 단순 정책을 체크해서 추가하지 말고, 저 json 파일을 읽어보면서 어떤 권한을 주고있는것인지 이해를 하도록 하자.

 

 

정책을 만들면 위와 같이 admin2024가 생긴 것을 볼 수 있다. 아직 내가 만들 사용자를 추가를 안했으니 사용자는 0이 나온다.

만든 정책 admin2024를 체크하고 다음으로 넘어간다.

 

검토 및 생성에 최종적으로 표시되는걸 볼 수 있다. 태그는 선택사항인데, 태그 키에 따라 어떤값을 가지고있는지 선택할 수 있다. 내가 자주 사용하는 태그 키를 만들어놓고 값을 매겨놓으면, 계정별로 해당 값을 나중에 쉽게 확인하여 관리할 수 있다.

 

이제 사용자 생성을 눌러서 최종 생성을 해주도록 한다.

 

이제 아래와 같이 최종화면이 나오게 된다.

 

사용자를 만들었으니, 해당 사용자에게 저 URL을 주면서 id와 암호로 로그인해서 일하라고 하면된다.

정말 쉽다.

 

 

로그인을 하니 위와 같이 로그인이 잘 되었다.

 

IAM 을 통해 사용자를 만들고, 권한그룹을 만들고 적절한 권한그룹안에 사용자를 집어넣고 그 사용자에게 주소와 ID, PW를 알려줘서 로그인해서 비밀번호를 바꾸도록 하고, 이제 일을 주어서 적절한 일을 시키면 된다. 해당 사용자는 본인이 가진 권한내에서 업무를 수행할 수 있게 되었다.

 

IAM사용자 : 위에서 IAM으로 만든 사용자를 IAM사용자라고 한다.

IAM GROUP: 위에서 만든 GROUP을 IAM GROUP라고 한다.

 

다음편에서는 JSON 파일을 어떻게 읽고, 쓸 수 있는지 자세하게 이해해보도록 하자.